企业信息安全建设
- 一、前言
- 二、企业安全建设思路
- 三、安全建设实施
- 1、第一阶段
- 2、第二阶段
- 3、第三阶段
- 4、第四阶段
一、前言
最近面试经常被问到企业安全建设,于是根据自己的经验及查询资料整理下思路。
二、企业安全建设思路
企业信息安全建设是一个由外到内,由粗到细,由合规到自主的过程,企业安全建设一般也都伴随合规驱动、业务驱动、风险驱动三个过程,最终使企业人员形成认同安全的意识以及主动安全的意愿。企业安全是由多方面组成,主要工作是来防范威胁、降低风险,涉及开展的工作包括终端安全管理、应用安全管理、主机安全管理、网络安全管理、数据安全管理、应急检测与保障、安全体系设计与维护、网络架构安全管理等
- 合规驱动:建立基本的纵深安全防御体系,具备一定的安全防御能力,建立基本的信息安全制度,提供安全工作标准。
- 业务驱动:提升业务安全问题测试发现、事件处理能力,制定统一安全规范。
- 风险驱动:建立主动风险识别、弱点探测能力,全面提升安全管理、安全防御自动化能力。
- 终端安全管理:涉及终端安全管理策略优化及维护,终端病毒防护、补丁分发及软件管理,用户网络、邮件、USB管理等
- 应用安全管理:安全开发周期管理,开源框架及组件使用管理,应用系统日志、流量、威胁检测、传输存储、备份恢复管理;代码审计、漏洞扫描、渗透测试执行
- 主机安全管理 :涉及主机漏洞扫描、渗透测试、安全配置评估;主机日志收集、流量分析、安全检测
- 网络安全管理 :涉及漏洞扫描、安全配置评估、网络防护体系建设、安全区域划分,边界防护建立(防火墙、堡垒机、入侵防御、WAF等)
- 数据安全管理 :涉及数据的分类分级管控、敏感数据的安全处理及防护,数据备份恢复
- 安全监测及应急处置 :建立安全事件发现、溯源、处理流程,建立舆情分析、威胁收集的机制,形成安全事件应急预案
- 安全体系设计及维护:信息安全制度体系的发布,安全理念实施的落地,信息安全培训、宣传的实行
三、安全建设实施
企业安全实施需要结合企业的现状分析实施,主要是对企业系统进行风险性评估,确定安全风险级别,使用风险收益较高的方案,实现人力、财力的最大收益。企业安全建设主要是根据工作开展的紧迫性和易操作性进行分阶段规划实施。
1、第一阶段
企业安全建设第一阶段应当是外部风险防护,内容包括:资产信息梳理、专项安全检查、渗透测试 、安全评估与加固、蜜罐系统搭建,安全网络架构构建,安全预警及监测平台建设
2、第二阶段
第二阶段在第一阶段基础上,主要实现内部安全建设,可以针对内网安全、终端安全管理,网络安全架构、安全监控预警、安全应急管理、安全培训等进行建设
3、第三阶段
第三阶段应当加强web安全问题早期发现,系统上线变更管理、数据防泄漏等安全能力,提升安全体系管理与审计能力
4、第四阶段
主要加强安全体系管理、审计和考核管理,更加有效的帮助软件企业降低安全问题,提升对安全问题进行集中发现、管控及处理能力,实现安全主动防御以及增强追踪能力
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
