當一家公司開始招聘專業(yè)安全人員的時候克蚂,意味著安全對這家公司已經比較重要了霸妹,比如曾發(fā)生一些入侵或者信息泄漏等安全事件,或者是監(jiān)管需求绿鸣,舉我進入公司的情形:首先是安全漏洞滿天飛,由于沒有專業(yè)安全人員暂氯,很多漏洞未及時關注或處理潮模,被公開在互聯(lián)網上(當然目前國家已明確要求不能將漏洞和利用過程公開在互聯(lián)網);此外也發(fā)生多起入侵事件痴施,主管領導很憂傷擎厢。
接下來我們來說說怎么開始從0開展安全工作:
1.清楚的知道安全部門在公司的位置
安全部門的地位主要取決于信息安全對于公司的重要性,也就是出安全問題后對公司業(yè)務影響的大小辣吃,特別是大公司/電商/金融动遭,如果出了安全問題,很可能會影響公司的聲譽神得,甚至造成用戶的大量流失沽损。
此外安全部門的地位還和部門的組織架構有關系:
第一種是獨立的部門,和研發(fā)部門平行循头,匯報對象是技術副總裁或 CTO绵估,這種情況下安全部門地位就比較高,各項工作相對能順利開展卡骂;
第二種是掛在運維部下面国裳,你的匯報對象是運維總監(jiān),這時候就看運維總監(jiān)在公司地位和影響力全跨。
對安全部門在公司地位有清晰認識后(一般在面試或入職前就要很清楚的了解)缝左,接下來就要真正開展工作了。
2.指定安全接口人,確立安全應急聯(lián)動機制
安全工作涉及方方面面渺杉,比如安全漏洞和安全事件處理蛇数,這時候就需要找到問題的負責人,首先指定安全接口人是越,可以有幾種方式:
以產品線為單位(互聯(lián)網公司會有很多條產品線耳舅,安全接口人可指定為產品線的技術Leader)
以部門為單位(比如財務/行政/企業(yè)IT/數(shù)據平臺等,部門負責人即為接口人)
有了安全接口人列表倚评,接下來就要確立安全應急聯(lián)動機制浦徊,明確安全接口人即為所有安全漏洞/安全事件處理的對接人,并明確高危漏洞的處理時間和要求天梧,并已郵件方式發(fā)出來確認盔性。
好了,安全部門已經和相關兄弟部門建立了合作機制呢岗,接下來了解公司的信息系統(tǒng)和相關資產了冕香。
3.信息系統(tǒng)和相關資產收集
公司的信息系統(tǒng)資產主要包括,服務器IP/域名/web網站/APP等后豫,這些可以找運維部門和測試部門了解悉尾,運維部門手上有完整的IP域名等信息,測試部門比較了解公司的業(yè)務硬贯。
注意千萬不要放過企業(yè)IT部門的資產,包括OA/郵箱/財務系統(tǒng)等等陨收,由于采用商用產品饭豹,漏洞很多,加之沒有什么安全意識务漩,往往更容易出問題拄衰。
4.信息安全狀況梳理
有了資產信息,就可以對公司信息安全狀況做一次全面梳理饵骨,主要包括:
網絡安全狀況(公司辦公網/IDC網絡)翘悉,重點了解ACL、端口開放居触、VPN妖混、WIFI接入等安全問題
對過往安全漏洞做一次匯總,了解公司安全漏洞的特點和主要問題
主要網站和APP產品做一次安全測試轮洋,大體了解系統(tǒng)的安全狀況制市,有條件的話,開展一次安全眾測弊予,可以比較全面了解系統(tǒng)的安全情況
對過往安全事件做分析祥楣,了解安全防護狀況和薄弱點
做完全面梳理后,我們已經對公司的安全狀況有了一個較為初步的了解,知道安全工作的重點和方向误褪。
5.信息安全工作規(guī)劃
接下來我們要指定安全工作的階段目標和計劃责鳍,在第一年,建議可以考慮幾個方向:
高危安全漏洞治理兽间,這個是初期最重要的安全工作历葛,記得當時公司存在大量SQL注入漏洞/敏感信息泄漏問題,我們開展了專項整治
安全評估例行化渡八,雖然遺留很多安全問題未處理啃洋,但是業(yè)務的迭代還在進行,要開展上線前的安全評估工作屎鳍;
抗DDOS系統(tǒng)的建設宏娄,這是互聯(lián)網企業(yè)剛需和最重要的安全基礎設施;
弱口令整治逮壁,剛開始各種地方都會存在弱口令孵坚,導致所有安全設施都形同虛設,包括各業(yè)務系統(tǒng)/郵箱/VPN都存在窥淆,需要一步步推進和整改卖宠。
涉及資金投入的,我們要建設的必要性Report給技術一把手忧饭,取得支持扛伍。
當然,每個公司的安全狀況和存在的問題都會不一樣词裤,開展工作的方法都是類似的:了解自己--->確立合作機制--->識別資產--->梳理安全狀況--->制定安全規(guī)劃刺洒。
希望對大家有所啟發(fā)和幫助。