B2B创业型企业的安全运营建设之路(3)

这里面简单说一下安全审计,初期没有一个系统化的管理平台,每一个员工都拥有管理员权限,这会带来很多的安全风险,因为很多员工并不懂安全,不知道他访问的哪些网站,安装的哪些软件会有安全威胁,这就需要我们IT人员做好管控,把普通员工的管理员权限取消.

另一点要说明的是补丁,并不是所有的应用补丁,或者是软件版本更新都需要升级,所谓要不要打补丁,要根据你的业务进行评估,如果对业务有影响,会造成业务或者网络中断,那么就不需更新补丁.

终端安全,包括终端行为监控,资产配置管理,终端远程维护,I/O 接口管理,系统账户监控.

这里不一一阐述了,简单说一下远程维护的必要性,比如很多分公司的员工会上报故障维修,如电脑故障之类,各个分公司配备多个IT人员成本较高,也不现实,那么我们就需要IT人员远程协助分公司员工解决故障了.

防泄密,每一家企业都会碰到的,我们目前还没有一个完整的解决方案,目前能够做的是对员工进行思想教育.

基于准入控制,这个也不用多说,大家都可以理解,你要判断哪些可以接入内网,要满足什么样的条件或需要什么条件能够进入内网.之后我们可以从两大点实现准入,一个是网络的准入,还有一个客户端的准入,应用可以归纳为客户端.网络的准入可以通过 802.1X 协议执行.

VPN 安全有两方面：第一个是管理,另外一个就是配置.管理方面,如权限开通一定要走审批的流程,VPN 日志需要定期分析安全隐患.在配置上需要做的几点,变更管理需要走流程,会话连接数设置,超时设置等等.

源码安全也是很重要的,这个也是我们保护的对象之一,源码的管理难以做到面面俱到,可以从三方面做一些管控,完整性、授权,以及复制和传播,彻底的杜绝泄露我们目前无法实现.

有条件的可以做内网日志,之前看到的一个文章,是阿里如何防止内部员工去泄露信息,它的实现是对内部信息做一个打码或者是加水印处理,水印中保存了用户登录 cookie,一旦泄露可以定位到哪位员工泄露的.

2.3.5 授权和访问控制

在访问控制上,我们现在实现的是身份管理这一块,其它方面也是慢慢做的实现.身份管理,单点登录时一个不错的方案,其它的比如访问管控,流程资源方面可以在实际问题中逐渐扩展.

3. 安全驱动

上面写的运营方面的内容,是根据我们公司实际情况做的一个安全工作.

接下来是安全驱动,这个是比较抽象的东西,比如你要建设的策略、计划,你要推动这些事情怎么落实.现阶段也是我所面临的一个难点,在推动过程中遇到的一些问题,接下来跟大家分享一下我的想法.

3.1 资源分析

推动前先要做好事前分析,人力资源分析,当前你有多少人力可以助力推动这个事情.有多少的支持,又有多少的反对,支持和反对需要做好评估,如果阻碍太大做不下去就可以放弃了.

3.2 救火阶段

那么救火阶段的驱动需要做哪些呢?我个人总结了一些,时时跟踪,主动出击,紧迫盯梢,及时曝光.如果需要配合的人不配合,你可以曝光,至于曝光给谁,当然是上级,也就是可以做主拍板的人.

3.3 日常运营阶段

日常的运营阶段,我总结的几点是,首先要明确负责人,定时跟踪,流程约束,松驰有度,另外还要做奖惩的制度.明确责任人很重要,你发现问题了,你要驱动一个策略,要知道事件相关联的人.

之前公司,业务线比较多,组织的变动也带动了业务的变动,有一次我找人就找了两天,这个就是浪费时间的事情.我建议,进入公司时先要熟悉组织架构,自己可以维护一个表,记录每一个业务产品的对应的负责人.

3.4 建设阶段

建设阶段,我们找钢网,安全只有一个人,我们的运维人数也很少,一共就有八九个,人少能做的事情是有限的,你一个人可以做的很少,结合大家一起做的事情就比较多了,比如说结合运维、DBA、IT、基础架构等等,可以站在一个驱动的角度推动,涉及到运维就可以驱动运维人员协助完成,这就是一个相互协作的过程.

3.5 推广阶段&落地

（编辑：ASP站长网）