不同规模、性质的企业,对信息安全的建设力度投入各有不同,其中又取决了公司高层对安全的意识和觉悟。目前国家已经出台网络安全法和等保2.0的政策法规,企业信息安全的建设刻不容缓。
本人之前在多家不同性质企业从事IT管理工作,涵盖了进出口贸易、医疗行业、系统集成以及软件研发等,可以总结出很多安全缺失的问题和隐患。最典型的数据安全例如数据泄露、数据篡改、数据丢失、系统不可用等,比比皆是。所以,根据问题倒推信息安全建设,是一种不错的思路方法。
我们从风险管理、安全管理、安全运营几个点进行扩展。
一、风险管理
风险管理:主要包括风险分类、风险识别(次生风险)与采集、风险的管控跟踪,风险的处理(降低、消除、转移)、
识别风险和风险分类:
外部风险:DDos、勒索软件、SQL注入、密码暴力破译、中间人attack、社会工程学等等
内部风险:弱口令、缺少防病毒系统、容灾和高可用机制、数据备份以及权限管控粗泛。
风险采集:主要通过漏扫或者渗透测试对核心应用或者终端做定期扫描,收集安全风险和漏洞。
如果能够推进建设比较健全的风险管理系统(风险级别、应对、状态),结合自身对风险类别、原理和危害的深刻认识,再好不过。
二、安全管理
安全管理:主要指定安全体系,包括技术架构、安全策略、技术管理和人员管理等。安全管理从制度策略规范,最好有专岗,制定明确的安全策略,定期安全风险评估现状和目标差距,和审核,做持续改进计划) +安全技术(安全平台解决方案,包括防病毒、防火墙、IPS、行为管理、统一的安全产品部署和安全策略等),在做安全管理的过程中,使用PDCA持续改进机制,加强信息安全法律:网络安全法、数据安全法等学习力度,做到全员参与、预防为主为佳。
技术架构:简单讲就是一张拓扑表 ,结合软硬件和网络划分。
网络区域划分、网络安全相关设备的布控。例如全冗余双链路、出口区域、DMZ以及内部生产区域、运维管理区域、办公网络区域。设备包括:负载均衡、NGFW、IPS/IDS、WAF、 态势感知、漏洞扫描运维审计、日志审计、数据库审计、上网行为管理准入控制、EDR防病毒。
安全策略:做一个安全建设的指导性规范,为后续的安全技术和安全运营落地提供依据。这里包括:物理安全策略、数据安全策略、网络安全策略、系统安全策略。
物理安全策略:机房物理安全,防雷击、防火、防火、防潮、防静电到视频监控、出入登记审批。
数据安全策略:传输安全HTTPS加密,数据冗余灾备备份规范。
网络安全策略:实名准入控制、身份鉴别、ACL区域隔离、终端用户行为管理、安全设备的合理配置策略。
系统安全策略:终端、服务器安全相关策略、系统资源策略、应用中间件部署配置和备份等策略要求,与开发有关的编码规范、安全编码、SQL书写规范
技术管理:技术管理主要针对物理安全策略、数据安全策略、网络安全策略、系统安全策略进行分解和技术实现,具体表现为各种安全运维相关的规范、标准和流程等。
人员管理:人员(运维/全员)+组织(信息安全小组)+培训(提高人员和组织的信息安全水平、提高觉悟)。
换言之,将安全策略转化为可执行的技术方案,在安全运维执行过程中,根据实际执行效果优化不断优化安全策略。
三、安全运营
安全运营:安全体系落地,日常安全运维工作、做安全审计工作、安全数据分析以及安全绩效考核,形成一个持续改进、修缮的闭环,这是一个相对较漫长的路。
在做安全管理的过程中,使用PDCA持续改进机制,加强信息安全法律:网络安全法、数据安全法等学习力度,做到全员参与、预防为主。
希望企业未来逐渐提高安全建设意识和投入,网络安全则国家安全。