“ 沒有絕對的安全玫氢，這就好比我們家里的門鎖一樣，防君子不防小人谜诫。企業(yè)的安全體系就像是企業(yè)的一把鎖漾峡，你說它有用嗎？有用喻旷。你說它沒用嗎生逸？可能在某一時刻就會變得沒用。但且预，我想那時槽袄，我們應(yīng)該正在考慮如何換另一把鎖的問題了。”

關(guān)于信息安全的事件每年都有發(fā)生锋谐，遠(yuǎn)的不說遍尺，2017年就發(fā)生過好多起，比較知名的如：

2017年3月58同城被報簡歷數(shù)據(jù)泄露涮拗。

2017年4月21日乾戏，有媒體記者發(fā)現(xiàn)在12306官方網(wǎng)站訂票時發(fā)現(xiàn)，當(dāng)退出個人賬號三热，網(wǎng)站頁面竟自動轉(zhuǎn)登他人賬號鼓择，且與賬號相關(guān)聯(lián)的身份證號、聯(lián)系方式等個人信息均可見就漾，隨后記者在該頁面點擊常用聯(lián)系人選項時頁面再次刷新并顯示他人賬號及賬號涵蓋的所有信息呐能。

2017年5月份，新型"蠕蟲"式勒索病毒W(wǎng)annaCry（中文直譯為“想哭”）爆發(fā)抑堡，席卷全球摆出。

（數(shù)據(jù)來自互聯(lián)網(wǎng)）

這些事件當(dāng)時也成為大家在不同場合交流時必聊的話題，我曾經(jīng)也參加過一些關(guān)于安全問題的互聯(lián)網(wǎng)企業(yè)論壇夷野，以及與同行也進行過相關(guān)方面的交流，其實大多數(shù)公司在安全這方面說的比做的好荣倾，大家也清楚安全問題的重要性悯搔，但真正在實際的操作中卻沒有幾家拿得出手。

無論是傳統(tǒng)企業(yè)還是互聯(lián)網(wǎng)企業(yè)舌仍，金融性質(zhì)的妒貌，或者非金融性質(zhì)的，企業(yè)信息安全在企業(yè)發(fā)展過程中一直都占非常重要的地位铸豁。

另外灌曙，國家從2017年6月份正式頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，明確了對個人信息收集和保護的要求节芥，提出了個人信息保護的基本原則和要求在刺，并對加強個人信息保護和懲治非法買賣個人信息等作出了明確的規(guī)定逆害，這也是我國規(guī)范網(wǎng)絡(luò)空間秩序的第一部基礎(chǔ)性法律。同年7月蚣驼，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》魄幕，對《網(wǎng)絡(luò)安全法》中涉及到的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護，做了更細(xì)致的規(guī)定颖杏。這體現(xiàn)了國家對網(wǎng)絡(luò)安全的重視纯陨。

那么，既然信息安全這么重要留储，一個企業(yè)如何搭建自己的安全體系翼抠？下面從我自身經(jīng)歷過的企業(yè)和大家分享交流一下，我想應(yīng)該有一些相同性吧获讳。

01

信息安全體系“三層架構(gòu)”

首先對整個安全體系要有整體設(shè)計阴颖，比如按照“三層架構(gòu)”模式進行(如圖1)。

（圖1）

第一層赔嚎，建立安全控制范圍膘盖，比如本次所涉及到安全體系會應(yīng)用于哪些主體？是目公司還是包含旗下所有子公司尤误，孫公司侠畔，這會影響到后面指定某些安全規(guī)范的范圍；

第二層损晤，建立安全標(biāo)準(zhǔn)软棺，要從企業(yè)所屬的行業(yè)頂層往下進行梳理，看看自己的企業(yè)屬于哪個大的監(jiān)管層面來監(jiān)管的尤勋，比如銀行是受銀保監(jiān)來監(jiān)管的喘落，證券是受證監(jiān)會和證券業(yè)協(xié)會來監(jiān)管監(jiān)督的，網(wǎng)貸平臺是受地方金融辦來監(jiān)管的最冰，這些行業(yè)本身已經(jīng)有了相關(guān)的法律法規(guī)來規(guī)范這個行業(yè)的發(fā)展瘦棋，當(dāng)然里面肯定包括了信息系統(tǒng)建設(shè)及安全方面的條目，根據(jù)這些綱領(lǐng)性的東西歸納梳理出自己企業(yè)的信息安全方針暖哨，進而指定相關(guān)安全策略赌朋，最后形成適合自己企業(yè)的信息安全標(biāo)準(zhǔn)如（圖2）。當(dāng)然這個標(biāo)準(zhǔn)里面最起碼要包含信息安全執(zhí)行流程篇裁，控制最低要求沛慢，信息安全指引等。另外針對不同的企業(yè)會涉及到不同的領(lǐng)域达布，比如如果是一個IT強關(guān)聯(lián)系的企業(yè)团甲，那么針對系統(tǒng)的開發(fā)中涉及到的每一層面都應(yīng)該建立相關(guān)安全標(biāo)準(zhǔn)，比如數(shù)據(jù)傳輸安全黍聂，客戶交易數(shù)據(jù)安全等等如（圖3）躺苦。

（圖2）

（圖3）

第三層身腻，確保控制制度的執(zhí)行圾另，既然制定了安全相關(guān)的規(guī)范霸株，那就得嚴(yán)格執(zhí)行，不能成為“嘴炮主義”集乔，所以這也就是我文章開頭說的很多企業(yè)說的比做的好的原因去件，那么執(zhí)行的好不好就得有人來監(jiān)督，就像你給老婆發(fā)誓以后肯定不會再抽煙了一樣扰路，那你老婆肯定會發(fā)動全家人來監(jiān)督你尤溜，光說沒用，那么信息安全的監(jiān)督就得有一個審計機制來督促和約束汗唱，這個就分兩塊了宫莱，一是外審，一般是第三方或者行業(yè)監(jiān)管部門哩罪，二是內(nèi)審授霸，就是公司的風(fēng)控或者單獨成立的安全審計部門，比如在一個系統(tǒng)開發(fā)的整個過程中安全審計如何介入如（圖4）

（圖4）

02

信息安全管理需求

有了第1部分的整體安全架構(gòu)作為指導(dǎo)际插，那么碘耳，接下來就要針對公司各個會涉及到安全的環(huán)節(jié)進行羅列，并進行分析框弛，明確接下來自己企業(yè)在信息安全建設(shè)方面到底要做些什么辛辨？

以一個傳統(tǒng)互聯(lián)網(wǎng)企業(yè)來舉例說明一下：

首先，辦公室安全瑟枫，主要涉及到企業(yè)員工的電腦定期殺毒（惡意木馬）斗搞，封閉USB接口（防止公司資料外泄），限制相關(guān)IM通訊和娛樂性網(wǎng)站（避免互聯(lián)網(wǎng)病毒傳播）慷妙，以及來訪客戶網(wǎng)絡(luò)隔絕等僻焚。

其次，IT系統(tǒng)開發(fā)測試生產(chǎn)環(huán)境網(wǎng)絡(luò)安全膝擂，保護各方面網(wǎng)絡(luò)終端系統(tǒng)之間通信以及網(wǎng)絡(luò)自身管理的安全性虑啤，保證整個過程的機密性，完成性猿挚，認(rèn)證性咐旧，和訪問控制性是非常重要的驶鹉〖撸可以將網(wǎng)絡(luò)安全分為辦公室環(huán)境網(wǎng)絡(luò)，開發(fā)測試環(huán)境網(wǎng)絡(luò)室埋，生產(chǎn)環(huán)境網(wǎng)絡(luò)三塊办绝，每塊網(wǎng)絡(luò)環(huán)境應(yīng)該是相對獨立伊约，各環(huán)境之間通過堡壘機進行授權(quán)訪問，也就是大家常說的“三網(wǎng)隔離”孕蝉。

第三屡律，外包協(xié)助開發(fā)安全，比如涉及到第三方服務(wù)采購的招標(biāo)前安全評標(biāo)降淮，第三方系統(tǒng)接口的安全評審超埋，第三方人力外包服務(wù)實施前安全檢查（自有電腦查毒，虛擬桌面方式開發(fā)）佳鳖，及后期安全審計（人員離職）等霍殴。

?03

信息安全應(yīng)對措施

信息安全問題不可避免，今天我們在談?wù)搫e人的安全事件案例系吩，明天可能別人就在談?wù)撐覀兊陌咐死赐ァ５膊荒鼙^，要“不怕事”穿挨，如果出現(xiàn)安全問題月弛，那我們的目標(biāo)肯定是解決問題，將問題的影響降低到最小科盛，不能讓事態(tài)無限擴大下去帽衙。

我歸納了一下，可以按照如下措施進行應(yīng)對（如圖5）：

打油一下：

一嚇二防三偵查土涝，

出了事情別害怕佛寿，

及時響應(yīng)攔住它，

圍堵入侵靠WAF但壮，

容災(zāi)恢復(fù)有計劃冀泻。

（圖5）

04

信息安全實施步驟

有了綱領(lǐng)性的指導(dǎo)思想，又對自身企業(yè)的安全需求進行了明確蜡饵，加上相應(yīng)的安全措施弹渔，那么如何實際落地進行呢？這里要提醒一下大家溯祸，切忌盲目的去做“大而全”肢专，那樣的話到最后可能會遇到各種挑戰(zhàn)，根據(jù)實際情況先做到“小而美”焦辅。

實施大概可以分為三步：

第一步：分解安全需求博杖，從易到難，比如先從辦公環(huán)境安全問題入手筷登，先從員工電腦開始（正版系統(tǒng)剃根，定期殺毒，上網(wǎng)口令前方，禁止USB狈醉，禁止視頻購物娛樂性網(wǎng)站訪問廉油，上網(wǎng)行為設(shè)備等），其次網(wǎng)絡(luò)改造（三網(wǎng)隔離苗傅，授權(quán)訪問等）抒线，最后文檔管理（電子文檔，紙質(zhì)文檔渣慕，配備紙質(zhì)文檔銷毀機等）嘶炭，當(dāng)然，也可以招聘一名安全管理崗位的員工逊桦。

第二步：從IT系統(tǒng)層面進行控制旱物，比如企業(yè)核心系統(tǒng)的訪問權(quán)限控制，應(yīng)用系統(tǒng)開發(fā)安全規(guī)范（符合信息系統(tǒng)安全等級要求卫袒，比如等保三級宵呛，這塊后續(xù)文章我將專門關(guān)于系統(tǒng)三級等保與大家進行交流），建立統(tǒng)一運維管理平臺夕凝，建立核心機房系統(tǒng)態(tài)勢感知平臺等宝穗。

第三步：培訓(xùn)宣導(dǎo)，建立信息安全管理制度码秉，新員工入職后進行培訓(xùn)逮矛，企業(yè)員工定期進行安全知識培訓(xùn)等。

?最后

企業(yè)安全體系建設(shè)是一場攻堅戰(zhàn)转砖，更是持久戰(zhàn)须鼎，別想著用閃電戰(zhàn)方式來打。

你會遇到各種挑戰(zhàn)府蔗，因為它涉及到了企業(yè)成本（人員成本晋控，運營成本，軟硬件成本等）姓赤，某一小措人的利益赡译，大部分員工的接受度等敏銳問題。

如果是戰(zhàn)略上支持的事情不铆，那么就要咬緊牙關(guān)啃下這塊骨頭蝌焚，當(dāng)然你也有要面臨群起而攻之的勇氣。

沒有絕對的安全誓斥，這就好比我們家里的門鎖一樣只洒，防君子不防小人。

企業(yè)的安全體系就像是企業(yè)的一把鎖劳坑，你說它有用嗎毕谴？有用。你說它沒用嗎？可能在某一時刻就會變得沒用析珊。

但，我想那時蔑穴，我們應(yīng)該正在考慮如何換另一把鎖的問題了忠寻。