688
互联网企业安全指南3.2 不同阶段的安全建设重点
3.2 不同阶段的安全建设重点
1. 战后重建
2. 进阶
以上算是解决了安全的温饱问题,第二阶段就是要向更广的方向拓展。一是广义的信息安全,以前是在忙于解决不被黑而抽不出身,现在安全相关的事情都要抓起来,从只对接内部IT,运维和研发部门扩展到全公司,跟安全相关的环节需要加入必要的流程,以前下线的硬盘不消磁的现在要重视起来了,以前雇员可以随意披露公司的信息以后就不可以了,以前雇员离职的账号不回收的现在开始不可能了,以前DBA可以给数据库插条记录然后去电商上卖装备的,那种事从此开始要一刀切断,诸如此类的事情还有很多。其实这个时候你可以把ISO27001拿出来看看了。二是业务安全,比如用户数据的隐私保护,之前安全只是作为保障而不是一种前台可见的竞争力,但现在安全需要封装起来对用户可见,对产品竞争力负责,如果公司已经发展到一个很大的平台,盗号问题都解决不了的,我觉得真的需要考虑一下自己的乌纱帽问题。这一部分对安全圈人士而言可能并不高大上,可能没太多值得拿出来炫技的部分,但是我认为这些是务实的安全负责人需要考虑的问题,这些属于经营管理者视角下的一揽子安全问题,如果这些问题不解决而去发明WAF发明HIDS去,尽管可以拿到安全圈来发两篇文章炫耀一下,但从职责上看属于本末倒置,直接影响公司营收的问题需要先解决。之所以把业务安全放在第二阶段而不是去优化安全基础架构是因为投入产出的边际成本,投在业务安全上,这一部分产出会比较直观,对高层来说安全从第一阶段到第二阶段一直是有明显可见的产出,而如果此时选择去优化基础安全能力,这种产出受边际成本递增的影响,效果会极其不确定,而这时候业务安全问题频发,就会被倒逼至两难的境地,一则优化基础安全的工作做了一半,一则又要考虑是否中途转去做点救火的事情,而安全产出是安全团队对公司高层影响力的所在,只有看到持续的产出才会影响力增加,才会有持续的投入,尤其在老板不是技术出身的公司,他也许很难理解你去发明WAF的价值,他只会问盗号这么严重怎么不解决。这个问题从工程师的视角和管理者的视角得出的结论可能完全不同,安全对高层的影响力是安全团队在公司内发展壮大的基础,这是很多甲方安全团队之痛,你可以对比一下自己所在的环境,安全团队的负责人对大方向的把控上是不是做到了可持续发展,好吧,这个问题有点尖锐。
3. 优化期
4. 对外开放
最后更新:2017-05-15 17:32:25