前言

越来越多的公司开始新增安全部门，百废待兴的情况下，如何使用手上有限的资源来提高企业的整体的安全体系，应该考虑那些方面？此篇文章对这些年来的工作进行了下总结。

如有任何问题的可以联系我，一起探讨webchar:caspar_m

规划视图

制度规范

安全规范制度，是一个企业安全建设的基石。不过很多人会遇到，制度落地困难的情况。或者推行一段，时间一长，又恢复到原状的情况。为了尽量避免上述的这些问题，尽量贴近用户需求，在安全和便捷中找到平衡点，建议在编写制度的时候可以先进行一次内部的沟通。主要考虑以下几个问题：

  1.原来是否有相关的安全制度

  2.原来制度的执行情况

  3.为何原来制度现在不执行了，是因为什么原因？

  4.是否具有一些标准，没有落到文档中的？

了解了原先的状况之后，就可以根据实际的情况来梳理和编写符合公司现在的安全制度了；

1. 把现有的一些未成文的标准，在此基数上增加安全要求，整理成册如《信息安全Linux基线》，《信息安全mysql基线》，这些制度的的落地基本上可以通过模版话，定时任务等方式来实现。

2. 根据实际的情况，结合原来的安全制度或者编写新的安全制度，如《网络安全管理规定》；《变更管理规定》，《信息系统日志管理规定》，这些制度的落地需要有系统对接或者设备来实现。

3. 最后是整体的安全整体框架《信息安全管理手册》，《适用性声明》等。

安全制度的目的是为了规范日常的操作和流程，可以先制定一个可以实现的标准，逐年来提高和调整现在的安全制度，逐步提高整体的企业安全。

安全制度的查询和查看可以参考这个网站

http://www.std.gov.cn   全国标准信息公共服务平台

https://www.iso.org/isoiec-27001-information-security.html   ISO27001系列

IDC安全

数据中心是一个企业核心的资产，大部分的企业会选择私有云或者公有云，以及现在较为常见的混合云的模式，业务资产越来越多的情况下，怎么保障资产的安全，可以从以下几个方面来进行考虑

一． 问题

1. 访问控制

人是安全中最为不可控制的一个环节，如何防止非规范的日常操作，对日常的操作进行审计，如何管理密码，密码定期修改，限制用户的文件上传下载，文件的留痕等？

2. 网络安全

网络层的安全如何做到外部边界的防护（端口，服务，抗DDOS，IPS/IDS），内部如何做到不同类型网络区域的隔离，与合作伙伴链接的情况，不同区域访问的限制？

3. 主机安全

主机是系统的载体，如何做到主机软硬件漏洞，主机安全加固，最小化权限管理？

4. 应用安全

业务对内对外提供服务，对外业务暴漏在公网上，攻击者可以利用web服务存在的安全漏洞，对应用进行攻击，如何加固业务系统，增加攻击者攻击的成本？

5. 数据安全

数据在通讯过程中如何放篡改，数据中那些字段是需要加密存储的，如何防止内部人员无意或恶意的泄漏？

二． 解决方式

1. 访问控制：

堡垒机是最好的解决上述问题的方式，堡垒机属于比较成熟的安全产品，开源的堡垒机主要是Jumpserver，商业的有多个比较成熟的厂家，堡垒机主要考虑以下几个功能：

1 集中管理，实现单点登录，LADP认证，支持双因子认证。

2 统一密码管理，实现资产密码托管，定期批量修改密码

3 访问控制，可以根据用户/用户组、设备/设备组、系统帐号和时间等属性来设置详细的访问控制规则

4 权限控制，高危命令（删除，重起，关机等）可以实时告警

5 统一文件传输，限制文件下载。

6 操作审计，实现完整记录，包括各类主流协议与专用工具，包括命令操作、图形操作、SQL操作等

7 丰富API功能，可以和现有的系统进行对接

2. 网络安全：

网络的边界根据公司的不同的架构，会有防火墙，负载均衡设备，安全防护设备等。主要要考虑到边界的访问情况，主要监控的是边界的端口开放情况，域名解析情困高，是否存在没有安全审批就发布在公网的情况下。

3. 主机安全

公司主机主要分为windows，linux，2类的操作系统，windows和linux又包含不同的版本，为了尽可能的减少因为系统原因造成的影响，建议统一主机的操作系统（centos 7，windows server 2016），主机在上线之前可以调用主机扫描来进行安全扫描，已经上线的主机在出现高危漏洞的情况，更新补丁可能会影响业务，可以考虑在主机上部署HIDS或者其他主机监控的方式来进行防御

应用和数据安全放在应用开发和办公环境这块一起进行说明