如果要你入職一周内短時間完成安全規劃,你會怎麼辦?
顯然是一件極其困難的事情。
制定完善的安全規劃之前是需要詳細地了解企業安全的整體情況,針對不同層面、不同方向、不同階段的安全風險建立全面周詳的防護機制,最終形成覆寫管理、技術和人員的安全體系。
初步的安全方案
一、特點
1、簡單:幹系人可以快速了解并接受,減少溝通的成本。
2、能救火:對業務影響最大的風險應該被覆寫,盡快降低損失。
3、可執行:相關措施必須可以實施落地,避免假大空的概念設計。
4、有限資源:充分考慮執行環節的資源需求和實際情況,杜絕獅子大開口。
二、制定基礎制度
好的安全管控,是自上而下的。通過釋出制度,讓進階管理者為自己授權,配合的工作,變成必須遵守的企業制度。
1、适度限制:隻覆寫目前階段必須管控的内容,避免引發群體抵觸。
2、簡明清晰:制度内容一目了然,避免空話太多導緻重點被忽略。
3、平衡業務影響:對業務和風險劃分優先級,允許業務部門調整資源排期。
4、明确職責和懲戒:約定協作義務,制定可衡量的判斷标準。
三、執行全面評估
業務等級分為、高、中、低三大類。
檢查清單如下
1、資料系統(合規)
2、應用程式(濫用)
3、資料庫(授權)
4、中間件(缺陷)
5、作業系統(漏洞)
6、網絡裝置(合理性)
順序按照實際情況進行。如果主要威脅來自外部,那麼網絡裝置會優先考慮。
如果威脅主要來自内部洩密,那麼應用系統會優先考慮。
四、建立監控審計
對企業的評估清單中的選項,進行安全監控審計。
常見的開源安全運維平台為OSSIM。