互联网企业安全高级指南1.4 不同规模企业的安全管理
1. 创业型公司
对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已。安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情:
基本的补丁管理要做。
漏洞管理要做。
L3~L7的基本的访问控制。
没有弱密码,管好密码。
账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位。
办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了。
流程什么的就没必要去搞了,有什么需求,口头约束一下。
找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来。
系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误,当然有进一步需求,也可以参考后面的技术篇中的措施。
实惠一点的,找个靠谱的白帽子兼职做一下测试,或者众测也行。
是不是觉得简陋了一点?我估计很多乙方提供的服务除了卖产品之外也不会比这个效果更好了。不过,现在不少创业公司是拿了不小的风投的,也没那么寒酸。另外一个很重要的特征是,创业公司基本都上公有云了,不会自己再去折腾IDC那点事,所以相对而言以上措施中的一部分可以等价于:
1)使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等。
2)使用市场中第三方安全厂商提供的安全能力。
具体怎么选怎么用就不展开讲了,不过不要因为迷信云平台关于安全能力的广告而自己不再去设防,毕竟针对租户级的通用型的安全方案其覆盖面和防御的维度是有限的。
2. 大中型企业
这个层次对应市场上大多数公司的安全需求,它的典型特征是,业务营收的持续性需要安全来保障。公司愿意在IT安全上投入固定的成本,通常小于IT总投入的10%,不过这已经不错了。这时候开始有专职的安全人员或安全团队,建设上重视效果和ROI,会具备初步的纵深防御能力。对应技术上的需求为:
L2~L7中的每一层拥有完整的安全设计。
对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力。
应用层面细粒度控制。
全流量入侵检测能力。
无死角1天漏洞发现能力。
在安全等级较高的区域建立纵深防御和一定的0天发现能力。
初具规模的安全专职团队。
对应用交付有自主的评估和修补能力。
从IT服务层面建立必要的流程、业务持续性以及风控应急措施。
对业务安全形成自己的风控及安全管理方法论。
将难以自己实现的部分外包。
好像跟前面的描述比一下子抽象了?是的,这个层级的安全需求没办法很具体地量化。不同的业务模式对应的安全实现还是有很大的不同,加上这个区间里的公司营收规模可以差很大,对应的安全投入也可以差很多。那什么样的公司归入这个区间呢?比如四大行,国内TOP10甚至TOP5以后的互联网公司,大量的电信、金融、政府、能源等企业都属于这个区间,但我为什么不把BAT归入这个区间?这样的分类岂不是不科学?我之所以这样分类完全是从安全建设的复杂度上去考量的,而不是从安全建设的资金投入上去归类的。很多行业(比如金融)的安全投入很大,但这些解决方案大都是靠花钱就能买来的,而BAT的方案花钱不一定能买得到,很多都需要自己动手去打造,对安全团队的定位、能力和需求完全不一样。那BAT以外较大的互联网公司呢?我觉得他们会玩些各自特点的小花样,但是不会进入大范围的复杂的安全建设,这是由公司的整体面和业务决定的,不需要过分保障和超前业务的安全建设。
再往上一层是大型互联网企业。
企业上云势不可挡 安全策略该如何制定? 本文讲的是企业上云势不可挡 安全策略该如何制定? 【IT168 编译】随着企业越来越多地将系统和数据转移到云上,安全问题不可避免地出现了。如何确保云的安全?保护云安全我能做什么?如何保护云数据免受勒索软件攻击?对于任何领域的CIO和CISO们来说,这些都是至关重要的问题。
云计算和外包数据安全分析及建议 本文讲的是云计算和外包数据安全分析及建议,很多企业,要么已经配置了云计算,要么即将配置云计算。云计算是提高灵活性、减少成本的最新技术。
相关文章
- 去误报、高精度,NDR让企业安全防护上一个台阶
- 互联网企业安全高级指南1.1切入“企业安全”的视角
- 互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别
- 互联网企业安全高级指南1.2 企业安全包括哪些事情
- 互联网企业安全高级指南2.1 创业型企业一定需要CSO吗
- 互联网企业安全指南3.2 不同阶段的安全建设重点
- 互联网企业安全高级指南3.3 如何推动安全策略
- 互联网企业安全高级指南3.6 需要自己发明安全机制吗
- 互联网企业安全高级指南3.7.1 攻防驱动修改
- 互联网企业安全高级指南3.12 关于应急响应
- 互联网企业安全高级指南3.13 安全建设的“马斯洛需求”层次
- ChatGPT 对企业意味着什么?
- 思科安全技术顾问吴清伟:数字化时代的企业安全防护探讨
- windows10企业版怎么关闭自动更新
- 欧洲最大光伏企业宣布破产 中国市场暂时安全
- 机器学习如何威胁企业安全
- 安全情报企业爆料:一段视频攻陷我国多家企业
- 每家企业应该知道的10家SaaS初创公司
- 企业确保云安全访问的五大步骤
- 企业保证特权访问安全的5种方法
- 美企业安全巨头Tanium获1亿美元私募股权融资
- 双模式IT:企业IT部门是否能够肩负双重劳动力角色的概念?
- 企业需要成熟的云安全进程
- 丢三落四:企业上云却忘记了云安全
- US-CERT:企业监听HTTPS可导致安全风险