在互聯網行業掙扎了幾年,碰見了許多行業的客戶,但發現其實很多人都會購買網絡安全設備,WAF之類,但其實他們對這些設備起到的作用並不瞭解,彷彿只是因爲別人買了這些,於是自己也要買上一套。
經常聽到老大調侃,之前遇到了一個客戶是賣菜的,但是網安要求他需要做等保,於是賣菜的懵圈了,聽到這個事情的人也懵圈了,一個賣菜的需要做啥等保?
其實如果這個賣菜的業務只是做線下的業務,那麼信息安全等級保護工作肯定和他挨不上邊,但是這位商家已經把業務擴展到了線上,到了線上就涉及到了用戶基礎信息、支付等隱私安全問題,這些安全問題小到會對店家信息安全造成威脅,大到會對社會公共安全造成威脅。所以網安部纔會要求開展等保工作。
這樣一看,連個賣菜的小販用上互聯網後都需要做好安全工作,更不用說企業了。那要如何做好企業安全呢?我們要找尋方法和套路,有效的針對問題,解決問題。
一、確定目標:
實現業務的安全可視、可控和可管,並最大化保證業務的效率。
二、發現問題
每個企業在安全問題上都會存在合規問題、源自企業內外部的威脅和業務系統本身的脆弱性,這些問題都是需要我們去重視的。
合規問題:對與企業業務的相關合規和法律不瞭解或者瞭解不全面;
技術層面:源自於虛擬設備、物理設備的安全問題;
管理層面:企業員工對於網絡安全意識的缺乏,企業對於安全相關的標準化的管理制度、流程規範等的缺乏。
三、規劃方案:
1、合規監管
國家法律、法規,行業監管要求、規範,國際法律、法規、規範;
2、技術
資產安全:主機安全、Web安全、Doker安全、網絡設備安全、安全設備安全、終端安全、數據庫安全、應用安全、物理安全
數據安全:數據產生和採集、數據存儲、數據訪問和應用、數據傳輸、數據備份、數據銷燬
第三方檢測:威脅情報、***測試、風險評估、監管檢測、安全認證(iOS27001、等保等)
安全建設規劃
階段一:安全建設初期
外部威脅防禦需要高於內部威脅防禦(這是當然的),首先應對外部安全威脅,給網站部署WAF進行防禦,如果是非運營性網,可以部署軟WAF,如常見的ShareWAF、ModSecurity等。
階段二:安全建設中期
對外部威脅防禦進行補充完善,重點對內部安全和數據安全進行防禦,主要是防內鬼。
第三階段:安全運營期,重在維護,安全意識不可鬆懈。網絡安全從來都是防患於未然的事。
總結:
企業的安全建設工作可以根據本身的業務需求對流程進行靈活調整,安全問題不是一次性能解決的問題,需要將良好的安全意識貫徹到每一天的工作中。安全問題做到最後會發現還是歸根於是人的問題,安全意識的提升纔是提升公司整體安全水平的最佳手段。