安全领域众多,分享这个议题,是因为在之前的工作过程中我们发现像大家非常关心的机密数据泄露 、资产盗窃、数据篡改、服务中断,以及物理逻辑的破坏行为通常都发生在运维安全环节,需要通过安全运维确保整个系统在一定的安全级别中运行。
一、安全建设思考
当企业开始着手考虑安全建设时,要考虑的因素有很多,其中包括管理层的期望、业务部门的安全诉求、组织环境、企业治理模式等。综合了解这些信息后,需要评估这个时候安全所处的阶段,可能还会做一下同行差距分析,然后才着手做安全规划,就需要引入企业安全建设的有一份论,一般来说建设信息安全有四个阶段。
第一个阶段通常是救火,优先解决业务痛点,同时做一些基础的“保命”工作,来降低安全事件发生的概率,快速找到可能导致内外网安全入侵的安全隐患并修复,比如无线安全、VPN远程访问、弱口令、服务器后门等。这个时候也是最困难的,要人没有,钱也很有限,关键买设备也来不及,就得根据以住渗透经验转换成防御方法,做最有效的工作,按照2/8法则。另一个方面快速组织团队,因为这个时候,你的安全项目计划里已经有很多活等着干了。
第二个阶段是体系化建设阶段。过了救火期,可以稍微喘口气,进行有序的安全建设。主要精力是在基础安全建设,比如安全老三样、堡垒机、双因素、VPN之类的。这个阶段还互联网不了,因为团队里基本上不具备开发能力,主要是以商业安全设备为主,外加少量的安全工具自研,提升运维的效率;这个阶段也可以考虑参考ISO27001体系出台三、四级的管理规范,并推动落地,这样确保从源头解决问题,否则你永远处在擦地板的过程,因为水桶有洞,水在不断滴出来,擦一次是干净了,过一会儿又流出来了。
