688
互聯網企業安全指南3.2 不同階段的安全建設重點
3.2 不同階段的安全建設重點
1. 戰後重建
2. 進階
以上算是解決了安全的溫飽問題,第二階段就是要向更廣的方向拓展。一是廣義的信息安全,以前是在忙於解決不被黑而抽不出身,現在安全相關的事情都要抓起來,從隻對接內部IT,運維和研發部門擴展到全公司,跟安全相關的環節需要加入必要的流程,以前下線的硬盤不消磁的現在要重視起來了,以前雇員可以隨意披露公司的信息以後就不可以了,以前雇員離職的賬號不回收的現在開始不可能了,以前DBA可以給數據庫插條記錄然後去電商上賣裝備的,那種事從此開始要一刀切斷,諸如此類的事情還有很多。其實這個時候你可以把ISO27001拿出來看看了。二是業務安全,比如用戶數據的隱私保護,之前安全隻是作為保障而不是一種前台可見的競爭力,但現在安全需要封裝起來對用戶可見,對產品競爭力負責,如果公司已經發展到一個很大的平台,盜號問題都解決不了的,我覺得真的需要考慮一下自己的烏紗帽問題。這一部分對安全圈人士而言可能並不高大上,可能沒太多值得拿出來炫技的部分,但是我認為這些是務實的安全負責人需要考慮的問題,這些屬於經營管理者視角下的一攬子安全問題,如果這些問題不解決而去發明WAF發明HIDS去,盡管可以拿到安全圈來發兩篇文章炫耀一下,但從職責上看屬於本末倒置,直接影響公司營收的問題需要先解決。之所以把業務安全放在第二階段而不是去優化安全基礎架構是因為投入產出的邊際成本,投在業務安全上,這一部分產出會比較直觀,對高層來說安全從第一階段到第二階段一直是有明顯可見的產出,而如果此時選擇去優化基礎安全能力,這種產出受邊際成本遞增的影響,效果會極其不確定,而這時候業務安全問題頻發,就會被倒逼至兩難的境地,一則優化基礎安全的工作做了一半,一則又要考慮是否中途轉去做點救火的事情,而安全產出是安全團隊對公司高層影響力的所在,隻有看到持續的產出才會影響力增加,才會有持續的投入,尤其在老板不是技術出身的公司,他也許很難理解你去發明WAF的價值,他隻會問盜號這麼嚴重怎麼不解決。這個問題從工程師的視角和管理者的視角得出的結論可能完全不同,安全對高層的影響力是安全團隊在公司內發展壯大的基礎,這是很多甲方安全團隊之痛,你可以對比一下自己所在的環境,安全團隊的負責人對大方向的把控上是不是做到了可持續發展,好吧,這個問題有點尖銳。
3. 優化期
4. 對外開放
最後更新:2017-05-15 17:32:25