当今网络攻击将主要矛头对准企业,恶意入侵对企业造成的严重影响毋庸置疑,尽管企业主们深谙这一道理,但并非所有企业的实际安全保障措施都足够到位。
这里总结的是企业在做安全防御的统筹方法~
信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常的运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。信息安全的成败主要取决于两个因素:技术和管理。现实生活中大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。信息安全管理作为安全工作中的一个重要环节,主要包括识别组织资产和风险、采取恰当的策略和控制措施来消减风险,监督控制措施有效性,提升人员安全意识等。
企业安全的核心目标是为关键资产提供可用性、完整性和机密性保护(cia),降低组织面临的风险。
完整性(integrity):确保信息在存储、使用、传输中不会被非授权篡改,防止授权用户越权读取、修改信息,保持信息内外部一致性。
保密性(confidentiality):确保信息在存储、使用、传输中不会泄露给非授权用户或实体。
可用性(availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,保障可靠而及时的访问信息和资源。
通常使用以下三种手段来实现企业的安全防御。
管理控制
技术控制
物理控制
接下来就是对三种手段分别细聊
管理控制
安全计划
安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。
信息资产分级
确定信息资产分级方案,根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。
一般商业公司的信息敏感级别由高到低为:
机密
隐私
敏感
公开
人员控制
招聘时员工背景调查
在职期间防范内部人员外泄敏感信息、误操作引起的损失等
解聘相关账号注销
安全培训
企业安全培训一般分为高层培训、it部门培训和普通员工培训三类。
高层培训:主要是确定组织安全需求、得到高层在安全工作中的支持
it部门培训:针对安全开发、安全运营等开展的安全培训
普通员工培训:一般就是安全意识的培训
业务持续性管理(bcm)
bcm是整体的管理框架,提供足够有效的能力以保障组织关键利益相关者的利益,包含bcp和drp。
业务连续性计划(bcp)
业务连续性计划是机构信息系统安全项目(security program)的一部分,其目的是在中断事件发生时通过以下措施为机构提供解决方法:
采取及时和恰当的应急响应
保护生命安全
减少业务影响
恢复关键业务功能
在恢复期间与外部厂商和伙伴合作
在危险期间减少混乱
确保业务存活
在灾难后快速恢复
灾难恢复计划(drp)
灾难恢复的目标是降低灾难或者中断所带来的影响,当灾难来临时恰当的处理灾难及其灾难性的后果,通常灾难恢复计划关注于it层面。灾难恢复是在所有事情处于紧急状态时执行的。
技术控制
生产环境
安全开发
应用程序和计算机系统开发的首要目的往往是满足功能需求,而非安全。为了满足这两方面的需求,在设计和开发时必须同时考虑安全性和功能性。安全应该交织在产品的核心之中,并在各个层面提供保护。相对于在产品与其他应用程序集成时再开发可能影响总体功能和留下安全漏洞的前端或者包装程序,在设计之初就考虑进安全因素的方法要好得多。
软件开发生命周期(software development life cycle,sdlc)是通过可重复和可预测的流程来帮助确保满足功能、成本、质量、交付周期的需求。
安全计划应该尽量在生命周期的各个阶段予以实施,一般分为以下三个阶段:
前期:制定基线,参考编程语言(php、java等)的安全编写规范(如owasp安全编码指南等)、参考app安全设计标准
中期:工具+人工的白盒代码审计
后期:系统正式上线前进行软件功能测试和黑盒渗透测试
安全运维
安全运维是为保障网络、计算机系统、应用程序和环境以安全和受保护的方式运转。
不管是自建idc还是部署到公有云平台,我们都应该关注以下几个方面的安全控制:
安全域划分(vlan隔离等)
安全检测(定期的漏洞扫描、渗透测试等)
安全加固(系统、中间件、数据库等安全加固)
补丁管理(windows补丁等集中自动化管理)
入侵检测(部署软、硬件ids、ips、硬件ids等)
访问控制(iam策略、部署堡垒机等)
服务监控(网络、系统异常时系统自动短信通知管理员等机制)
日志集中管理(部署soc等设备)
抗ddos(使用cdn缓解ddos、预算范围内加大带宽等措施)
如果公有云平台提供部分安全控制措施,可以结合其提供的安全能力与自身需求相结合。
办公环境
办公环境的安全一般主要关注边界安全、终端安全、移动设备安全及oa服务域的安全。
边界安全
边界防护一般可以采取以下几种控制措施:
防火墙(传统防护墙、waf等)
vpn
入侵检测(ids、ips、蜜罐等)
上网行为审计
终端安全
终端防护一般可以采取以下几种控制措施:
ad策略
终端管理(杀毒软件、安全软件部署)
网络准入控制(nac)
移动设备安全
移动设备安全防护一般可以采取以下两种控制措施:
byod管理(制定byod使用规范)
wifi防护(禁止私设wifi热点、划分vlan、radius认证服务等)
oa服务域安全
oa服务域安全防护一般可以采取以下几种控制措施:
邮件使用管理规范(定期删除无用邮件、定期修改邮箱密码等)
内部系统使用规范(禁止开启对外映射、内部敏感信息禁止外传等)
物理控制
物理安全涉及到与保护企业资源和敏感信息的实体有关的威胁、缺陷和防范措施。这些资源包括人员、工作设施、数据、设备、支持系统、介质和所需的供给品等。与计算机和信息安全相比,物理安全方面的脆弱性、威胁和对策都有所不同。物理安全措施必须能够应对物理破坏、入侵者、环境问题、盗窃等。
物理安全所面临的威胁一般有以下三类:
自然灾害:洪水、地震、火灾、台风等
供应系统威胁:停电、通信终端等
人为威胁:未授权的访问(内部或外部的)、员工造成的错误和事故、故意破坏、盗窃等
物理控制措施主要包括以下几个方面:
访问控制(物理上的,非信息系统)
入侵检测(物理上的,非信息系统)
警报
闭路电视监控
供暖、通风、空调
电力供应(ups等)
火警和消防
警卫
锁具