【第10期:信息安全建设实践】内容回顾发表时间:2020-08-07 10:52   5月28日晚,世纪翔IT大讲堂第10期:信息安全建设实践,吸引70多位CIO与信息安全主管们的收看。 随着企业信息化的发展,特别是网络安全法、等保2.0等法律法规的相继发布,信息安全已经成为企业不得不关注的话题。 虽然某某国际知名企业遭受黑客攻击遭受巨大损失、某某安全漏洞产生重大影响的新闻每天都在安全圈里传播,但是对于大部分资源有限的企业而言,如何利用有限的资源逐步开展信息安全建设,以及投入的资源是否真正发挥应有的作用,仍是困扰企业“信息安全负责人”的难题。 为此我们邀请到姜山先生,根据自身实践经验分享企业从0-1开展信息安全建设的经验. 具体内容,就跟着小编我一起回顾吧!
本次分享中,姜老师主要介绍他自身在多年信息安全建设中的宝贵经验,以实践为主。考虑到珠海企业在信息安全建设方面的现状,许多企业很难做全面的信息安全规划,姜老师将用更多篇幅介绍如何开始做好信息安全的建设。 总体而言,姜老师在本次分享中将介绍三个方面内容:1、方法论:信息安全的一些概念;2、建设步骤:企业结合自身情况从0开始做信息安全建设的步骤;3、远景目标:结合目前安全技术方向,描述完整的安全框架。  信息安全的理论主要包括管理和技术两个方面。管理上的概念很多,大家基本都听过,这里列出来的都是比较常见的几个概念。信息安全管理工作主要依赖于对业务场景的理解能力以及一定的信息安全知识面,但是如果想要专注于信息安全领域,应在某个技术方面上做更深入的挖掘。
按个人的理解,信息安全可以分为基础安全、场景安全、安全能力、安全管理几个维度。基础安全是企业开展安全工作的基础,但是如果要把信息安全做得有价值,那就需要关注场景安全,注意结合企业的实际情况。
能力方面,最重要的是识别能力——资产识别、数据识别和风险识别,做信息安全的第一步也是最重要的一步就是识别,只有全面的识别才可以使后续工作更有效。其次是检测、审计和应急能力,最终能够形成统一平台,集成各类安全产品和业务流程形成实时联动、可视化安全管理平台。
 建设步骤 信息安全体系建设的顺序,是应该自上而下还是自下而上需要看企业的情况,不同企业有不同的文化、架构和业务。虽然最终必然形成自上而下的体系,但是很多情况下都是自下而上,将基础的漏洞补上,等有了一定成果之后再有相应的资源进行整体规划。 对于一般资源有限的企业而言,最好是从IT经理做起,培养安全思维,担起安全责任。
信息安全建设可以分为三个步骤,但是这些步骤并没有完全的先后顺序,也并不是说开始的步骤比后面的更简单,具体如何实施还是要看企业实际情况。 起步阶段 起步阶段最好从意识教育开始,入门阶段可以利用OA/邮件宣传发送一些整理好的信息安全事件,让大家有相关感知;信息安全意识培训,可以自己来培训,也可以找一些专业培训机构;深入后可以做重点部门培训:研发、财务、法务等,或针对高管的培训。
同时还可以开展运维标准化工作。主要三个部分:资产管理、漏洞管理、配置管理。其中核心是资产管理,资产管理是信息安全工作中最基础的内容。
建设阶段 主机安全。主机安全的入门阶段是防病毒,然后就是服务器防病毒、终端外设管理、网络准入、透明加密/DLP。一定要考虑平台化部署,不要为了实现多个功能而最终在终端上跑很多个agent。在选择主机数据防护安全产品的时候,要考虑公司文化和执行力情况。
网络安全。网络最入门的防火墙、上网行为管理等基本上企业都有,关键要做好策略: 1.管理系统不能对外; 2.数据库不能对外; 3.管理端口不能对外; 4.办公系统不能对外;
运维安全,做好运维很重要,基础的是堡垒机虽然贵,但是比较重要,也是等保必需的。除了堡垒机还有运维监控,比如zabbix可以发现网络异常,监控报警,是一个比较好的工具。进阶有日记审计、ITSM和漏洞扫描等,最终要形成统一的安全运营中心SOC。   物理安全,很容易被忽略,但是最能给人直接感知的手段。对于制造业,尤其是有生产车间的企业来说比较重要,不能忽视。主要有以下几类: 门禁:物理结构设计、卡-按钮、one-by-one; 监控:位置、保留天数; 报警:红外、视频、防区、110; 关键区域:生产车间、财务办公室、高管办公室等; 应用和数据,对于基础和入门,做好数据备份和应用系统权限管理就好了。同时做好外包人员的管理。进阶的话,企业可以按需选择云桌面、统一身份管理、云安全和WAF等产品。 安全管理体系,入门阶段要开展是风险评估和审计工作。如果公司实在没有资源,就做好资产清单、信息安全风险清单、安全检查表和报告,这个最容易体现绩效。进阶可以按照公司的实际需求拿个证书,例如ISO270001等,但是拿到证书并不意味着体系能有效的运行。 最后姜老师还在产品选型方面给出一些建议:
优化阶段 安全管理中心,其实是各个安全组件的集成,包括主机、网络设备、安全系统、应用和数据等。通过流量、日志和安全情报等方式收集用户行为、业务内容和内外部威胁,来做基于AI和大数据的分析,形成基于风险等级的可视化安全运营中心。
应用安全,有2B或者2C业务的企业比较关注应用安全(也可称为业务安全),主要关注对业务的攻击,例如web/app漏洞利用、DDos以及黑产等,目前基本都在做基于业务持续交付的安全集成。 数据安全治理,信息安全价值体现在对业务的价值,而随着数字化发展,数据成为业务价值的核心体现,因此数据安全成为近期信息安全的热点。
隐私和数据保护也属于数据安全的一部分,但是更强调的是个人信息在收集、使用、存储等过程的要求。当业务涉及到用户隐私信息时,需要尤为重视。 姜老师也给出了一些建议: 风险可视化(风险追踪),绩效可视化,多刷存在感才能获得更多资源; 从数据保密入手,不要忽视可用性; 抓住内在动力,结合实际场景,重视实际效果; 开始可以自下而上,但是要最终落地必须要从高层级推动。 分享结束后,大家除了表示对姜老师精彩分享的赞赏与感谢,还在群里进行关于信息安全更多话题的讨论。
诚然,在企业信息化程度越来越高的同时,企业IT管理的难度越来越大,各类数据量越来越庞大,信息安全也越发重要。信息安全需要管理人员的重视,也需要各位IT人士的辛勤付出,相信在各位的努力之下,珠海企业的信息安全管理将会更上一层楼! 第10期分享的内容就总结到这里,如果有更多信息安全相关问题想要和姜老师交流,可以留言或者加入我们的交流群。同时,世纪翔拥有信息安全意识、CISP等相关培训,欢迎有需要的朋友在留言区留下联系方式,我们看到之后会尽快联系您! 后续有更多的分享活动将会第一时间发布到此公众号,请大家多多关注!  欢迎您加入珠澳IT社区! 本社区面向珠海、澳门及周边地区的IT人士,通过各种线上群组及线下活动,开展IT技术、IT管理、职业生涯及兴趣爱好等方面的交流,欢迎大家踊跃加入。 珠海IT经理沙龙 本沙龙是由珠海世纪翔科技有限公司联合若干知名企业IT经理共同发起的,面向珠中江澳地区的企事业单位CIO/IT经理/IT负责人的活动圈子。  |
