一、信息安全挑戰(zhàn)越來(lái)越大，監(jiān)管越來(lái)越嚴(yán)格

近期，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，調(diào)查發(fā)現(xiàn)了西北工業(yè)大學(xué)于2022年6月遭遇的網(wǎng)絡(luò)攻擊行為，黑客使用了分布在境外的跳板機(jī)和代理服務(wù)機(jī)，向西工大師生發(fā)布釣魚(yú)郵件，引誘師生點(diǎn)擊，從而入侵其內(nèi)部系統(tǒng)。

8月上旬，網(wǎng)絡(luò)上傳聞美的集團(tuán)已經(jīng)遭遇勒索攻擊，工廠多處電腦中了勒索病毒，導(dǎo)致內(nèi)網(wǎng)系統(tǒng)連不上，所有文件都無(wú)法打開(kāi)。對(duì)于被勒索，美的方面對(duì)此進(jìn)行了否認(rèn)，事實(shí)真相，筆者不得而知。

十一前后，有幾家知名企業(yè)因?yàn)榘踩录业叫骡佋品兄欣账鞑《?、有發(fā)生了數(shù)據(jù)泄露，需要協(xié)助進(jìn)行安全應(yīng)急處置。

最近這些年，網(wǎng)絡(luò)安全事件頻發(fā)，已經(jīng)逐漸成為常態(tài)了，知名企業(yè)往往是黑客關(guān)注的重點(diǎn)，如果自身的網(wǎng)絡(luò)安全在技術(shù)、管理、運(yùn)營(yíng)三個(gè)層面，任何一個(gè)地方存在薄弱點(diǎn)，一旦被不良組織盯上，基本上都難道厄運(yùn)，對(duì)企業(yè)造成重大損失。

除了安全事件頻發(fā)之外，安全監(jiān)管層面也是越來(lái)越嚴(yán)格了，這幾年我們國(guó)家陸陸續(xù)續(xù)出臺(tái)了一系列和網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、和標(biāo)準(zhǔn)規(guī)范。

· 2017年6月1日《網(wǎng)絡(luò)安全法》開(kāi)始實(shí)施，今年9月14日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《關(guān)于修改中華人民共和國(guó)網(wǎng)絡(luò)安全法的決定（征求意見(jiàn)稿）》· 2019年12月1日等級(jí)保護(hù)2.0開(kāi)始實(shí)施· 去年下半年《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》實(shí)施，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿）》的發(fā)布· 今年的《網(wǎng)絡(luò)安全審查辦法》、和《數(shù)據(jù)出境安全評(píng)估辦法》實(shí)施

發(fā)生網(wǎng)絡(luò)安全事件，對(duì)企業(yè)來(lái)說(shuō)，除了可能會(huì)造成經(jīng)濟(jì)損失之外，還存在相關(guān)法律合規(guī)方面的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)管理者、特別是企業(yè)IT負(fù)責(zé)人越來(lái)越頭疼的問(wèn)題了，對(duì)于網(wǎng)絡(luò)安全建設(shè)，很多企業(yè)不知道從何處著手，有的企業(yè)在安全建設(shè)上雖然投入了很多錢(qián)，但是效果卻不明顯，經(jīng)常發(fā)生安全事件，感覺(jué)防不勝防。

那么，網(wǎng)絡(luò)安全建設(shè)，到底如何做？如何做才能以最小的投入產(chǎn)生最大的價(jià)值？

二、安全建設(shè)，必須統(tǒng)一規(guī)劃，咨詢先行

網(wǎng)絡(luò)安全建設(shè)，通常的做法是先進(jìn)行系統(tǒng)性的、整體的網(wǎng)絡(luò)安全體系規(guī)劃設(shè)計(jì)，之后按照規(guī)劃設(shè)計(jì)的路線圖分步進(jìn)行實(shí)施，對(duì)于網(wǎng)絡(luò)安全，建設(shè)一定要堅(jiān)持技術(shù)與管理并重、并秉承持續(xù)運(yùn)營(yíng)的安全理念。

參考ISO27001、等級(jí)保護(hù)2.0三級(jí)要求、并結(jié)合業(yè)界最佳安全實(shí)踐，網(wǎng)絡(luò)安全體系建設(shè)框架一般包括：安全管理體系、安全組織體系、安全技術(shù)體系、和安全運(yùn)營(yíng)體系四個(gè)方面，具體內(nèi)容。

很多企業(yè)，在網(wǎng)絡(luò)建設(shè)初期，由于沒(méi)有做好系統(tǒng)性的整體的安全規(guī)劃設(shè)計(jì)，導(dǎo)致后期安全建設(shè)比較混亂，頭痛醫(yī)頭，腳痛醫(yī)腳，最后發(fā)現(xiàn)，買(mǎi)了一堆安全產(chǎn)品，錢(qián)花了不少，卻還是安全問(wèn)題頻出。

對(duì)于這種境況的企業(yè)，業(yè)界的最佳實(shí)踐是先做安全咨詢，通過(guò)咨詢，先客觀了解當(dāng)前安全現(xiàn)狀，找出安全薄弱點(diǎn)，并根據(jù)咨詢結(jié)果下一步有針對(duì)性的進(jìn)行系統(tǒng)性的安全規(guī)劃設(shè)計(jì)，簡(jiǎn)單來(lái)說(shuō)，咨詢工作是安全規(guī)劃成功的基礎(chǔ)和前提。

三、安全咨詢應(yīng)該如何做，如何選擇適合自己的安全咨詢服務(wù)商？

目前，國(guó)內(nèi)市場(chǎng)上做安全咨詢的公司主要有三類(lèi)：

• 傳統(tǒng)安全設(shè)備廠家：

安全咨詢是副業(yè)，咨詢側(cè)重產(chǎn)品層面，后期規(guī)劃實(shí)施時(shí)一般會(huì)推銷(xiāo)自己的安全產(chǎn)品，咨詢結(jié)果的中立性不足。

• 咨詢公司：

知名度高，咨詢費(fèi)用較高，安全咨詢主要側(cè)重管理層面，經(jīng)常發(fā)生規(guī)劃方案技術(shù)上難以落地的情況。

• 中立安全服務(wù)商：

安全實(shí)戰(zhàn)經(jīng)驗(yàn)豐富，熟悉常見(jiàn)安全產(chǎn)品，咨詢結(jié)果相對(duì)中立，咨詢方案能夠落地。

對(duì)于傳統(tǒng)企業(yè)來(lái)說(shuō)，選擇中立安全服務(wù)商做安全咨詢，然后分階段分步驟進(jìn)行安全建設(shè)是比較穩(wěn)健的方案。

新鈦云服就是中立安全服務(wù)商，新鈦云服的安全咨詢的方法和過(guò)程如下：

1、 安全咨詢工作的思路和價(jià)值

安全咨詢，主要通過(guò)技術(shù)、管理兩方面來(lái)進(jìn)行實(shí)施。技術(shù)方面采用的方式：現(xiàn)有安全措施溝通、配置核查、滲透測(cè)試、漏洞掃描等；管理方面采用的方式：用戶訪談、文檔分析、記錄調(diào)閱等。

安全咨詢的主要價(jià)值：

• 評(píng)估安全管理制度的完備性、適用性
• 評(píng)估安全操作的規(guī)范性、遵從性
• 評(píng)估安全措施的合理性、有效性
• 發(fā)現(xiàn)企業(yè)安全防御工作的短板
•  為安全加固和安全規(guī)劃提供依據(jù)

2、安全咨詢工作的重點(diǎn)

• 安全運(yùn)維的制度流程、運(yùn)維操作的安全管控、特權(quán)賬號(hào)和權(quán)限的管理
• 數(shù)據(jù)備份的制度流程、數(shù)據(jù)備份的日常操作、備份數(shù)據(jù)的驗(yàn)證和保護(hù)
•  應(yīng)用系統(tǒng)的安全管控
• 數(shù)據(jù)全生命周期安全管控

3、安全咨詢依據(jù)的主要標(biāo)準(zhǔn)規(guī)范

• 《GB/T 22080-2016 信息安全技術(shù) 信息安全管理體系要求》
• 《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》
• 《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
• ISO/IEC 27001/27002/27005
• 《GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》
• 《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》
• 《GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》

4、安全咨詢一般流程

5、安全咨詢輸出物

安全咨詢的輸出物一般包括：《項(xiàng)目啟動(dòng)說(shuō)明》,《安全現(xiàn)狀調(diào)研及相關(guān)風(fēng)險(xiǎn)分析報(bào)告》,《風(fēng)險(xiǎn)處置建議》,《安全規(guī)劃方案》等。