互联网企业安全高级指南1.4 不同规模企业的安全管理

1.4 不同规模企业的安全管理


1. 创业型公司

对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已。安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情:

基本的补丁管理要做。

漏洞管理要做。

L3~L7的基本的访问控制。

没有弱密码,管好密码。

账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位。

办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了。

流程什么的就没必要去搞了,有什么需求,口头约束一下。

找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来。

系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误,当然有进一步需求,也可以参考后面的技术篇中的措施。

实惠一点的,找个靠谱的白帽子兼职做一下测试,或者众测也行。

是不是觉得简陋了一点?我估计很多乙方提供的服务除了卖产品之外也不会比这个效果更好了。不过,现在不少创业公司是拿了不小的风投的,也没那么寒酸。另外一个很重要的特征是,创业公司基本都上公有云了,不会自己再去折腾IDC那点事,所以相对而言以上措施中的一部分可以等价于:

1)使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等。

2)使用市场中第三方安全厂商提供的安全能力。

具体怎么选怎么用就不展开讲了,不过不要因为迷信云平台关于安全能力的广告而自己不再去设防,毕竟针对租户级的通用型的安全方案其覆盖面和防御的维度是有限的。


2. 大中型企业

这个层次对应市场上大多数公司的安全需求,它的典型特征是,业务营收的持续性需要安全来保障。公司愿意在IT安全上投入固定的成本,通常小于IT总投入的10%,不过这已经不错了。这时候开始有专职的安全人员或安全团队,建设上重视效果和ROI,会具备初步的纵深防御能力。对应技术上的需求为:

L2~L7中的每一层拥有完整的安全设计。

对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力。

应用层面细粒度控制。

全流量入侵检测能力。

无死角1天漏洞发现能力。

在安全等级较高的区域建立纵深防御和一定的0天发现能力。

初具规模的安全专职团队。

对应用交付有自主的评估和修补能力。

从IT服务层面建立必要的流程、业务持续性以及风控应急措施。

对业务安全形成自己的风控及安全管理方法论。

将难以自己实现的部分外包。

好像跟前面的描述比一下子抽象了?是的,这个层级的安全需求没办法很具体地量化。不同的业务模式对应的安全实现还是有很大的不同,加上这个区间里的公司营收规模可以差很大,对应的安全投入也可以差很多。那什么样的公司归入这个区间呢?比如四大行,国内TOP10甚至TOP5以后的互联网公司,大量的电信、金融、政府、能源等企业都属于这个区间,但我为什么不把BAT归入这个区间?这样的分类岂不是不科学?我之所以这样分类完全是从安全建设的复杂度上去考量的,而不是从安全建设的资金投入上去归类的。很多行业(比如金融)的安全投入很大,但这些解决方案大都是靠花钱就能买来的,而BAT的方案花钱不一定能买得到,很多都需要自己动手去打造,对安全团队的定位、能力和需求完全不一样。那BAT以外较大的互联网公司呢?我觉得他们会玩些各自特点的小花样,但是不会进入大范围的复杂的安全建设,这是由公司的整体面和业务决定的,不需要过分保障和超前业务的安全建设。

再往上一层是大型互联网企业。

时间: 2024-09-19 09:24:03

互联网企业安全高级指南1.4 不同规模企业的安全管理的相关文章

互联网企业安全高级指南导读

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南1.1切入“企业安全”的视角

第1章 安全大环境与背景 如果从一个很微观的角度切入企业安全这个话题,那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向,所以本章从安全领域整体环境入手,以便于读者找到系统性的那种感觉.尽管笔者没有致力于提供关于企业安全的一个非常完整的"上帝视角",但也尽可能地兼顾了这方面的需求. 1.1 切入"企业安全"的视角 目前安全行业中"二进制"和"脚本"流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外,安全是一个很大的工程

互联网企业安全高级指南2.2 如何建立一支安全团队

2.2 如何建立一支安全团队 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队.上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题. 在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司.平台级互联网公司.大型集团的互联网+,到千千万万的互联网创业型公司. 1. 极客团队 如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里

互联网企业安全高级指南1.2 企业安全包括哪些事情

1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全. 3)广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算机数据库以外,还有包括纸质文档.机要,市场战略规划

互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别

1.3 互联网企业和传统企业在安全建设中的区别 总体来看,传统企业偏重管理,有人说是"三分技术,七分管理":而互联网企业偏重技术,我认为前面那个三七开可以倒过来.其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义.安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理. 先说一下传统企业和互联网企业在安全建设需求上的差异. 传统企业安全问题的特征如下: 1)IT资产相对固定. 2)业务变更不频繁. 3)网络边界比较固定. 4)IDC规模不会很大,甚至

互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求

1.5 生态级企业vs平台级企业安全建设的需求 生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别. 1. 差别的表象 主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现. 那么平台级公司和生态级公司的区别又在哪里?从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研.而平台级公司则会依赖开源工具更多一些,不会对所有解决方案场景下的安全工具进行自研.如果有预算也会优先投在"业

互联网企业安全高级指南3.5 选择在不同的维度做防御

3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面的"技术篇")企业安全架构是层层设防,层层过滤的,常见漏洞如果要利用成功需要突破几层限制,所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如SQL注入,治本的方法当然是代码写对,治标的方法WAF过滤,中间的方法SQL层过滤,从效果上说治本的方法固然最好,但在现实中总归会遇

互联网企业安全高级指南2.1 创业型企业一定需要CSO吗

第2章 安全的组织 很多人忽略组织,但实际上组织是比技术和流程更重要的东西,"人"是所有问题的决定性因素.本章就讲一下安全组织中的人. 2.1 创业型企业一定需要CSO吗 1. 招聘方的诉求 当下不少创业型公司都在找CSO,也有找到我的,就顺带分享一下我对这个问题的思考.首先这个问题即便是对同一个人而言可能答案也会因时而变,其次CSO只是一个代表性的称呼,大家不要过于纠结一定要做什么事才算CSO,CSO和CISO又有什么区别之类的,在这个语境下用来指代招聘方想找拥有全局安全管理经验的人