如何向公司上下传递安全防护的价值？如何从零到一，把安全部门从三五条枪建设成强力团队？如何从最小资源依赖构建一套契合企业需求的安全体系？如何持续将安全风险控制在基础线以下？

本文，青藤安全专家孙维伯将与你一起探讨互联网企业的安全建设中的各种需求与困惑。

以下是分享正文：

当今面临的网络安全问题很多，由于竞争关系、利益驱动企业成了最容易受攻击的目标。

最常见的如 DDOS：这种攻击往往有国际的政治目的，比如最大的匿名者组织，曾经用 DDOS 攻击打垮了菲律宾的国家 DNS ，致使整个国家的网络瘫痪。

另外这些年来持续的APT 渗透也尤为显著，如华为的窃听门事件：

除了这些之外，由于网络安全事件具有突发性的特点，所以新漏洞的出现，往往波及面会比较广，而且结果严重。

如心脏出血漏洞，淘宝网也受到了影响。这个事件发生的时候，好多圈内人开玩笑的说不是在买硬盘，就是在买硬盘的路上。（这个漏洞可以导致每执行一次请求不到 1s 的时间，取回 2 个淘宝的账号密码）

阿里当然在第一时间做出了响应，对漏洞紧急修复，存在问题的网站紧急下线。当然后期新闻报道是这样的：

原来这是一个美国早就掌握了多年来的 0day，于是我们不禁会问：

再来看目前国内的安全形势也不太乐观，企业上经常出现各种各样的问题，有开发导致的，有运维导致的，也有人员的安全意识导致的。

应用漏洞，常用开发框架漏洞，随处可见的弱口令，这些都影响着企业的安全。

所以回过头来我们看，面临着层出不穷的安全事件，新的漏洞在不断的被暴露出来，企业的安全建设一定是一个动态持续的过程，在建立安全体系后经过动态的调整变化，并不会使安全事件或者说是漏洞消失，而是一个持续处于一个稳定状态的过程。

1

企业安全面临的问题

那么企业安全该如何去建设？如何才能从无到有快速的拥有一套成熟的安全体系？

首先，企业安全要落实一件事情，就是人的问题。

安全需要由专业的人员来负责，把专业的事情交给专人去做，确定相关的责任人后，再明确安全投入的方向，最终需要将安全与自身业务结合落地。

有的企业是做互联网电商的，有的是互联网金融 P2P 领域的，每个企业的业务都有自身的特点，贴切自身业务的安全才是最合适的。

这时候经常会有企业问，如何才能找到安全的专业人员？安全的专业人员通常都需要具备各个方面的专业技能，安全是一个很复杂的技能，也是一门手艺。

不同的艺人有不同的特点，安全的技能和其他的艺人技能一样，也是一门技艺。企业找安全的人员一定要注意：

• 遵纪守法，安全是个高危行业，就像每天押运金库的保安员一样，不能监守自盗。

  
  

• 人员的自身素质过硬，最好是有过相关的从业经验。

• 人员的知识面要全，做安全一定要有较宽的知识面。最好是上知天文，下晓地理，能掐会算。（不要打我……）

第二，人员到位后，接下来企业就该投入资金了。

想要建设好安全，一定要舍得投入，在正确的方向上有一比恰当的安全投入，这些投入点一定是自身业务安全最需要的薄弱点，比如做网站的，可能需要建立一套 WAF，做游戏的行业最怕 DDOS 攻击，要有相应的流量清洗设备。

当然钱也不能乱花，不然买来一堆的设备只能变成马奇诺防线。

常见的安全防护产品布局：

这种产品能解决一切安全问题?比如有 WAF 就能低于黑客的防御了？

攻守双方永远是持续的对抗，WAF 的规则防御存在被绕过的风险，如下图所示。

传统的安全目前已经不能满足企业网络内部资产动态变化的需求，以下是传统方案面临的一些问题。

• 风险分析

• 周期长，很久才进行一次风险分析

• 分析的还不准

• 操作成本高

  
  

• 攻击防御

• 都是单一的解决方案，不是按需来使用配置的，不能满足不同用户快速变化的需求。

• 入侵检测

• 报警很多，需要专门有人维护。报警多有一个原因是对风险的评估不准确，很多误报。

• 成本高（SIEM类产品），产品本身很贵，需要海量存储空间又提高成本，而且需要额外购买规则。

目前随着大量的敏捷开发，业务量大量的更迭扩大，资产难以监管已经成了首要的问题。这个时候就需要一套持续的安全体系来跟随企业内部资产动态的变化而做出持续的安全响应。

面对安全风险，一般需要做到以下几点：

• 首先从企业内部收集企业的资产信息，做持续的风险分析；

  
  

• 然后根据不同的业务系统进行加固和隔离从而进行攻击防御，同时进行持续的入侵检测；

  
  

• 最后面临存在的安全问题，对发现的安全风险做持续的修复以及出现的安全事故进行回溯分析和还原整个路径。

在出现安全事故时做到第一时间感知到系统存在的风险，对入侵的攻击事件做日志还原，还原攻击者究竟做了哪些，然后对发现的问题进行漏洞的修复。

除了建立企业内部的安全自适应安全体系外，安全还需要专业的人员去落地。这里对自适应安全体系做一个介绍：

• 持续响应，将欠安全设置为常态，从“救火”的状态转变为持续安全响应。

• 采用自适应安全架构，多种安全能力联动。

2

企业的安全体系建设

如上图所示，如从人员的角度去看，安全是分为预警、防护、响应、监控这四大维度，不同的维度需要安全人员具备不同的技能。

当有了相关的防护体系和人员技能后，我们还需要对不同的业务系统进行安全评估。通常的安全评估涉及到了：漏洞扫描、配置检查、渗透测试、代码审计等。

安全评估的对象也很多，如可以对网站、手机 APP、智能硬件设备等进行全面的安全评估，但安全评估只是发现问题再去修复。所以当安全评估建立起来后，还需要对开发进行持续的约束，这个时候从开发介入安全就尤为的重要。

比如开发中的安全生命周期的，建立完善的开发安全体系。为什么要从开发介入安全？发现安全问题去解决不就可以了吗？

从产品修复的成本来看，事后发现问题再去修复往往要投入的成本比从开发阶段介入安全大的太多了。当在设计阶段就加入的安全建模识别风险时，一个企业的开发就具有了安全开发的模型和思维。

谈完了安全开发以后，我们再来看安全基线体系，每个企业都会有自身的安全基线体系。这些基线体系的建立过程也需要长期的动态建立：

当业务安全从安全评估，开发安全，到安全基线体系三大体系建立完成后，其企业的安全建设才初具规模。

但是，最重要的问题来了，安全的基础是什么？——是人。

企业内部人员的安全意识培养和教育显得尤为的重要。比如邮件钓鱼以及社工等手段窃取公司的重要信息。通常企业的财务，行政人员的安全意识较差，经常会收到冒用领导发来的问询企业内部财务，行政信息的邮件，这些人员不假思索的便把整个企业的信息发给了标题为：某某总问询的邮箱中。

还有今年年初最火的邮件勒索病毒：

企业刚开始没有人点击，当企业的安全管理员提示大家不要点击后，却有一堆人中招了，硬盘被加密锁住了，当去询问这些人员为什么要打开的时候，得到的答复却是出于好奇，想看看邮件病毒长啥样……

所以企业安全制度的最后一个环节是人员安全意识，一个企业一定要有自己的安全规章制度去落实。

3

日常安全办公的参考

最后给大家提供一些日常安全办公的参考，如上图所示，企业日常需要从这些方面去加强。这里简单说两点：

移动存储

我们知道 U 盘不能随便插。因为 U 盘里的文件是可以被很容易的恢复。

其实这种恢复的资料不仅局限于U盘，比如 iPhone ，有专门的 iPhone 资料恢复软件。好多人把存储过照片、视频等资料的 iPhone 简单删除后转让给了二手商家。这些资料如果被恢复了对个人的影响是巨大的。（之前有明星出过类似的事件。）

加密存储

重要的客户资料一定要加密存储，或者使用 bitlocker 对驱动器加密。上图就是我们公司使用的加密软件。

更多相关内容请点击阅读原文。

- FIN -