本文探讨了企业如何打造安全体系,包括基础安全措施、安全管理体系、应急响应和业务安全,强调了数据安全、技术体系、合规性以及对抗黑客渗透的重要性。作者提倡企业从网络架构、安全技术和管理等多个角度提升防御能力,并提到法律法规如GDPR和ISO27000的要求。
前言
在某一天的深夜,作为安全从业人员,穿着大裤衩子,坐在门前,点燃一根烟(画面自己想象)开始思考企业如何打造自己的安全体系,虽然这不是作为月薪3k该考虑的问题,但是毕竟当初笔者的从业理想是想成为道哥一样的人,为安全行业贡献自己的一份力。于是写下自己的想法,对于中小企业我希望能够完善自己的安全体系,花最少的钱做好安全这件事;对于安全人员我希望大家多考虑企业面临的危险点,而不只是会开一个扫描器做一个定时任务、开一个dirsearch就睡觉的那种!
随着国家现在化、信息化的不断推进,同时5G时代的来临,很多企业开始慢慢数字化转型,我们感受到了信息化给我们带来的方便与快捷,不管是衣食住行都比较以前都有了青铜到黄金的提升,这点上笔者深有体会!那么在这个高速发展的信息化道路上,不容忽视的一个大问题就是安全问题!!!我相信很多人和笔者一样收到过一些某某贷、售房等推销的电话,那么我们就不得不质问一个问题了,在如今我们每天都在面对手机的时代,上个厕所都在刷抖音的时代,我们的个人信息怎么得到保障?谁来保障?国家是不是应该颁布安全行业规则?
对于企业面临的安全问题依然很严峻,尽管你的网站采用https,但是这也避免不了病毒带来的对业务的影响,对于国家也是提出了没有网络安全就没有国家安全,加大了企业安全问题的整顿,我们知道我们的等保1.0到2.0有了改变,变得比以前严了,增加了对物联网、云的等保工作,同时也加大了对一些不整改的企业的惩罚,同时不同行业也出台了适合自己的安全管理体系,笔者曾经阅读过《银行安全管理体系》确实不错,大家有时间可以看看。可以看出安全问题已经不是一个企业能避免的问题了。面对庞大的安全体系,笔者将尽可能给大家从不同维度描述、讲解。
面临的问题
架构: 运维 业务 应用 内部
运维:服务器配置问题 未更新补丁 采用有漏洞的中间件及服务 弱口令等
业务:活动促销 账号体系 交易体系 风控体系等
应用:web漏洞 app漏洞
内部: 安全意识不足 办公网补丁 wifi密码 钓鱼邮件
老板信息 政府领导人名单 学生学号 公司工号 等敏感信息
安全体系建立(防守)
这是一个本人规划的一个安全架构设计图(勿喷)献上这个的原因是我希望大家在看这篇文章有个参考,在架构设计的时候,安全部门就应该参与并融入一些安全观念,比如考虑后期的抗D方案架构设计。网站是否负载均衡分流,是否上CDN,在架构设计方面应该考虑分层思想、边界防御、纵深防御(主机安全比如ossec、应用安全比如waf、边界安全比如snort)等思想!网络方面我们应该考虑设备的冗余,交换机采用HA部署方式。网站结构方面是否采用站库分离、前后端分离。同时全层的架构设计也应该结合等保2.0来设计,这样也方便后期的等保过级。应该特别注意的是前期我们应该做好严格的安全域的划分,不同区域的安保级别划分以及不同区域之间在防火墙上面的访问策略.
假如以
最低0.47元/天 解锁文章
扫一扫
768
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
