一年一度的跳槽季又来了。很多圈子里的朋友都曾在乙方做保安公司之类的工作。随着年龄的增长,他们的手速变慢,头发变少,身体感觉被掏空了。等等,这似乎有点跑题了。那么言归正传,再加上来自家庭的压力,让很多朋友产生了跳槽甲方的想法。1.背景产生这种想法的原因不外乎以下几点:乙方这么多年,被甲方父亲虐待,他想改变,体验一下当“父亲”的滋味。进入甲方可能比乙方赚得更多,如果是热门行业或者新兴行业,甚至有可能获得一定的股权。渐渐地,有了家庭压力,我希望有更多的时间陪伴家人,而不是没完没了地为客户加班做项目。从乙方到甲方,虽然都在做安全工作,但关注的重点其实是不一样的。有的甚至在面试的时候碰壁,有的勉强通过面试,但是刚加入甲方开始新工作的时候,我不适应,有的伙伴公司只有一个保安,只要是关系到安全的,甚至不想关的,都必须关。那么甲方如何进行安保呢?应该做什么工作?首先,先确定甲方企业安全建设的目标。甲方企业安全建设目标是实现业务整体安全,为业务产线赋能,将安全从传统的成本中心向业务中心(部门)转变,使安全工作可管、可控、可视化。尽可能多。确保业务正常运行。围绕这一目标开展以下工作。2、企业安全建设三方面围绕企业安全建设目标,应从技术、管理、合规三大方面开展工作。安全技术层面:物理安全、网络安全、主机安全(服务器和终端)、应用安全、数据安全(大数据安全)、云安全安全管理层面:安全管理机构、安全管理体系、人员安全管理、系统建设安全管理、系统运维安全管理安全合规等级:信息安全等级保护、GDPR、ISO/IEC27001、BCMS、PCI-DSS等。通过安全技术等级的建设,可以确保整体技术防护企业在线业务能力再上新台阶,形成纵深防御技术框架;通过安全管理层面的建设,形成成熟的安全管理体系,使成功经验成为可复制的;通过安全合规等级的建设,既可以满足国家层面或行业层面的安全要求,又可以排查自身是否存在安全隐患和短板。三者的结合相辅相成,共同构成了企业整体的安全体系,使企业在安全方面实现了风险的可视化、事件的管理化、管理的落地化。3、企业安全建设阶段如果企业在安全方面基本空白,可以有条不紊、循序渐进、循序渐进,避免被夹在眉毛胡子里,一事无成。最终可以做好。对于安全工作,我总结了以下三个阶段。1.“救火”阶段该阶段重点关注外部安全威胁、资产识别、漏洞、病毒、安全事件处理和应急响应。对于中小型企业或者刚开始安全工作的企业来说,最开始的工作是保护外部网络,因为外部威胁对企业造成的损害远大于内部或其他方面造成的损害。在这个阶段,要基于信息系统资产开展以下工作:发现和识别所有资产,对资产进行分类和梳理,发现薄弱环节,降低风险,做到资产可控、风险可见。购买或采用防火墙、WAF、IDS/IPS、杀毒软件等开源安全设备,加强网络、主机、应用层面的安全,提升防护基线水平。进行基线配置验证和加固,如密码复杂度和生命周期验证和加固、访问控制策略(ACL、文件和目录权限、账户权限)验证和加固、端口开放验证和加固、系统版本验证和升级等。进行渗透测试,分为外部互联网接入节点、内网办公节点和业务生产网络节点,找出存在的漏洞并有针对性地进行加固。2、稳定阶段:该阶段以内部安全和数据安全为主,同时不断更新和完善外部安全。包括终端安全、上网行为管理、数据安全生命周期、安全审计、SDLC、攻防演练平台(红蓝军对峙)、应急演练等。初期阶段初见成效后,企业业务系统基本可以安全运行并抵御大多数恶意代码。这个时候,我们需要将工作重心从外部安全威胁防护转移到内部安全和数据安全上。俗话说:“防不胜防”。如果出现“内鬼”,一切防护措施都无济于事,还会造成严重危害。同时,不断完善初级阶段的外部安全防护工作,形成闭环。部署终端安全管控和上网行为管控系统,针对不同业务部门或岗位职责设置不同的安全策略,尤其是那些拥有高密度数据或核心信息的(如财务、高管、运维、人力资源、开发等),ETC。))。利用网络访问和域控制对企业内部网络的访问进行限制,防止不法人员非法进入企业内部网络进行渗透和数据窃取。对数据生命周期的各个阶段(数据采集、数据传输、数据处理、数据分析、数据共享、数据销毁)进行安全保护,开展SDLC活动,确保数据安全。优化整体网络架构、业务系统和数据系统,建立冗余架构和备份容灾系统,包括:电力、网络线路、服务器、应用系统、数据备份。考虑安全审计功能,启用设备或系统自身的审计功能,部署专门的审计设备,对进出网络的流量和行为进行审计,确保安全事件发生后可溯源,及时发现同时,为下一阶段的态势感知、威胁情报和大数据分析提供基础数据。关注安全动向,特别是已公布的漏洞、病毒预警等信息,进行验证和审查,同时检查和保护目标企业自身。搭建攻防演练平台,开展红蓝对抗。目的是提高内部人员的安全技术能力,同时提高业务系统的安全性,培训人员和发现安全隐患是一箭双雕。制定应急预案并定期进行应急演练,包括模拟实际业务中断和沙盘或桌面演练。3.提升阶段:该阶段专注于精细化和可视化的安全运营。在前两个阶段安全建设和能力提升的基础上,实现安全业务工作的常态化和可视化。包括:构建可视化态势感知平台、ISOC、SRC(安全应急响应中心)、威胁情报库、自研安全系统(WAF、完整性检测与防篡改、堡垒机、资产管理、漏洞扫描平台等)。)、安全竞赛、安全教育培训、合规等。前两个阶段,外部安全和内部安全整体建设,安全能力水平基本达到优良水平,为什么要到这个阶段呢?这个阶段是提升和完善的阶段,就是聚合安全能力并对外输出,将传统的安全“成本中心”转变为“业务中心”。同时实现安全目标:安全可视化,日常安全工作。利用前两个阶段的日志和审计信息、告警信息、运行信息、收集到的漏洞、病毒信息、设备运行信息等构建企业自身的安全管理系统(SOC)、态势感知系统和威胁情报系统,并将结果再次投入到企业安全建设和发展工作中,形成良性循环。建立安全应急响应中心(SRC),对外开放,获取更多安全情报和安全检查,发现更多业务安全风险,丰富自身态势和威胁情报体系。开展自研安全体系工作,此时为了更大程度地提高安全防护水平,需要针对具体业务系统开发针对性的安全防护体系,加强业务安全。比如自研WAF、防篡改、堡垒机、资产管理、漏扫系统等。主办或承办安全竞赛,开展安全培训,提高知名度吸引更多安全人才,同时输出安全能力,获取经济效益。开展各类国家级或行业级安全合规工作,如等级保险、GDPR、PCI-DSS等,确保遵守法律法规。4、安全技术安全技术是企业安全建设的基石。只有覆盖了安全技术的方方面面,才能保证业务不会出现安全短板。物理安全:物理门禁、防雷、防潮防水、防静电、防火、温湿度控制、电磁干扰(电磁屏蔽)、电源、物理防盗防破坏、监控等物理安全可以说是对所有业务系统安全的支撑。如果在物理层面出现安全问题,将是直接或毁灭性的打击。物理安全基本上是指机房或者数据中心的物理安全,特别是防潮防水防火方面,因为我在之前的项目中看到太多机房被水火侵蚀的案例,这直接造成了很大的伤害。经济损失,甚至追究刑事责任。其他方面参照机房建设标准严格执行并落实到位。网络安全:链路冗余、带宽和设备性能、系统版本升级、CDN、高防、流量清洗、安全基线配置、ACL规则细化、IDS/IPS、WAF、审计(网络审计、数据库审计)、边界安全、远程访问加密、资源监控等。网络安全作为业务系统运行的桥梁和通道,其重要性不言而喻。虽然随着安全设备的部署和安全防护水平的提高,但安全攻防始终是相互较劲的,不能松懈。在网络安全方面,需要从可用性、完整性和机密性三个方面进行构建。可用性:设置冗余链路,保证业务不因操作人员意外而中断;确保网络设备的带宽和吞吐量能够满足业务高峰的需求,避免网络拥塞和瘫痪。完整性:设置详细的ACL,配置IDS/IPS、waf、审计等设备,确保数据在网络中不被非法篡改。保密性:提供加密机等网络加密设备,确保数据在网络传输过程中加密,不会被非法窃取。主机安全:身份认证和认证增强(堡垒机和多因素认证)、账户权限控制、文件权限分配、安全审计、冗余备份、杀毒、资源监控限制、远程访问限制、端口和服务关闭、完整性和检测、系统版本升级、终端安全(接入、安全管理、DLP)等。在主机安全方面,做好自身安全基线验证和自我加固,为用户提供高效、安全、稳定的计算和存储环境。商业运作。应用安全:Web端安全包括防sql注入、xss防御、CSRF防御、文件上传、文件包含防护、未授权防护、逻辑漏洞防护、敏感信息泄露防护等。APP端安全包括:数据传输加密、代码混淆、加壳、完整性验证、身份认证等。在应用层面,建议开展SDL工作,从系统生命周期充分考虑安全性。同时对应用系统采取代码审计和安全测试两方面,尽可能发现各种安全漏洞。OWASPTop10漏洞及其他常见漏洞的检测与防护,这里不再详述,以后可以做专题。数据安全:遵循DSMM涉及数据获取安全、数据传输安全、数据存储安全、数据分析安全、数据共享安全、数据销毁安全、数据备份与恢复安全等。数据安全遵循数据安全生命周期安全进行建设工作,确保从数据生成到销毁的整个链条的安全,不放过任何一个环节。5.安全管理安全管理架构:设立网络安全委员会(领导等)、报告机制、安全管理机构支持等安全管理制度:制定各项安全管理制度和奖惩措施,构建安全系统。人员安全管理:从入职到离职的安全意识教育、安全技能的普及与提高、安全制度的实施与考核。系统建设安全管理:系统建设工程安全管理(安全设计架构、安全模型建立与评估、安全编码、安全测试等)全生命周期安全管理。系统运维安全管理:系统上线后,系统运维安全管理从网络、主机、应用和数据的安全防护方面落实安全制度和要求。俗话说:“安全三分技术,七分管理”,可见安全管理的重要性。安全管理机构的建立、人员安全、安全管理制度、安全建设和安全运行维护制度及制度可参照ISO/IEC27001等要求。但安全管理最重要的不是制定了很多安全制度然后就束之高阁,而是能够有效地贯彻落实。以上就是我对企业安全建设的看法和总结。或多或少都有不足之处。只要有那么一点或者几点能够给大家带来好处,我自己写那么多字也不白。欢迎大家指出不足与我交流,共同改进,共同进步。
