内容简介:Mark信息安全专业毕业,曾经在安全厂商工作几年,后在机缘巧合之前来到一家互联网公司,并开始了一段甲方做企业安全的不归路……经历了大学到乙方再到甲方视角的转变,Mark对安全的认识也在不断的发生着转变:大学专业就是信息安全缘故,自己认为信息安全是大量知识领域和技术集合,技术中产生安全问题,安全问题由技术解决;毕业后进入安全厂商和集成商摸爬滚打,坐着安全咨询、安全集成等相关工作,帮助各大公司和部委完成业务系统的安全建设,信息安全也不再是单纯的技术和项目交付,上升为了一种责任,一种帮助甲方提升和完善业务系统安全
Mark信息安全专业毕业,曾经在安全厂商工作几年,后在机缘巧合之前来到一家互联网公司,并开始了一段甲方做企业安全的不归路……
经历了大学到乙方再到甲方视角的转变,Mark对安全的认识也在不断的发生着转变:大学专业就是信息安全缘故,自己认为信息安全是大量知识领域和技术集合,技术中产生安全问题,安全问题由技术解决;毕业后进入安全厂商和集成商摸爬滚打,坐着安全咨询、安全集成等相关工作,帮助各大公司和部委完成业务系统的安全建设,信息安全也不再是单纯的技术和项目交付,上升为了一种责任,一种帮助甲方提升和完善业务系统安全能力的责任;再之后的机缘巧合之下,自己转到了互联网行业,一家风口浪尖且愿意为安全做大量投入的公司,也由乙方角色转换到了甲方,企业安全对自己除了技术和责任之外,又多了一层含义,那一层就是文化,好的安全工作不仅要保障业务,更要融入这家公司文化,贴合业务,依托企业文化,使安全工作变成公司业务乃至每个员工比较容易接受方式,增强安全工作的贴合度和粘性。
说了这么多,那安全是什么呢,MBA智库百科有个不错的解释:
信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
那如何做好企业安全呢?最近刚好看了两本不错的书,结合这两本书聊聊自己对企业安全的思路,一本为萨提亚.纳德拉的《刷新》,一本为瑞·达利欧《原则》。萨提亚.纳德拉提醒了我做安全的态度,做事情要有同理心和善于接受并理解新事物的能力;而瑞·达利欧教会了我做安全的方法,任何事情的成功绝非偶然,其实有方法和套路的。
瑞·达利欧把成功定义为5步(以我司为例):
1、有明确的目标:
实现业务的安全可视、可控和可管,并最大化保证业务的效率。
2、找到阻碍视线目标的问题,并且不能容忍这些问题:
合规问题、公司内外部的威胁和业务系统自身的脆弱性。
3、准确诊断问题、找到问题的根源:
合规问题:对公司业务相关的合规和法律了解不全面;
技术层面:主机安全问题、 docker 安全问题、网络安全问题、应用安全问题、数据安全问题、物理安全问题;
管理层面:员工安全意识问题,标准化的管理、制度、要求、流程、规范等的缺乏。
4、规划可以解决问题的方案:
总结如下技术与产品结合的安全导图,仅供参考
化繁为简,将公司安全建设划分三个阶段跟大家简单介绍
第一阶段:安全建设初期
原则:
外部威胁防御优于内部威胁
主要建设内容包括:
1、资产的识别,网络的梳理 2、漏洞的识别、修复 3、边界的4层和7层防护,基于业务进行边界隔离,精细化白名单方式开放端口和流量 4、链路的流量审计 5、核心网络的访问认证和权限管理 6、主机及终端防护,如设置安全基线、部署防病毒或相关安全插件等 7、app安全,如app安全加固等 8、业务系统日常存活、漏洞、端口等检测扫描 9、第三方渗透测试 10、安全意识宣贯 11、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
第二阶段:安全建设中期
原则:
重点建设内部安全和数据安全,补充完善外部威胁防护
主要建设内容包括:
1、上网行为管理及上网认证 2、邮箱安全 3、数据库及对应权限梳理、整合、回收 4、数据全生命周期的管理、数据治理,如数据标准化、分级分类、加密、脱敏等等(数据安全方面大而广,后续单独文章介绍) 5、DLP 6、蜜罐、威胁情报(验证公司安全体系健壮性) 7、日志管理平台 8、第三方渗透测试 9、安全意识宣贯 10、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查 11、看公关需要,可获取公司级别认证,如iso 27001等
第三阶段:安全运营期
原则:精细化,可视化运营
主要建设内容:
1、SRC 2、自研安全平台 3、各安全系统的精细化运行、联动和可视化 4、第三方渗透测试,众测(根据公司情况而做) 5、安全意识宣贯 6、合规要求:如等级保护测评,风险评估检测,完成网安及相关监管单位的要求和检查
总结:
一家公司安全建设顺序可根据业务需求进行灵活调整,漏洞、合规、数据安全和安全意识宣贯需要贯穿安全建设的始末;漏洞是安全的灵魂,漏洞的发现、识别和快速响应在安全工作中永远是优先级最高的;合规和数据安全是刚需,也是老板们最看重的点;安全做到最后永远是人的问题,安全意识宣贯是提升公司整体安全水平的最有效手段,也是安全文化建设的核心。
5、做一切必要的事来践行这些方案,实现成果:
贴合公司战略、业务发展现状,对安全工作开展排列优先级,以终为始,要事第一,统合综效,不断更新。
总结:安全是一个特殊的存在,安全是个形容词,绝对安全很难,但是在企业安全的建设过程中,希望通过自己不断实践、总结和刷新,将安全化繁为简,守护好安全的寸土。
后面会分享更多细节,未完待续。
*本文作者:Mark2019,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 2019年唠嗑企业安全之堡垒机(二)
- 企业安全建设(二):构建开源企业WAF
- 企业被“勒索”遭殃,企业数据安全路在何方
- Leangoo企业版发布,助力企业规模化敏捷
- 36氪研究企业调研 | 人工智能翻译企业-新译科技
- Hyperledger Fabric 和企业级以太坊,谁才是企业首选?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Algorithmic Beauty of Plants
Przemyslaw Prusinkiewicz、Aristid Lindenmayer / Springer / 1996-4-18 / USD 99.00
Now available in an affordable softcover edition, this classic in Springer's acclaimed Virtual Laboratory series is the first comprehensive account of the computer simulation of plant development. 150......一起来看看 《The Algorithmic Beauty of Plants》 这本书的介绍吧!
