数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
企业安全建设的目标是解决或降低上节所述的各类安全风险,主要内容包括安全基础设施和系统建设、安全运营体系建设和安全管理体系建设这 3 个方面。
1、安全基础设施和系统建设
安全基础设施和系统建设作为最基础的企业安全建设需求,是所有安全工作开展的基石。
- 从建设内容上,安全建设主要分为办公安全、数据中心(或云服务器环境)安全、业务安全相关系统。例如,办公安全系统需要建设防病毒系统、补丁分发系统和终端准入系统,才能解决办公终端的基本安全问题;数据中心需要建设或购买 WAF系统,才能防御各种 Web攻击和人侵:要解决业务安全问题,需要建设风控系统,才能防御恶意欺诈和“羊毛党”的攻击。
- 从建设驱动上,安全建设主要分为外部安全风险张动、内部安全风险驱动和安全合规建设驱动.例如,为保障线上业务安全稳定运行,及时发现安全风险,需要建设人侵防御系统、入侵检测系统、漏洞扫描系统;从内部数据防泄露风险控制上,需要建设数据防泄露系统;从安全合规上需要建设运维安全审计系统(堡垒机),否则无法通过各类安全审计且不满足等级保护要求。
- 从建设阶段上,安全建设需求随着企业业务发展阶段的不同而有所不同,初期可能更关注线上业务的安全防护,到后期会逐步重视内部安全建设,安全建设会根据风险危害的严重程度或紧急程度而变化。对于同样的系统,如业务风控系统,刚开始上线V1.0 版本只是解决基本的账户安全问题,到后期需要解决防欺诈问题,版本就需要迭代到V2.0,相应的技术架构可能也要升级。
- 从建设方案上,信息安全建设的方法与安全团队的能力和企业的发展阶段也有很大关系,早期主要偏向于外部采购成熟的商业产品和方案,到后期商业方案在功能,性能或扩展性上无法满足企业对安全的需求时,可能需要企业进行自主研发或在开源系统上进行二次开发。如果团队的开发能力很强,也可以从一开始就采用自研方案。
2、安全运营体系建设
有了安全基础设施和系统,如果没有进行运营和维护,那么安全基础设施和系统很难发挥作用。例如,某企业购买了入侵检测系统,上线后却没有及时进行告警处理和策略优化,这时告警就会泛滥,管理员很可能会忽略掉真实的攻击告警,这样的系统就无法真正地发挥作用。
所以在企业安全体系建设中,安全运营体系建设同样非常重要,也是真正需要投入人力来持续运营的。安全运营体系建设主要包括以下几个方面。
- 安全设备和系统运行维护。无论是自建安全系统还是外购安全系统,都需要进行维护。例如.堡垒机需要进行账号开通和服务器授权;WAF系统需要进行业务接入配置,同时需要进行规则优化和告警处置;新的安全漏洞出现后,还需要及时更新规则,避免漏洞被攻击者利用;风控系统需要持续进行规则运营、黑白名单处理、业务接人和活动保障。
- 定期开展例行化安全工作。例如,每个季度都需要开展安全漏洞扫描,对发现的安全漏洞进行处理;定期开展安全审计,如检查服务器账号权限、数据库账号权限、运维操作等。
- 产品安全生命管理。这是企业安全运营体系的重要内容,覆盖产品设计、开发、测试、上线运行各个环节,需要开展产品安全设计评审、代码安全设计、自动化安全测试、渗透测试等工作。
- 安全事件处置。安全事件处置需要依赖相关安全检测和防护系统及外部情报,当发生安全事件告警时需要及时进行判断和处置,当爆发高危安全漏洞(如Struts2 漏洞)时,安全人员需要第一时间进行排查和修复,防止漏洞被利用。
- 安全自动化能力。当管理的服务器或系统到达一定体量后,仅仅靠增加安全人员的数量是无法解决问题的,安全运营体系需要有很强的自动化能力,如批量对HIDS进行安装和部署,统一进行策略更新。
安全运营特别需要安全人员的投人,各安全系统都需要进行维护,另外,如果开展产品安全生命周期管理,需要跟着业务的上线节奏开展维护工作,如果产品线多且迭代快,需要的人力会更多:此外,安全运营的开展需要安全人员具备相应的技能,如渗透测试要求人员具备渗透测试经验,产品安全设计需要设计人员具备相关的安全设计经验等。
3、安全管理体系建设
信息安全管理体系包括信息安全制度建设、信息安全流程建设、安全培训的开展、安全考核等方面。
- 信息安全制度建设涉及安全组织、安全方针、人员安全、系统安全、主机安全、开发安全、安全审计、风险评估等方面的内容,需要根据公司的实际情况发布并持续更新。
- 信息安全流程建设包括安全工作流程和表单、安全应急响应流程、安全预案和演练等方面的内容。安全工作流程和表单是日常安全工作开展的基础,如申请保垒机权限需要通过工单系统或OA系统进行;安全应急响应流程可以保证发生安全事件后,快速动员公司相关部门和外部力量进行响应和处置:安全应急预案要为安全事件的处置提供指导,定期开展演练可以检验预案的有效性,并进行持续改进。
- 安全培训的主要目的是提升全公司的安全意识和安全技术能力,主要包括全员安全意识培训、新员工人职培训等,另外还可以开展安全技术培训,提升开发人员的安全技术水平。
- 安全考核包括两个方面,一方面是考核安全工作的有效性,如安全事件处置的时效性、安全漏洞自动化能力水平等;另一方面是考核各部门的安全绩效,如安全漏洞修复及时率、安全漏洞同比或环比情况。安全考核除了可以显示安全工作的成效,也可以通过考核让公司各部门重视信息安全工作。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数字化转型网默然。
