一年一度的跳槽季又到了，很多圈內(nèi)的朋友之前是在安全公司這樣的乙方工作，隨著年齡的增加，手速變慢，頭發(fā)變少，身體感覺被掏空。等下，好像有點跑題。那么言歸正傳，再加上加上家庭的壓力，所以很多小伙伴都有跳槽到甲方的想法。

?[[260428]]?

一、背景

這種想法產(chǎn)生的原因無外乎以下幾點：

• 當了那么多年乙方，被甲方爸爸虐的體無完膚，也想轉(zhuǎn)變下體會下當“爸爸”的滋味。
• 進入甲方可能會掙的比在乙方多一些，如果是熱門行業(yè)或者新興行業(yè)說不定還能拿到一定得股權(quán)。
• 逐漸有了家庭的壓力，希望能夠有更多的時間陪陪家人，而不是無休止的給客戶加班做項目。

?[[260429]]?

那從乙方到甲方，雖說都是干安全的工作，但是其實關(guān)注的重點是不一樣的，有的甚至在面試的時候碰壁，有的勉強面試通過，可是初入甲方，開始新工作后也不適應(yīng)，也有的伙伴所在公司安全就一人，只要是跟安全相關(guān)甚至不想關(guān)的工作都必須干。那么甲方安全到底怎么開展?應(yīng)該做些什么工作呢?

首先，先確定甲方企業(yè)安全建設(shè)的目標。

甲方企業(yè)安全建設(shè)的目標就是要實現(xiàn)業(yè)務(wù)的整體安全，賦能業(yè)務(wù)產(chǎn)線，將安全從傳統(tǒng)的成本中心轉(zhuǎn)變成業(yè)務(wù)中心(部門)，使安全工作可管、可控、可視，盡可能保證業(yè)務(wù)運行。

圍繞這個目標開展以下工作。

二、企業(yè)安全建設(shè)的三方面

圍繞企業(yè)安全建設(shè)的目標，應(yīng)該從技術(shù)、管理、合規(guī)三個大的方面進行工作開展。

• 安全技術(shù)層面：物理安全、網(wǎng)絡(luò)安全、主機安全(服務(wù)器和終端)、應(yīng)用安全、數(shù)據(jù)安全(大數(shù)據(jù)安全)、云安全
• 安全管理層面：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維安全管理
• 安全合規(guī)層面：信息安全等級保護、GDPR、ISO/IEC27001、BCMS、PCI-DSS等。

??

通過對安全技術(shù)層面的建設(shè)，可以確保企業(yè)線上業(yè)務(wù)的整體技術(shù)防護能力達到一個新的高度，形成縱深防御技術(shù)架構(gòu);通過對安全管理層面的建設(shè)，可以形成成熟的安全管理體系，使成功經(jīng)驗變得可復(fù)制;通過對安全合規(guī)層面的建設(shè)，既可以符合國家層面或行業(yè)層面的安全要求也可以檢查自身是否存在安全風險和短板。三者結(jié)合，相輔相成，共同組成了整體企業(yè)安全體系，使得企業(yè)在安全方面能夠?qū)崿F(xiàn)風險看得見、事件管得住、管理落了地。

三、企業(yè)安全建設(shè)的階段

企業(yè)如果在安全方面基本是空白的話，那么可以按階段、分步驟有序的進行，循循漸進，避免眉毛胡子一把抓，到頭來什么也做不好。針對安全工作開展，我總結(jié)了以下三個階段。

??

1. “救火”階段

此階段重點關(guān)注外部安全威脅、資產(chǎn)識別、漏洞、病毒、安全事件的處置和應(yīng)急響應(yīng)。

?[[260430]]?

對于中小型企業(yè)或者安全工作剛起步的企業(yè)，初步工作是要做好外部網(wǎng)絡(luò)的防護，因為此時外部威脅對企業(yè)造成的損害遠大于內(nèi)部或其他方面造成的損害。此階段要以信息系統(tǒng)資產(chǎn)為基礎(chǔ)開展如下工作：

• 發(fā)現(xiàn)識別所有資產(chǎn)，對資產(chǎn)進行分類梳理，查找脆弱點，降低風險，做到資產(chǎn)可控、風險可視。
• 購買或采用開源安全設(shè)備如防火墻、WAF、IDS/IPS、防病毒等進行網(wǎng)絡(luò)、主機和應(yīng)用層面的安全加固，提升防護的基線水平。
• 進行基線配置核查和加固，如口令口令復(fù)雜度和生存周期核查加固、訪問控制策略(ACL、文件和目錄的權(quán)限、賬戶權(quán)限)核查和加固、端口開放核查和加固、系統(tǒng)版本核查和升級等。
• 開展?jié)B透測試，分為外部互聯(lián)網(wǎng)訪問節(jié)點、內(nèi)網(wǎng)辦公節(jié)點和業(yè)務(wù)生產(chǎn)網(wǎng)節(jié)點，發(fā)現(xiàn)存在的脆弱點，有針對性地進行加固。

2. 穩(wěn)定階段：

此階段重點關(guān)注內(nèi)部安全和數(shù)據(jù)安全，同時不斷更新完善外部安全。包括終端安全、上網(wǎng)行為管理、數(shù)據(jù)安全各生命周期、安全審計、SDLC、攻防演練平臺(紅藍軍對抗)、應(yīng)急演練等。

?[[260431]]?

當初級階段取得階段性成果后，企業(yè)業(yè)務(wù)系統(tǒng)基本能夠安全地運行，抵御大部分惡意代碼。此時，我們需要將工作重心由外部安全威脅防護轉(zhuǎn)移到內(nèi)部安全和數(shù)據(jù)安全層面。俗話說：“家賊難防”，如果出現(xiàn)“內(nèi)鬼”，那么一切防護措施就形同虛設(shè)，而且會造成嚴重危害。同時，不斷完善初級階段的外部安全防護工作，形成閉環(huán)。

• 部署終端安全管控和上網(wǎng)行為管控系統(tǒng)，針對不同的業(yè)務(wù)部門或崗位職責設(shè)置設(shè)置不同的安全策略，尤其是掌握高密級數(shù)據(jù)或核心資料的人員(如財務(wù)、高管、運維、人力、開發(fā)等)。
• 采用網(wǎng)絡(luò)準入和域控對接入企業(yè)內(nèi)部網(wǎng)絡(luò)進行限制，防止非法人員非法接入企業(yè)內(nèi)網(wǎng)進行滲透和數(shù)據(jù)盜取。
• 對數(shù)據(jù)各生命周期(數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)分析、數(shù)據(jù)共享、數(shù)據(jù)銷毀)階段進行安全防護，開展SDLC活動，保證數(shù)據(jù)安全。
• 對整體網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)系統(tǒng)及數(shù)據(jù)系統(tǒng)進行優(yōu)化，設(shè)置冗余架構(gòu)和備份容災(zāi)系統(tǒng)，包括：電力、網(wǎng)絡(luò)線路、服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)備份。
• 考慮安全審計功能，開啟設(shè)備或系統(tǒng)本身的審計功能以及部署專門的審計設(shè)備，對進出網(wǎng)絡(luò)的流量和行為進行審計，保證發(fā)生安全事件后能夠溯源追蹤，同時為下一階段做態(tài)勢感知、威脅情報和大數(shù)據(jù)分析提供基礎(chǔ)數(shù)據(jù)。
• 關(guān)注安全動態(tài)，特別是已公布的漏洞、病毒預(yù)警等信息，進行驗證和復(fù)盤，同時對標企業(yè)自身進行檢查和防護。
• 建立攻防演練平臺，開展紅藍對抗。目的是提高內(nèi)部人員安全技術(shù)能力的同時也提高業(yè)務(wù)系統(tǒng)的安全性，培養(yǎng)人員和發(fā)現(xiàn)安全風險一舉兩得。
• 制定應(yīng)急預(yù)案，并定期進行應(yīng)急演練，包括模擬實際業(yè)務(wù)中斷和沙盤推演或桌面演練。

3. 提升階段：

此階段重點是精細化和可視化的安全運營?；谇皟蓚€階段的安全建設(shè)和能力提升，實現(xiàn)安全業(yè)務(wù)工作的常態(tài)化和可視化。包括：構(gòu)建可視化的態(tài)勢感知平臺、ISOC、SRC(安全應(yīng)急響應(yīng)中心)、威脅情報庫、自研安全系統(tǒng)(WAF、完整性檢測及防篡改、堡壘機、資產(chǎn)管理、漏洞掃描平臺等)、安全比賽、安全教育培訓、合規(guī)等。

前兩個階段將外部安全和內(nèi)部安全進行了整體建設(shè)，安全能力水平基本上達到了優(yōu)秀水平，那么為何還要進行這個階段呢?這個階段就是提升和拔高的階段，就是要將安全能力進行聚合并向外輸出，將安全這個傳統(tǒng)的“成本中心”向“業(yè)務(wù)中心”進行轉(zhuǎn)變。同時，實現(xiàn)安全的目標：安全可視化和安全工作日?；?。

• 利用前兩階段的日志和審計信息、告警信息、運行信息、收集的漏洞、病毒信息、設(shè)備的運行信息等構(gòu)建企業(yè)自身的安全管理系統(tǒng)(SOC)和態(tài)勢感知系統(tǒng)以及威脅情報系統(tǒng)，并將結(jié)果再次輸入到企業(yè)安全建設(shè)發(fā)展工作中去，形成良性循環(huán)。
• 組建安全應(yīng)急響應(yīng)中心(SRC)，對內(nèi)部和外部進行開放，以獲得更多的安全情報和安全體檢，發(fā)現(xiàn)業(yè)務(wù)更多的安全風險，豐富自身的態(tài)勢和威脅情報系統(tǒng)。
• 開展自行研發(fā)安全系統(tǒng)工作，這個時候為了更大程度提高安全防護水平，需要針對具體的業(yè)務(wù)系統(tǒng)自行研發(fā)有針對性的安全防護系統(tǒng)，加固業(yè)務(wù)安全。比如自行開發(fā)WAF、防篡改、堡壘機、資產(chǎn)管理和漏掃系統(tǒng)。
• 主辦或承辦安全比賽，開展安全培訓工作，提升知名度吸引更多的安全人才，同時將安全能力向外輸出，獲得經(jīng)濟收益。
• 開展各種國家或行業(yè)層面的安全合規(guī)工作，比如等保、GDPR、PCI-DSS等，確保符合法律法規(guī)要求。

四 、安全技術(shù)

安全技術(shù)是企業(yè)安全建設(shè)的基石，只有將安全技術(shù)的各個方面都覆蓋到，才能保證不會出現(xiàn)業(yè)務(wù)安全短板。

??

• 物理安全：物理訪問控制、防雷、防潮防水、防靜電、防火、溫濕度控制、電磁干擾(電磁屏蔽)、電力供應(yīng)、物理防盜防破壞、監(jiān)控等。

物理安全可以說是所有業(yè)務(wù)系統(tǒng)安全的支撐，如果在物理層面發(fā)生安全問題，那將是將是直接性或者毀滅性的打擊。物理安全基本上說的就是機房或數(shù)據(jù)中心的物理層面的安全，尤其是防潮防水和防火方面，因為之前做項目見識了太多的機房被水侵蝕和被火侵蝕的案例，直接造成了大量的經(jīng)濟損失，甚至是刑事責任。其他方面參照機房建設(shè)標準嚴格執(zhí)行，并落實到位。

• 網(wǎng)絡(luò)安全：鏈路冗余、帶寬和設(shè)備性能、系統(tǒng)版本升級、CDN、高防、流量清洗、安全基線配置、ACL規(guī)則細化、IDS/IPS、WAF、審計(網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計)、邊界安全、遠程訪問加密、資源監(jiān)控等。

網(wǎng)絡(luò)作為業(yè)務(wù)系統(tǒng)運行的橋梁和通道，其安全的重要性不言而喻。雖然隨著安全設(shè)備的部署及安全防護水平的提高，但是安全攻防永遠是進行互相博弈的，不能放松。在網(wǎng)絡(luò)安全層面需要從從可用性、完整性、保密性三方面進行建設(shè)。

• 可用性：設(shè)置冗余鏈路，保證業(yè)務(wù)不因運營商的事故而中斷;保證帶寬和網(wǎng)絡(luò)設(shè)備的吞吐量能夠滿足業(yè)務(wù)高峰需要，避免出現(xiàn)網(wǎng)絡(luò)擁堵和癱瘓的情況。
• 完整性：設(shè)置詳細的ACL、配置IDS/IPS、waf、審計等設(shè)備，保障數(shù)據(jù)在網(wǎng)絡(luò)中不被非法篡改。
• 保密性：提供網(wǎng)絡(luò)加密設(shè)備如加密機等，確保在網(wǎng)絡(luò)傳輸過程中對數(shù)據(jù)進行加密，不被非法竊取。
• 主機安全：身份鑒別和認證加強(堡壘機和多因子鑒別)、賬號權(quán)限控制、文件權(quán)限分配、安全審計、冗余備份、防病毒、資源監(jiān)控限制、遠程訪問限制、端口和服務(wù)關(guān)閉、完整性和檢測、系統(tǒng)版升級、終端安全(準入、安全管理、DLP)等。

主機安全方面，做好自身安全基線核查和自身加固，為業(yè)務(wù)運行提供高效、安全、穩(wěn)定的計算環(huán)境和存儲環(huán)境。

• 應(yīng)用安全：基于web的安全包括防sql注入、xss防御、CSRF防御、文件上傳、文件包含防護、越權(quán)防護、邏輯漏洞防護、敏感信息泄露防護等?；贏PP的安全包括：數(shù)據(jù)傳輸加密、代碼混淆、加殼、完整性校驗、身份認證等。

在應(yīng)用層面，建議開展SDL工作，從系統(tǒng)生命周期全面考慮安全。同時，對應(yīng)用系統(tǒng)采用代碼審計和安全測試兩方面，盡可能發(fā)現(xiàn)各種安全漏洞。針對OWASP Top 10漏洞和常見的其他漏洞檢測和防護這里不一一細述，以后可以做個專題。

• 數(shù)據(jù)安全：遵循DSMM涉及數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)分析安全、數(shù)據(jù)共享安全、數(shù)據(jù)銷毀安全、數(shù)據(jù)備份恢復(fù)安全等。

數(shù)據(jù)安全遵照數(shù)據(jù)安全生命周期安全開展建設(shè)工作，保證從數(shù)據(jù)產(chǎn)生到銷毀整個鏈條的安全，不放過任何一個環(huán)節(jié)。

五、安全管理

• 安全管理架構(gòu)：設(shè)置網(wǎng)絡(luò)安全委員會(領(lǐng)導(dǎo)牽頭等)、匯報機制、安全管理機構(gòu)的支持等。
• 安全管理制度：制定各種安全管理制度和獎懲措施、構(gòu)建安全體系。
• 人員安全管理：從入職到離職的安全意識教育、安全技能普及和提升、安全制度執(zhí)行和考核。
• 系統(tǒng)建設(shè)安全管理：系統(tǒng)建設(shè)工程安全管理(安全設(shè)計架構(gòu)、安全模型建立和評估、安全編碼、安全測試等)生命周期的安全管理。
• 系統(tǒng)運維安全管理：上線后系統(tǒng)運維的安全管理從網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的安全防護來執(zhí)行安全制度和要求。

??

俗話說：“安全是三分技術(shù)，七分管理”，可見安全管理的重要性，對于安全管理機構(gòu)、人員安全、安全管理制度、安全建設(shè)和安全運維體系和制度的建立，可以參照ISO/IEC27001等要求。但是安全管理最重要的不是制定許多安全制度，然后束之高閣，而是要能夠有效的落地和執(zhí)行。

以上就是我的一點關(guān)于企業(yè)安全建設(shè)的看法和總結(jié)，或多或少會有不足的地方，只要有一點或幾點能夠?qū)Υ蠹規(guī)碜饔?，就不白費我親手碼這么多字。歡迎各位多多指出不足之處并和我進行交流，一起提高，一起進步。