初入甲方的企业安全建设规划

一年一度的跳槽季又到了，很多圈内的朋友之前是在安全公司这样的乙方工作，随着年龄的增加，手速变慢，头发变少，身体感觉被掏空。等下，好像有点跑题。那么言归正传，再加上加上家庭的压力，所以很多小伙伴都有跳槽到甲方的想法。

一、背景

这种想法产生的原因无外乎以下几点：

• 当了那么多年乙方，被甲方爸爸虐的体无完肤，也想转变下体会下当“爸爸”的滋味。
• 进入甲方可能会挣的比在乙方多一些，如果是热门行业或者新兴行业说不定还能拿到一定得股权。
• 逐渐有了家庭的压力，希望能够有更多的时间陪陪家人，而不是无休止的给客户加班做项目。

那从乙方到甲方，虽说都是干安全的工作，但是其实关注的重点是不一样的，有的甚至在面试的时候碰壁，有的勉强面试通过，可是初入甲方，开始新工作后也不适应，也有的伙伴所在公司安全就一人，只要是跟安全相关甚至不想关的工作都必须干。那么甲方安全到底怎么开展?应该做些什么工作呢?

首先，先确定甲方企业安全建设的目标。

甲方企业安全建设的目标就是要实现业务的整体安全，赋能业务产线，将安全从传统的成本中心转变成业务中心(部门)，使安全工作可管、可控、可视，最大化的保证业务运行。

围绕这个目标开展以下工作。

二、企业安全建设的三方面

围绕企业安全建设的目标，应该从技术、管理、合规三个大的方面进行工作开展。

• 安全技术层面：物理安全、网络安全、主机安全(服务器和终端)、应用安全、数据安全(大数据安全)、云安全
• 安全管理层面：安全管理机构、安全管理制度、人员安全管理、系统建设安全管理、系统运维安全管理
• 安全合规层面：信息安全等级保护、GDPR、ISO/IEC27001、BCMS、PCI-DSS等。

通过对安全技术层面的建设，可以确保企业线上业务的整体技术防护能力达到一个新的高度，形成纵深防御技术架构;通过对安全管理层面的建设，可以形成成熟的安全管理体系，使成功经验变得可复制;通过对安全合规层面的建设，既可以符合国家层面或行业层面的安全要求也可以检查自身是否存在安全风险和短板。三者结合，相辅相成，共同组成了整体企业安全体系，使得企业在安全方面能够实现风险看得见、事件管得住、管理落了地。

三、企业安全建设的阶段

企业如果在安全方面基本是空白的话，那么可以按阶段、分步骤有序的进行，循循渐进，避免眉毛胡子一把抓，到头来什么也做不好。针对安全工作开展，我总结了以下三个阶段。

1. “救火”阶段

此阶段重点关注外部安全威胁、关注网络攻击、资产识别、入侵、漏洞、病毒、安全事件的处置和应急响应。

对于中小型企业或者安全工作刚起步的企业，第一步工作是要做好外部网络攻击的防护，因为此时外部威胁对企业造成的损害远大于内部或其他方面造成的损害。此阶段要以信息系统资产为基础开展如下工作：

• 发现识别所有资产，对资产进行分类梳理，查找脆弱点，降低风险，做到资产可控、风险可视。
• 购买或采用开源安全设备如防火墙、WAF、IDS/IPS、防病毒、VPN等进行网络、主机和应用层面的安全加固，提升防护的基线水平。
• 进行基线配置核查和加固，如口令口令复杂度和生存周期核查加固、访问控制策略(ACL、文件和目录的权限、账户权限)核查和加固、端口开放核查和加固、系统版本核查和升级等。
• 开展渗透测试，分为外部互联网访问节点、内网办公节点和业务生产网节点，，发现存在的脆弱点，有针对性地进行加固。

2. 稳定阶段：

此阶段重点关注内部安全和数据安全，同时不断更新完善外部安全。包括终端安全、上网行为管理、数据安全各生命周期、安全审计、SDLC、攻防演练平台(红蓝军对抗)、应急演练等。

当第一阶段取得阶段性成果后，企业业务系统基本能够安全地运行，抵御大部分恶意代码或网络攻击。此时，我们需要将工作重心由外部安全威胁防护转移到内部安全和数据安全层面。俗话说：“家贼难防”，如果出现“内鬼”，那么一切防护措施就形同虚设，而且会造成严重危害。同时，不断完善第一阶段的外部安全防护工作，形成闭环。

• 部署终端安全管控和上网行为管控系统，针对不同的业务部门或岗位职责设置设置不同的安全策略，尤其是掌握高密级数据或核心资料的人员(如财务、高管、运维、人力、开发等)。
• 采用网络准入和域控对接入企业内部网络进行限制，防止非法人员非法接入企业内网进行渗透和数据盗取。
• 对数据各生命周期(数据采集、数据传输、数据处理、数据分析、数据共享、数据销毁)阶段进行安全防护，开展SDLC活动，保证数据安全。
• 对整体网络架构和业务系统及数据系统进行优化，设置冗余架构和备份容灾系统，包括：电力、网络线路、服务器、应用系统、数据备份。
• 考虑安全审计功能，开启设备或系统本身的审计功能以及部署专门的审计设备，对进出网络的流量和行为进行审计，保证发生安全事件后能够溯源追踪，同时为下一阶段做态势感知、威胁情报和大数据分析提供基础数据。
• 关注安全动态，特别是已公布的漏洞、病毒预警等信息，进行验证和复盘，同时对标企业自身进行检查和防护。
• 建立攻防演练平台，开展红蓝对抗。目的是提高内部人员安全技术能力的同时也提高业务系统的安全性，培养人员和发现安全风险一举两得。
• 制定应急预案，并定期进行应急演练，包括模拟实际业务中断和沙盘推演或桌面演练。

3. 提升阶段：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!