查看原文
其他

从微盟删库事件看小公司如何做安全建设?

来源 | IT令狐冲

上一篇:有了这4款工具,再也不怕写SQL了,让你写出一手优雅的SQL

ISO 27001 安全体系框架

我以前负责过安全团队的组建及管理,目标是初步搭建公司安全体系,首先是如何找到正确的人?不要考虑学历问题,目前在中国攻防技术厉害的,普遍学历比较低,而且没几个有CISSP,CCIE等高大上的证书,大部分不是科班出身。要找专业安全公司从业经历的,因为他们经常和甲方打交道,清楚要做什么,圈子里的朋友也多,这样你就会很快找到。


信息安全没有百分之百的安全,所以无论是等保还是ISO 27001标准都在实施之前强调分级分类,等保相关请参考另外一篇网络安全等级保护制度2.0(等保2.0),等保的工作重点在二、三、四级上,而三级的安全要求也基本和ISO 27001标准内容匹配,三级以上的等保要求又超过了ISO 27001标准,仅仅实施ISO 27001标准还达不到等保的要求,所以必须以等保作为主线来推进组织的信息安全管理。


一.为什么要做信息安全


企业面临来自各方面的安全威胁,外部黑客、网络黑产、竞争对手、内鬼等,同时也面临各种安全挑战,安全漏洞、网络攻击、勒索、敏感信息泄露等,安全问题也会对公司运营、业务发展造成不良影响,经济损失、用户流失、声誉受损、公信力下降等。


二.企业需要什么样的安全?


数据安全

数据安全是所有公司最核心的安全需求,也是绝大多数公司高管最关注的问题,目标是保障企业敏感数据安全、可控。


在攻防对抗中占主动地位

能够掌控企业整体安全态势,可主动发现潜在安全风险,并在第一时间内解决遇到的安全问题。


保障业务安全、连续、可用

尽可能降低因网络攻击而造成的业务影响,例如最常见的DDOS,CC以及针对业务层面的攻击等。


三.企业如何做好安全?


树立正确的安全观

要明确安全是动态的、相对的、安全建设是一个持续的过程、安全建设需要有持续的投入、安全建设需要公司高层支持、安全不仅仅是安全部门的事。


企业整体安全视角



1.安全目标


安全规划的总体目标是从信息安全管理制度、基础架构安全、业务安全、安全运维四个方向进行。根据企业不同发展阶段,业务系统发展进度,不断更新完善符合个阶段安全需求的规划方案。


短期目标

建立基本的安全管理制度,解决目前急迫和关键的问题,通过规划部署IDS/IPS、WEB应用防护系统、上网行为审计系统、信息安全管理平台技术措施,同时通过规划建立安全组织体系、人员安全、安全策略制度、系统建设安全、系统运维安全等安全管理措施,争取通过在较短期内的建设,使得信息系统的安全状况有大幅度提高。


中长期目标

完善的信息安全技术体系、信息安全管理体系、信息安全运维体系,同时,逐步完善信息安全组织体系。拥有完整的安全设计,对所有服务器、PC机进行集中的安全态势感知、安全检测及防护,建立纵深防御系统。能够持续的对业务系统进行保护,具备风控和应急响应的能力。


2.信息安全管理制度


三分技术,七分管理,首先建立安全制度,做好安全意识培训,以下是部分安全制度。


3.生产网络



4.办公网络



5.第三方供应商和安全合规


6.安全体系建设发展阶段




最后固定安全预算支出随着业务营收持续需求,建议高层将安全的投入固定化,占IT总体投入的5%到10%。

公众号后台回复【架构】或者【架构整洁】有惊喜礼包!------END------

架构师交流群

 「顶级架构师」建立了读者架构师交流群,大家可以添加小编微信进行加群

扫描添加好友邀你进架构师群,加我时注明姓名+公司+职位】


版权申明:内容来源网络,版权归原作者所有。如有侵权烦请告知,我们会立即删除并表示歉意。谢谢。

猜你还想看

亿级Web系统负载均衡几种实现方式
狠!真实版"删库跑路",瘫痪36小时市值蒸发10亿!微盟系统遭遇运维删库:出于个人原因,已拘留
Spring Boot 整合 Redis
基于 token 的多平台身份认证架构设计

长按识别图片二维码关注,订阅更多精彩

顶级架构师,企业架构、系统架构、网站架构、大规模分布式架构、高可用架构等架构讨论,以及结合互联网技术的架构调整。欢迎有想法、乐于分享的架构师交流学习

: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存