从微盟删库事件看小公司如何做安全建设？

上一篇：有了这4款工具，再也不怕写SQL了，让你写出一手优雅的SQL

ISO 27001 安全体系框架

我以前负责过安全团队的组建及管理，目标是初步搭建公司安全体系，首先是如何找到正确的人？不要考虑学历问题，目前在中国攻防技术厉害的，普遍学历比较低，而且没几个有CISSP，CCIE等高大上的证书，大部分不是科班出身。要找专业安全公司从业经历的，因为他们经常和甲方打交道，清楚要做什么，圈子里的朋友也多，这样你就会很快找到。

信息安全没有百分之百的安全，所以无论是等保还是ISO 27001标准都在实施之前强调分级分类，等保相关请参考另外一篇网络安全等级保护制度2.0（等保2.0），等保的工作重点在二、三、四级上，而三级的安全要求也基本和ISO 27001标准内容匹配，三级以上的等保要求又超过了ISO 27001标准，仅仅实施ISO 27001标准还达不到等保的要求，所以必须以等保作为主线来推进组织的信息安全管理。

一.为什么要做信息安全

企业面临来自各方面的安全威胁，外部黑客、网络黑产、竞争对手、内鬼等，同时也面临各种安全挑战，安全漏洞、网络攻击、勒索、敏感信息泄露等，安全问题也会对公司运营、业务发展造成不良影响，经济损失、用户流失、声誉受损、公信力下降等。

二.企业需要什么样的安全？

数据安全

数据安全是所有公司最核心的安全需求，也是绝大多数公司高管最关注的问题，目标是保障企业敏感数据安全、可控。

在攻防对抗中占主动地位

能够掌控企业整体安全态势，可主动发现潜在安全风险，并在第一时间内解决遇到的安全问题。

保障业务安全、连续、可用

尽可能降低因网络攻击而造成的业务影响，例如最常见的DDOS，CC以及针对业务层面的攻击等。

三.企业如何做好安全？

树立正确的安全观

要明确安全是动态的、相对的、安全建设是一个持续的过程、安全建设需要有持续的投入、安全建设需要公司高层支持、安全不仅仅是安全部门的事。

企业整体安全视角

1.安全目标

安全规划的总体目标是从信息安全管理制度、基础架构安全、业务安全、安全运维四个方向进行。根据企业不同发展阶段，业务系统发展进度，不断更新完善符合个阶段安全需求的规划方案。

短期目标

建立基本的安全管理制度，解决目前急迫和关键的问题，通过规划部署IDS/IPS、WEB应用防护系统、上网行为审计系统、信息安全管理平台技术措施，同时通过规划建立安全组织体系、人员安全、安全策略制度、系统建设安全、系统运维安全等安全管理措施，争取通过在较短期内的建设，使得信息系统的安全状况有大幅度提高。

中长期目标

完善的信息安全技术体系、信息安全管理体系、信息安全运维体系，同时，逐步完善信息安全组织体系。拥有完整的安全设计，对所有服务器、PC机进行集中的安全态势感知、安全检测及防护，建立纵深防御系统。能够持续的对业务系统进行保护，具备风控和应急响应的能力。

2.信息安全管理制度

三分技术，七分管理，首先建立安全制度，做好安全意识培训，以下是部分安全制度。

3.生产网络

4.办公网络

5.第三方供应商和安全合规

6.安全体系建设发展阶段

最后固定安全预算支出，随着业务营收的持续需求，建议高层将安全的投入固定化，占IT总体投入的5%到10%。

架构师交流群

 「顶级架构师」建立了读者架构师交流群，大家可以添加小编微信进行加群

扫描添加好友邀你进架构师群，加我时注明【姓名+公司+职位】

版权申明：内容来源网络，版权归原作者所有。如有侵权烦请告知，我们会立即删除并表示歉意。谢谢。

猜你还想看