IT化建设阶段
第一阶段,企业的IT化建设。这时候互联网技术刚刚起步,企业刚刚开始探索互联网技术的应用。所以最先出现的应用是提高办公效率的内部办公系统,如ERP,OA,CRM系统。系统多是CS架构,服务器放在办公区本地机房。此时企业面临的安全威胁以电脑病毒为主,对应的安全需求就是基础IT设施的安全。
互联网的浪潮
第二阶段,是互联网企业的兴起,及其引发的互联网+浪潮,然后有O2O,现在有国家主导的数字信息化。这个阶段,企业对互联网的探索已经成熟,互联网极大的改变了传统行业的业务形态,极大改变了人们的生活方式。互联网技术下,企业的业务开展与企业的应用呈极大的绑定状态,企业随之面临着应用安全的威胁,增加了应用安全的需求。
黑灰产的发展
第三阶段,网络黑灰产也随着互联网企业的发展而发展,并急速扩张到各行业领域。比如金融,电商,游戏,通信,传媒等等。出现诈骗,勒索,水军,外挂,薅羊毛,网爆等问题。涉及数据安全,业务安全,公司机密甚至人身安全等重大问题。在严峻的黑灰产态势面前,企业增加了数据安全等方面的安全需求。
国家干预
第四阶段,国家下场干预。因黑灰产的猖獗,对企业及人民造成的巨大的经济甚至生命的损失,国家陆续出台了以《网络安全法》为代表的一系列通用的网络安全法规。对犯罪行为进行界定,公安部、工信部等多部门联合对网络犯罪从严打击。国家也对企业提出了网络安全能力的要求。企业随之增加了安全合规的安全需求。
抽象的来讲,企业安全体系建设的顺序是这样的。先调研分析,结合法律,出方案交决策层审批。然后根据方案进行安全技术体系,安全管理体系建设,安全运营体系的建设。
调研分析
安全体系建设的第一步,首先要对公司进行现状调研分析。调研分析的目的是,帮助企业,也帮助自己,理清自己的安全需求跟状态。
调研分析内容可设计如下
- 是否需要安全应急
- 企业迫切的安全需求是什么
- 企业业务都有哪些,优先级是什么
- 业务归属于什么行业,有没有行业特殊的法规要求
- 企业的合规建设要做到什么程度
- 分析企业面临的安全威胁及优先级
- 分析各方面安全建设的成本(时间,人力,金钱)
初期的调研内容,比较粗粒度,作用是用来确认安全建设的优先级及顺序。随着各方面安全建设的进行,具体落地的时候会有更细粒度的调研,然后根据细粒度的调研再去微调具体安全方面的工作内容。比如应用安全里面,SDL或DevSecOps在企业的落地情况,落地了哪些,需要补充的有哪些。
法律法规
建设方案制定时,除了公司的现状,还有一个非常重要的方面要考虑。就是法律合规。出现违法问题会非常严重,轻则软件下架,中则通告罚款,而一旦通告通常极大影响股价。重则入狱。法律法规通用的是以网络安全法为代表的网络安全信息保护方向的法律。除了通用的网络安全法之外,国家对各行业也有特定的法律规定。
方案制定
现在结合法律法规,跟自己业务的实际情况,我们就可以制作出企业的安全建设方案了。方案中列明XXX建设优先级,建设成本等内容,交决策层审批,审批后按意见修改方案或落地执行。完善的安全建设,需要有技术体系、管理体系、运营体系三个方面的内容。
技术体系建设
技术体系的建设有全面跟完整两个要求。
全面是指安全各方面的全面,应用安全,数据安全等都要有。
完整是指各方面的技术链路的完整。每个方面的发现,监控,分析,修复,加固等技术要完整。
管理体系建设
管理在整体安全建设中的比重非常大,安全行业内就讲“三分技术,七分管理”。安全管理体系的建设可分为管理制度制定以及安全工作流程落地。
制度给出明文规定,安全工作流程实现制度的真实落地。理论上所有部门的所有工作流都可以进行安全改造。管理制度,可以参照国家法律法规,结合公司的实际进行制定。从高优先级的方面开始,伴随着安全建设,逐步覆盖,逐步落地。
制度跟流程跟实际的业务工作,是紧密结合的。是需要根据公司实际,进行增加或更新的。公司引入新的工作内容,需要制定其对应的管理制度及流程,需要加入安全的考量。比如社交平台账号的自媒体推广。比如多个公司的临时工在社交媒体发布不合适言论的案例。实际情况中,工作流程的真正实现落地都需要借助技术,借助系统工具才能实现。
运营体系建设
安全运营体系,就是安全相关事务的持续运营。牵涉巨量的沟通,对接,跟进等工作。从安全入场,从第一次调研开始就已经涉及运营工作了。随着安全建设的进行,安全牵扯的事务越来越多,运营的工作也会越来越多。运营工作最难的地方,是在建设落地的过程中。去对接、说服、推进的过程。
运营工作量最大的地方,是在建设落地之后。持续使用安全设备、安全系统,处理安全事件。此时会有自动化、简单化、数据化、智能化的效果追求。实际过程中技术,管理,跟运营是紧密结合的,没有先后顺序。然后实际安全工作的划分,有的内容也没办法按技术,管理,运营划分的这么清晰。
在出具的安全建设方案的时候,可以将安全按照应用安全、基础IT设施安全、数据安全、办公安全、业务安全、内容安全等进行拆分,有顺序有优先级的落地。安全各方面都有各自的技术,管理,运营的内容。注意,在实际环境中,不会划分的这么清晰明确,各种安全问题之间呈十分复杂的耦合态,互相衍生,互相交叉,互相扯后腿。所以实际的安全建设中,无法彻底解决一种问题然后去解决其他问题,而是同期推进解决几种才能彻底解决其中一种问题。
应用安全
应有的类型有服务端应用(如数据库)、客户端应用、APP、Web、小程序、IOT。因为互联网对业务的影响呢,业务要么跟应用是绑定的,要么应用就是产品本身。即使是免费单机软件/APP,有的也需要应用安全。比如PDF阅读器,打开恶意文件会导致命令执行。单机但是内置升级程序的应用,也要进行应用安全建设。如浏览器。如果公司被其他方向入侵,应用代码被插入恶意代码的话,那么所有使用此应用的用户都会被攻击。类似案例有phpstudy的后门事件,redis漏洞。所以有应用的公司,应当进行应用安全建设。特别是跟业务绑定的互联网应用,因为应用是最易被攻击的一个互联网目标。采购第三方的应用,也应该进行安全评估、渗透测试等安全检查,防止别人的漏洞影响公司。应用安全理念有 SDL/DevSecOps,围绕应用的生命周期开展安全建设。
基础IT安全
基础安全的保护对象,是公司的基础IT设施,类型有IT资产或IT服务。比如IT资产有服务器、域名、ip等,服务有网络、数据库、云服务等。黑客可通过应用间接攻击或互联网直接攻击公司的基础资源或基础服务,因此需要进行基础安全建设。互联网出入口的相关资源及服务首先需要进行基础安全建设,其次是内网。当基础IT中没有自建设施,完全采用的云服务,没有云主机,就连数据库、消息队列等都是使用的云服务时,那么基础安全=云原生安全。当存在云主机时,那么就是传统的基础IT安全+云安全。
基础安全建设中公有云及私有云的异同分别是
异:公有云存在资源过期问题,私有云不存在过期问题。公有云在硬件层没有实现隔离,私有云在硬件层面实现了隔离。私有云可在硬件层面实现安全加固,公有云硬件层面安全是统一的。
同:在技术体系及管理体系可进行的安全建设都是相同的。如监控,如HIDS,如操作审计,如权限管理。
办公安全
办公安全的保护对象,是公司的一切。内鬼行为,不安全的办公行为可能导致公司各方面的损失。理论上任何公司都需要办公安全。办公安全聚焦于日常办公的工作流及公司员工。对日常办公的相关事务进行保护。高精尖,高端制造等行业,办公安全的重要性比互联网行业更大。因为其业务形态决定了它的应用安全的重要性很小,办公安全的重要性很大。办公安全可分为:办公环境安全(网络、终端)、办公系统安全、办公工作流安全、员工安全、行为安全、身份权限安全。办公安全的理念有零信任。但是原始零信任应用的前提条件是办公系统会被大量的非公司人士,非办公区人员访问。
数据安全
数据安全的保护对象是公司数据。理论上任何公司都需要数据安全。数据可分为 客户数据,员工数据,业务数据,财务数据,权限数据,代码数据。
当然更准确完善的数据划分方式,要根据公司具体分析。最标准的方式是按公司部门统计各部门的数据,然后进行划分,进行分类分级。数据都有结构化数据,如SQL中的数据。以及非结构化数据,如各种电子文件及纸质文件。
总结
一、企业安全的重视程度是受行业影响的
一般受影响跟重视程度纯互联网企业>互联网+>传统企业
轻资产>重资产
二、技术、态势发展影响安全发展
应用安全,从SDL到devsecops
办公安全,从没有理念到零信任理念
三、安全威胁优先级不同
不同行业,不同公司,其安全威胁的优先级也是不同的。
互联网公司中,一般应用安全的优先级最高,所以应用安全需求多,也先从应用安全开始建设。
但是其他行业公司中,可能数据安全的优先级最高,或办公安全的优先级最高。
四、管理体系层面发现问题的能力比解决问题的能力更重要
一般来说,技术体系通用性较强,发现、监控、审计、测试等等,在任何行业任何公司都是一样的。但是管理体系就不太通用,需要根据公司具体情况做建设或改造。管理体系,工作流程的安全方面,发现问题的能力比解决问题的能力更重要。