freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2019年唠嗑企业安全(一)
  • 关注
2019年唠嗑企业安全(一)
2019-02-18 09:00:45

Mark信息安全专业毕业,曾经在安全厂商工作几年,后在机缘巧合之前来到一家互联网公司,并开始了一段甲方做企业安全的不归路……

经历了大学到乙方再到甲方视角的转变,Mark对安全的认识也在不断的发生着转变:大学专业就是信息安全缘故,自己认为信息安全是大量知识领域和技术集合,技术中产生安全问题,安全问题由技术解决;毕业后进入安全厂商和集成商摸爬滚打,坐着安全咨询、安全集成等相关工作,帮助各大公司和部委完成业务系统的安全建设,信息安全也不再是单纯的技术和项目交付,上升为了一种责任,一种帮助甲方提升和完善业务系统安全能力的责任;再之后的机缘巧合之下,自己转到了互联网行业,一家风口浪尖且愿意为安全做大量投入的公司,也由乙方角色转换到了甲方,企业安全对自己除了技术和责任之外,又多了一层含义,那一层就是文化,好的安全工作不仅要保障业务,更要融入这家公司文化,贴合业务,依托企业文化,使安全工作变成公司业务乃至每个员工比较容易接受方式,增强安全工作的贴合度和粘性。

说了这么多,那安全是什么呢,MBA智库百科有个不错的解释:

信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。

那如何做好企业安全呢?最近刚好看了两本不错的书,结合这两本书聊聊自己对企业安全的思路,一本为萨提亚.纳德拉的《刷新》,一本为瑞·达利欧《原则》。萨提亚.纳德拉提醒了我做安全的态度,做事情要有同理心和善于接受并理解新事物的能力;而瑞·达利欧教会了我做安全的方法,任何事情的成功绝非偶然,其实有方法和套路的。

瑞·达利欧把成功定义为5步(以我司为例):

1、有明确的目标:

实现业务的安全可视、可控和可管,并最大化保证业务的效率。

2、找到阻碍视线目标的问题,并且不能容忍这些问题:

合规问题、公司内外部的威胁和业务系统自身的脆弱性。

3、准确诊断问题、找到问题的根源:

合规问题:对公司业务相关的合规和法律了解不全面;

技术层面:主机安全问题、docker安全问题、网络安全问题、应用安全问题、数据安全问题、物理安全问题;

管理层面:员工安全意识问题,标准化的管理、制度、要求、流程、规范等的缺乏。

4、规划可以解决问题的方案:

总结如下技术与产品结合的安全导图,仅供参考

化繁为简,将公司安全建设划分三个阶段跟大家简单介绍

第一阶段:安全建设初期

原则:

外部威胁防御优于内部威胁

主要建设内容包括:

1、资产的识别,网络的梳理

2、漏洞的识别、修复

3、边界的4层和7层防护,基于业务进行边界隔离,精细化白名单方式开放端口和流量

4、链路的流量审计

5、核心网络的访问认证和权限管理

6、主机及终端防护,如设置安全基线、部署防病毒或相关安全插件等

7、app安全,如app安全加固等

8、业务系统日常存活、漏洞、端口等检测扫描

9、第三方渗透测试

10、安全意识宣贯

11、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查

第二阶段:安全建设中期

原则:

重点建设内部安全和数据安全,补充完善外部威胁防护

主要建设内容包括:

1、上网行为管理及上网认证

2、邮箱安全

3、数据库及对应权限梳理、整合、回收

4、数据全生命周期的管理、数据治理,如数据标准化、分级分类、加密、脱敏等等(数据安全方面大而广,后续单独文章介绍)

5、DLP

6、蜜罐、威胁情报(验证公司安全体系健壮性)

7、日志管理平台

8、第三方渗透测试

9、安全意识宣贯

10、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查

11、看公关需要,可获取公司级别认证,如iso 27001等

第三阶段:安全运营期

原则:精细化,可视化运营

主要建设内容:

1、SRC

2、自研安全平台

3、各安全系统的精细化运行、联动和可视化

4、第三方渗透测试,众测(根据公司情况而做)

5、安全意识宣贯

6、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查

总结:

一家公司安全建设顺序可根据业务需求进行灵活调整,漏洞、合规、数据安全和安全意识宣贯需要贯穿安全建设的始末;漏洞是安全的灵魂,漏洞的发现、识别和快速响应在安全工作中永远是优先级最高的;合规和数据安全是刚需,也是老板们最看重的点;安全做到最后永远是人的问题,安全意识宣贯是提升公司整体安全水平的最有效手段,也是安全文化建设的核心。

5、做一切必要的事来践行这些方案,实现成果:

贴合公司战略、业务发展现状,对安全工作开展排列优先级,以终为始,要事第一,统合综效,不断更新。

总结:安全是一个特殊的存在,安全是个形容词,绝对安全很难,但是在企业安全的建设过程中,希望通过自己不断实践、总结和刷新,将安全化繁为简,守护好安全的寸土。

后面会分享更多细节,未完待续。

*本文作者:Mark2019,转载请注明来自FreeBuf.COM

# 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者