B2B创业型企业的安全运营建设之路(2)

那么我们围绕基础安全分别介绍下具体是如何做的?

• 网络安全

首先说说网络安全,这个是做运维的基准.我们做网络安全要切合我们公司的网络架构,以最小的代价能获取最大利益.

安全域划分的原则,南北向业务是最小化的原则,也就是说访问控制分配最小化的权限,这点需要把控好,东西向的业务的需要分割,实现业务隔离.

对于无线安全这块,无线安全也是我们优先需要把控好的一点,我们无线安全是针对内网和外网用户实现访问控制的.

DOS 攻击防御,之前我跟很多专家沟通讨论过这个问题,必须要花钱,也只有多和少的区别.

我们找钢网是 2B 企业,没有 2C 那么大的流量,我们企业对 DOS 防御从两点做起,一个就是运营商帮我们做一些基础的过滤；再来需要采购流量清洗设备,大家需要评估一下你们自己的业务,选择适合你们的自己的产品.

入侵检测,我们没有采购单独的 IPS 防护设备,我们计划是自研轻量级的入侵检测.

• 数据安全

数据安全从三点来说：

第一点是资产的管理,这是数据安全基础,不管要做哪一类的信息安全,你首先要知道我们有哪些数据,有哪些资产,这些数据和资产类型是怎么样的,这些数据等级划分怎么样的.

第二点是数据访问,一个是用户的分配问题,还有一个是访问控制,需要做好这两点.

第三点就是数据安全,一是备份,备份需要做到三方面,本地备份、本机备份、异地备份；数据安全的第二点内容是数据的存储和加密.

• 系统安全

接下来介绍一下系统的安全,上图所列出的,是根据我们当前实际情况定制的,包括：数据库,主机访问控制,操作系统安全,桌面工作站等等.

这个就不一一介绍了,需要强调的一点是,除了运维人员其他人员就不要接触服务器,如果有特殊情况,特殊处理.还有,管理员权限一定要回收,这个是做好系统安全基础.

• 物理安全

物理安全,看看上述这张图,我们有很多分公司,但是我们分公司没有专门配备IT人员.左图是曾经的场景,现在我们实现了右图.这样也便于对一些网络故障的分析和定位.

2.3.2 应用安全

接下来介绍基础安全中的第二块内容,应用安全.

应用是与用户直接交互的,做应用安全不是盲目的,我们需要先了解业务.我们当前的核心业务是什么?保护的对象是什么?了解这些我们才能更明确的去分析业务面临的危险有哪些,再来制定保护策略.

应用安全,我们从三方面去做,应用上线前的安全评估,应用完成后风险测试,应用日志的审计.

安全评估是我目前正在做的事情.我们核心的对外的应用,在 PRD 评审阶段,与产品和研发一起做安全评估,帮助他们在开发的阶段规避一些常见的安全问题.

应用安全风险,这里给大家推荐一个 STRIDE 模型.它对用户身份的仿冒、篡改,数据泄露完整性方面的安全都是有一个很好的解释.这个大家可以在百度上查阅.

最后一个就是日志和审计,根据日志就可以定位有哪些用户访问了我们的应用,他们做了什么事情,可以分析一些风险场景.

2.3.3 运维安全

再介绍一下运维的安全,上述图中描述的是我们目前正在做的.前面也说过,我们初期有一个很混乱的场面,因此我们要做标准化,自动化,信息化,每一家企业要做好运维安全,首先要做好这三点,才能做好后面的管控方面的工作.

自动化这方面,自动化是相当必须的,因为公司不会在同一个岗位配备多个人员,我们都知道运维人员加班加点特别多,做自动化也是必不可少的,可以减轻人工的工作,提高工作效率,像运维操作的流程很多,比如有很多人要申请权限之类,如果每一样都需要人工操作,那么运维人员就不用干别的事了,这充分说明了自动化的必要性,自动化的另一方面体系在监控上,做好更全面更广的监控,可以帮助我们快速发现并定位网络故障.

统一受权,这个是比较关键的,我们使用的是4A的产品,这个产品目前使用下来还是挺不错的.

2.3.4 内网安全

最后一个就是内网安全,对于我们来说是很重要的.所有公司内网安全都是也是必不可少的.

内网安全涉及的点比较多,首先是桌面的安全,从以下几点介绍,进程的控制,补丁管理,内容过滤,资产管理,文件共享,还有软件安装审计等等.

（编辑：ASP站长网）