官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2017 年,美国三大信用评级公司之一的 Equifax 未能保护好其客户与消费者的敏感数据,最终导致近 1.5 亿用户的姓名、社会保险号码、出生日期、地址等重要信息遭到泄露。更令人气愤的是,网络威胁攻击者还偷走了 20.9 万张信用卡号和 18.2 万份包含个人身份信息的文件。以上敏感数据对于民众的重要性不言而喻,因为这次事故,美国将近一半人口的信息安全都处于风险之中。
可见,企业如果不重视信息安全会有多严重的后果!那么对于一家企业来说,如何建立一个安全意识、软硬件设备、防护策略、运营管理等一体化运营的安全体系?答案就在《企业信息安全体系建设之道》这本书中。
文章核心内容
《企业信息安全体系建设之道》内容分为安全基础、安全管理、安全技术、安全运营等四大部分,论述全方位打造企业信息安全体系的设计与实践。
安全基础
安全人员要知道相关基础知识,如信息安全的基本概念、安全控制措施、实现措施的手段以及攻击与防御等信息安全基础知识。熟悉可信安全相关基础知识,包括可信计算机系统、可信计算技术,以及零信任理念的架构与技术。
安全管理
企业安全建设工作的第一步是建立合理的安全管理组织机构。组织应该有效制定共同目标,合理、科学地确定组织的成员、任务和各项活动之间的关系,并协调、配置资源。安全管理工作的一个重点是针对系统漏洞的风险管理,企业需要识别和评估风险并制定相关计划和安全措施,使风险降到可控程度。企业开展安全管理工作也要符合监管规定,并且要有安全体系认证,要具体了解《中华人民共和国网络安全法》等法律条文。
最后,企业要重视员工全周期的安全管理和安全意识培训,让员工明确自己在整体安全建设工作中的角色和责任,增强安全意识并降低企业整体安全风险。
安全技术
这一部分对安全防护措施和软硬件系统进行了详细的介绍,有以下六点:
- 访问控制与身份管理:使用集中身份认证管理,做到用户认证、授权、审计的集中化处理;
- 物理环境安全:具体措施有门禁系统、保安巡查、物理入侵检测、照明系统、闭路电视、消防联动控制系统等;
- 安全域划分:建立网络隔离策略、网络准入及远程用户访问,利用防火墙及访问控制列表进行网域划分;
- 安全计算环境:从系统安全、加密技术、反恶意程序、入侵检测技术、蜜罐技术、安全审计等方面,介绍构建企业安全计算环境的安全技术措施;
- 应用安全防护:介绍了 Web 安全、App 安全、API 安全等防护手段。说明了部署高可用设备,以及做好备份、恢复、防范 DDoS 攻击措施的方法;
- 数据安全防护:介绍了层级纵深防御机制,企业应当贯彻纵深防御理念,将企业数据资产保护在多重防线下。
安全运营
这一部分介绍安全人员在安全运营方面所使用的安全流程、方法和系统。介绍了保持企业安全防护状态的各种办法,例如,用于开发安全产品的安全开发生命周期管理;用于上下游第三方管控的供应链管理;威胁情报(用来收集内外部情报,从而进行针对性保护的方法);日常的安全监控和安全扫描(用来评估系统状态)。
在面对灾害时,要能够估计潜在的损害和损失,对潜在的灾难进行分类和排序,并在这些事件真的发生时制定可行的替代方案,让业务可以持续运营。最后介绍安全运营中心,构建企业中的各安全设备及系统协同运行,实现对各类网络安全资源的集中监控、统一策略管理、智能审计,以及多种安全功能模块之间的关联分析。
赠书福利
本次活动将免费送出 8 本赠书,请添加 FreeBuf 客服小蜜蜂微信号“freebee2022”,加入 FreeBuf 官方社群,参与抽奖互动。FB 客服将选取 8 位中将用户赠送本书。
注意:
1. 活动结束后,中奖名单将在社群直接通知,中奖的小伙伴要注意查收信息,提供寄送地址和信息;
2. 《企业信息安全体系建设之道》赠书活动结束,会尽快发货;
3. 抽奖活动于 12 月 4 日下午 4 点在 FreeBuf 各社区同步进行;
4. 赠书活动最终解释权归 FreeBuf 平台所有。
作者简介
马金龙:资深安全从业者,有超过 15 年的网络安全从业经验,FreeBuf 智库安全专家成员,目前在大型互联网企业负责信息安全工作,马老师在不断完善自身企业的安全体系的同时,也积累了丰富的最佳实践和相应的方法论。