2019年嘮嗑企業安全（一）

摘要： Mark資訊保安專業畢業，曾經在安全廠商工作幾年，後在機緣巧合之前來到一家網際網路公司，並開始了一段甲方做企業安全的不歸路…… 經歷了大學到乙方再到甲方視角的轉變，Mark對安全的認識也在不斷的發生著轉變：大學專業就是資訊保安緣故，自己認為資訊保安是大量知識領域和技術集合，技術中產生安全問...

Mark資訊保安專業畢業，曾經在安全廠商工作幾年，後在機緣巧合之前來到一家網際網路公司，並開始了一段甲方做企業安全的不歸路……

經歷了大學到乙方再到甲方視角的轉變，Mark對安全的認識也在不斷的發生著轉變：大學專業就是資訊保安緣故，自己認為資訊保安是大量知識領域和技術集合，技術中產生安全問題，安全問題由技術解決；畢業後進入安全廠商和整合商摸爬滾打，坐著安全諮詢、安全整合等相關工作，幫助各大公司和部委完成業務系統的安全建設，資訊保安也不再是單純的技術和專案交付，上升為了一種責任，一種幫助甲方提升和完善業務系統安全能力的責任；再之後的機緣巧合之下，自己轉到了網際網路行業，一家風口浪尖且願意為安全做大量投入的公司，也由乙方角色轉換到了甲方，企業安全對自己除了技術和責任之外，又多了一層含義，那一層就是文化，好的安全工作不僅要保障業務，更要融入這家公司文化，貼合業務，依託企業文化，使安全工作變成公司業務乃至每個員工比較容易接受方式，增強安全工作的貼合度和粘性。

說了這麼多，那安全是什麼呢，MBA智庫百科有個不錯的解釋：

資訊保安是指為資料處理系統而採取的技術的和管理的安全保護，保護計算機硬體、軟體、資料不因偶然的或惡意的原因而遭到破壞、更改、顯露。這裡面既包含了層面的概念，其中計算機硬體可以看作是物理層面，軟體可以看做是執行層面，再就是資料層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機密性。

那如何做好企業安全呢？最近剛好看了兩本不錯的書，結合這兩本書聊聊自己對企業安全的思路，一本為薩提亞.納德拉的《重新整理》，一本為瑞·達利歐《原則》。薩提亞.納德拉提醒了我做安全的態度，做事情要有同理心和善於接受並理解新事物的能力；而瑞·達利歐教會了我做安全的方法，任何事情的成功絕非偶然，其實有方法和套路的。

瑞·達利歐把成功定義為5步（以我司為例）：

1、有明確的目標：

實現業務的安全可視、可控和可管，並最大化保證業務的效率。

2、找到阻礙視線目標的問題，並且不能容忍這些問題：

合規問題、公司內外部的威脅和業務系統自身的脆弱性。

3、準確診斷問題、找到問題的根源：

合規問題：對公司業務相關的合規和法律瞭解不全面；

技術層面：主機安全問題、docker安全問題、網路安全問題、應用安全問題、資料安全問題、物理安全問題；

管理層面：員工安全意識問題，標準化的管理、制度、要求、流程、規範等的缺乏。

4、規劃可以解決問題的方案：

總結如下技術與產品結合的安全導圖，僅供參考

化繁為簡，將公司安全建設劃分三個階段跟大家簡單介紹

第一階段：安全建設初期

原則：

外部威脅防禦優於內部威脅

主要建設內容包括：

1、資產的識別，網路的梳理
2、漏洞的識別、修復
3、邊界的4層和7層防護，基於業務進行邊界隔離，精細化白名單方式開放埠和流量
4、鏈路的流量審計
5、核心網路的訪問認證和許可權管理
6、主機及終端防護，如設定安全基線、部署防病毒或相關安全外掛等
7、app安全，如app安全加固等
8、業務系統日常存活、漏洞、埠等檢測掃描
9、第三方滲透測試
10、安全意識宣貫
11、合規要求：如等級保護測評，風險評估檢測，完成網安及相關監管單位的要求和檢查

第二階段：安全建設中期

原則：

重點建設內部安全和資料安全，補充完善外部威脅防護

主要建設內容包括：

1、上網行為管理及上網認證
2、郵箱安全
3、資料庫及對應許可權梳理、整合、回收
4、資料全生命週期的管理、資料治理，如資料標準化、分級分類、加密、脫敏等等（資料安全方面大而廣，後續單獨文章介紹）
5、DLP
6、蜜罐、威脅情報（驗證公司安全體系健壯性）
7、日誌管理平臺
8、第三方滲透測試
9、安全意識宣貫
10、合規要求：如等級保護測評，風險評估檢測，完成網安及相關監管單位的要求和檢查
11、看公關需要，可獲取公司級別認證，如iso 27001等

第三階段：安全運營期

原則：精細化，視覺化運營

主要建設內容：

1、SRC
2、自研安全平臺
3、各安全系統的精細化執行、聯動和視覺化
4、第三方滲透測試，眾測（根據公司情況而做）
5、安全意識宣貫
6、合規要求：如等級保護測評，風險評估檢測，完成網安及相關監管單位的要求和檢查

總結：

一家公司安全建設順序可根據業務需求進行靈活調整，漏洞、合規、資料安全和安全意識宣貫需要貫穿安全建設的始末；漏洞是安全的靈魂，漏洞的發現、識別和快速響應在安全工作中永遠是優先順序最高的；合規和資料安全是剛需，也是老闆們最看重的點；安全做到最後永遠是人的問題，安全意識宣貫是提升公司整體安全水平的最有效手段，也是安全文化建設的核心。

5、做一切必要的事來踐行這些方案，實現成果：

貼合公司戰略、業務發展現狀，對安全工作開展排列優先順序，以終為始，要事第一，統合綜效，不斷更新。

總結：安全是一個特殊的存在，安全是個形容詞，絕對安全很難，但是在企業安全的建設過程中，希望通過自己不斷實踐、總結和重新整理，將安全化繁為簡，守護好安全的寸土。

後面會分享更多細節，未完待續。

*本文作者：Mark2019，轉載請註明來自FreeBuf.COM