淺析企業(yè)如何開展網(wǎng)絡(luò)安全建設(shè)。

在互聯(lián)網(wǎng)行業(yè)掙扎了幾年，碰見了許多行業(yè)的客戶，但發(fā)現(xiàn)其實很多人都會購買網(wǎng)絡(luò)安全設(shè)備，WAF之類，但其實他們對這些設(shè)備起到的作用并不了解，仿佛只是因為別人買了這些，于是自己也要買上一套。

經(jīng)常聽到老大調(diào)侃，之前遇到了一個客戶是賣菜的，但是網(wǎng)安要求他需要做等保，于是賣菜的懵圈了，聽到這個事情的人也懵圈了，一個賣菜的需要做啥等保？
其實如果這個賣菜的業(yè)務(wù)只是做線下的業(yè)務(wù)，那么信息安全等級保護(hù)工作肯定和他挨不上邊，但是這位商家已經(jīng)把業(yè)務(wù)擴(kuò)展到了線上，到了線上就涉及到了用戶基礎(chǔ)信息、支付等隱私安全問題，這些安全問題小到會對店家信息安全造成威脅，大到會對社會公共安全造成威脅。所以網(wǎng)安部才會要求開展等保工作。

這樣一看，連個賣菜的小販用上互聯(lián)網(wǎng)后都需要做好安全工作，更不用說企業(yè)了。那要如何做好企業(yè)安全呢？我們要找尋方法和套路，有效的針對問題，解決問題。

一、確定目標(biāo)：
實現(xiàn)業(yè)務(wù)的安全可視、可控和可管，并最大化保證業(yè)務(wù)的效率。

二、發(fā)現(xiàn)問題
每個企業(yè)在安全問題上都會存在合規(guī)問題、源自企業(yè)內(nèi)外部的威脅和業(yè)務(wù)系統(tǒng)本身的脆弱性，這些問題都是需要我們?nèi)ブ匾暤摹?br/>合規(guī)問題：對與企業(yè)業(yè)務(wù)的相關(guān)合規(guī)和法律不了解或者了解不全面；
技術(shù)層面：源自于虛擬設(shè)備、物理設(shè)備的安全問題；
管理層面：企業(yè)員工對于網(wǎng)絡(luò)安全意識的缺乏，企業(yè)對于安全相關(guān)的標(biāo)準(zhǔn)化的管理制度、流程規(guī)范等的缺乏。

三、規(guī)劃方案：
1、合規(guī)監(jiān)管
國家法律、法規(guī)，行業(yè)監(jiān)管要求、規(guī)范，國際法律、法規(guī)、規(guī)范；
2、技術(shù)
資產(chǎn)安全：主機安全、Web安全、Doker安全、網(wǎng)絡(luò)設(shè)備安全、安全設(shè)備安全、終端安全、數(shù)據(jù)庫安全、應(yīng)用安全、物理安全
數(shù)據(jù)安全：數(shù)據(jù)產(chǎn)生和采集、數(shù)據(jù)存儲、數(shù)據(jù)訪問和應(yīng)用、數(shù)據(jù)傳輸、數(shù)據(jù)備份、數(shù)據(jù)銷毀
第三方檢測：威脅情報、***測試、風(fēng)險評估、監(jiān)管檢測、安全認(rèn)證（iOS27001、等保等）

安全建設(shè)規(guī)劃

階段一：安全建設(shè)初期
外部威脅防御需要高于內(nèi)部威脅防御（這是當(dāng)然的），首先應(yīng)對外部安全威脅，給網(wǎng)站部署WAF進(jìn)行防御，如果是非運營性網(wǎng)，可以部署軟WAF，如常見的ShareWAF、ModSecurity等。


階段二：安全建設(shè)中期
對外部威脅防御進(jìn)行補充完善，重點對內(nèi)部安全和數(shù)據(jù)安全進(jìn)行防御，主要是防內(nèi)鬼。


第三階段：安全運營期，重在維護(hù)，安全意識不可松懈。網(wǎng)絡(luò)安全從來都是防患于未然的事。


總結(jié)：
企業(yè)的安全建設(shè)工作可以根據(jù)本身的業(yè)務(wù)需求對流程進(jìn)行靈活調(diào)整，安全問題不是一次性能解決的問題，需要將良好的安全意識貫徹到每一天的工作中。安全問題做到最后會發(fā)現(xiàn)還是歸根于是人的問題，安全意識的提升才是提升公司整體安全水平的最佳手段。