一年一度的跳槽季又到了,很多圈内的朋友之前是在安全公司这样的乙方工作,随着年龄的增加,手速变慢,头发变少,身体感觉被掏空。等下,好像有点跑题。那么言归正传,再加上加上家庭的压力,所以很多小伙伴都有跳槽到甲方的想法。
站在用户的角度思考问题,与客户深入沟通,找到寻甸网站设计与寻甸网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站制作、网站建设、企业官网、英文网站、手机端网站、网站推广、域名与空间、雅安服务器托管、企业邮箱。业务覆盖寻甸地区。
[[260428]]
一、背景
这种想法产生的原因无外乎以下几点:
[[260429]]
那从乙方到甲方,虽说都是干安全的工作,但是其实关注的重点是不一样的,有的甚至在面试的时候碰壁,有的勉强面试通过,可是初入甲方,开始新工作后也不适应,也有的伙伴所在公司安全就一人,只要是跟安全相关甚至不想关的工作都必须干。那么甲方安全到底怎么开展?应该做些什么工作呢?
首先,先确定甲方企业安全建设的目标。
甲方企业安全建设的目标就是要实现业务的整体安全,赋能业务产线,将安全从传统的成本中心转变成业务中心(部门),使安全工作可管、可控、可视,尽可能保证业务运行。
围绕这个目标开展以下工作。
二、企业安全建设的三方面
围绕企业安全建设的目标,应该从技术、管理、合规三个大的方面进行工作开展。
通过对安全技术层面的建设,可以确保企业线上业务的整体技术防护能力达到一个新的高度,形成纵深防御技术架构;通过对安全管理层面的建设,可以形成成熟的安全管理体系,使成功经验变得可复制;通过对安全合规层面的建设,既可以符合国家层面或行业层面的安全要求也可以检查自身是否存在安全风险和短板。三者结合,相辅相成,共同组成了整体企业安全体系,使得企业在安全方面能够实现风险看得见、事件管得住、管理落了地。
三、企业安全建设的阶段
企业如果在安全方面基本是空白的话,那么可以按阶段、分步骤有序的进行,循循渐进,避免眉毛胡子一把抓,到头来什么也做不好。针对安全工作开展,我总结了以下三个阶段。
1. “救火”阶段
此阶段重点关注外部安全威胁、资产识别、漏洞、病毒、安全事件的处置和应急响应。
[[260430]]
对于中小型企业或者安全工作刚起步的企业,初步工作是要做好外部网络的防护,因为此时外部威胁对企业造成的损害远大于内部或其他方面造成的损害。此阶段要以信息系统资产为基础开展如下工作:
2. 稳定阶段:
此阶段重点关注内部安全和数据安全,同时不断更新完善外部安全。包括终端安全、上网行为管理、数据安全各生命周期、安全审计、SDLC、攻防演练平台(红蓝军对抗)、应急演练等。
[[260431]]
当初级阶段取得阶段性成果后,企业业务系统基本能够安全地运行,抵御大部分恶意代码。此时,我们需要将工作重心由外部安全威胁防护转移到内部安全和数据安全层面。俗话说:“家贼难防”,如果出现“内鬼”,那么一切防护措施就形同虚设,而且会造成严重危害。同时,不断完善初级阶段的外部安全防护工作,形成闭环。
3. 提升阶段:
此阶段重点是精细化和可视化的安全运营。基于前两个阶段的安全建设和能力提升,实现安全业务工作的常态化和可视化。包括:构建可视化的态势感知平台、ISOC、SRC(安全应急响应中心)、威胁情报库、自研安全系统(WAF、完整性检测及防篡改、堡垒机、资产管理、漏洞扫描平台等)、安全比赛、安全教育培训、合规等。
前两个阶段将外部安全和内部安全进行了整体建设,安全能力水平基本上达到了优秀水平,那么为何还要进行这个阶段呢?这个阶段就是提升和拔高的阶段,就是要将安全能力进行聚合并向外输出,将安全这个传统的“成本中心”向“业务中心”进行转变。同时,实现安全的目标:安全可视化和安全工作日常化。
四 、安全技术
安全技术是企业安全建设的基石,只有将安全技术的各个方面都覆盖到,才能保证不会出现业务安全短板。
物理安全可以说是所有业务系统安全的支撑,如果在物理层面发生安全问题,那将是将是直接性或者毁灭性的打击。物理安全基本上说的就是机房或数据中心的物理层面的安全,尤其是防潮防水和防火方面,因为之前做项目见识了太多的机房被水侵蚀和被火侵蚀的案例,直接造成了大量的经济损失,甚至是刑事责任。其他方面参照机房建设标准严格执行,并落实到位。
网络作为业务系统运行的桥梁和通道,其安全的重要性不言而喻。虽然随着安全设备的部署及安全防护水平的提高,但是安全攻防永远是进行互相博弈的,不能放松。在网络安全层面需要从从可用性、完整性、保密性三方面进行建设。
主机安全方面,做好自身安全基线核查和自身加固,为业务运行提供高效、安全、稳定的计算环境和存储环境。
在应用层面,建议开展SDL工作,从系统生命周期全面考虑安全。同时,对应用系统采用代码审计和安全测试两方面,尽可能发现各种安全漏洞。针对OWASP Top 10漏洞和常见的其他漏洞检测和防护这里不一一细述,以后可以做个专题。
数据安全遵照数据安全生命周期安全开展建设工作,保证从数据产生到销毁整个链条的安全,不放过任何一个环节。
五、安全管理
俗话说:“安全是三分技术,七分管理”,可见安全管理的重要性,对于安全管理机构、人员安全、安全管理制度、安全建设和安全运维体系和制度的建立,可以参照ISO/IEC27001等要求。但是安全管理最重要的不是制定许多安全制度,然后束之高阁,而是要能够有效的落地和执行。
以上就是我的一点关于企业安全建设的看法和总结,或多或少会有不足的地方,只要有一点或几点能够对大家带来作用,就不白费我亲手码这么多字。欢迎各位多多指出不足之处并和我进行交流,一起提高,一起进步。
名称栏目:初入甲方的企业安全建设规划
文章位置:http://www.mswzjz.cn/qtweb/news18/404818.html
攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能