精华内容
下载资源
问答
  • 为什么需要企业安全框架一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。...

    为什么需要企业安全框架

    一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来

    另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。

    企业架构开发模型


    企业安全控制模型

    CobiT模型,国际审计协会(ISACA)及治理协会ITGI联合制定目标集。

    企业架构是组织的,系统架构是计算机组建的

    计划和组织、获得与实现、交付与支持、监控与评价

    公司治理模型

    COSO模型,反欺诈财务相关发起的委员会。

    控制环境、风险评估、控制活动、信息和通讯、监控

    COSO是企业治理模型,CobiT是IT治理模型。

    过程管理模型

    ITIL模型,IT服务管理的最佳实践实施标准。

    CMMI模型,能力成熟度模型集成。

    紊乱、可重复、文档化、可监控、自动化




    参考:林很相关视频

    展开全文
  • 我决定写一篇关于互联网企业安全建设的文章。 一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。 整篇文章分为三大部分: ...
    
    

     我决定写一篇关于互联网企业安全建设的文章。

    一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。

    整篇文章分为三大部分:

    一、互联网企业为什么要做安全

    二、互联网企业需要什么样的安全

    三、互联网企业如何做好安全

    这也是我在企业安全建设过程中给自己提出和不断思考的问题。

    首先,我尝试通过第一个问题来剖析互联网企业都面临哪些安全威胁和安全挑战;然后挖掘出互联网企业的安全需求和安全目标;最终依据这些安全需求和安全目标来制定契合企业自身业务特性的安全建设规划。

    OK,下面开始进入正题,我们先来谈谈今天第一个话题。

    一、互联网企业为什么要做安全

    从外部环境来看,目前互联网整体安全态势不容乐观。企业每天都面临着来自各方面的安全威胁,网络攻击、勒索、安全漏洞等事件时有发生,企业敏感信息泄露逐渐成为一种常态。

    一旦发生此类安全事件,都会对企业正常运营、业务发展造成不良影响。

    加上近年来一些重大安全事件不断被媒体曝光以及整个互联网行业的发展,使得越来越多的互联网企业意识到安全的重要性,开始着手或者计划招聘专业安全人员来提升企业自身的安全水平。

    综合归纳一下,互联网企业做安全的驱动力主要源于以下几个方面:

    1、面临来自各方面的安全威胁

    譬如:外部黑客、网络黑产、竞争对手、内鬼等

    2、面临各种安全挑战

    譬如:安全漏洞、网络攻击、勒索、敏感信息泄露等

    3、安全问题会对公司运营、业务发展造成不良影响

    譬如:经济损失、用户流失、声誉受损、公信力下降等

    二、互联网企业需要什么样的安全

    在理解互联网企业为什么要做安全后,我们开始考虑下一个问题:互联网企业究竟需要什么样的安全?安全需求有哪些?核心安全目标是什么?为了实现安全目标,需要企业具备什么样的安全能力?

    通过上面的分析,我们能够比较容易的树立企业核心安全目标。虽然各企业由于自身业务特性有所不同,但还是有很多共性的。

    我们一起来看下:

    1、数据安全

    数据安全是所有互联网公司最核心的安全需求,也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控。

    2、在攻防对抗中占据主动地位

    能够掌控企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。

    3、保障业务安全、连续、可用

    尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC攻击等。

    上面这些,应该是大多数互联网公司的安全期望或者说是核心安全目标。虽然表面上看着字数不多,但真正要达到这些个目标并不是一件简单的事情,这应该是一个长期的目标。

    三、互联网企业如何做好安全?

    既然安全目标有了,那么就来聊聊今天的重头戏:互联网企业如何做好安全?这是一个值得思考的问题。

    1、树立正确的安全观

    安全是相对的。互联网企业安全绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及安全服务就可以搞定的事情。

    安全是一个整体,并且是动态的,是一件需要长期做并且需要持续投入的事情。

    2、企业安全完整视角

    上面说到安全是一个整体,那么互联网企业安全都包含哪些方面和内容呢?为了更加直观、清晰的表达,我们直接来看图说话:

    通过上图我们可以看到,一个完整的企业安全视角需要涵盖生产网络、办公网络、第三方供应商以及安全合规这四个方面。

    画出这个图并不难,真正的难点在于如何将安全规划和蓝图变成一件得以落地实施和可跟踪的事情。

    我想这是很多安全人员尤其是企业安全负责人一直在尝试和思考的问题。

    我的思路和建议是把整个安全规划中的内容先列出来,把一个大安全目标分解成多个小安全目标,然后列出打算如何实现这些安全目标,哪些安全产品打算自研,哪些需要和第三方安全厂商合作。

    最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施,并定期跟进这些项目的进度,及时解决、改进整个过程中存在的问题,最终目标是建立一个相对完善的企业安全体系。

    2.1、 生产网络

    2.1.1、基础架构安全

    基础架构安全如果从网络层次上来划分的话,可以分为物理安全、网络安全和系统安全三个层面。

    这部分属于传统意义上的网络安全,是整个企业安全体系中最基础的部分。

    2.1.2、应用安全

    应用安全绝对是互联网企业安全工作中的重点,也是企业投入资源最多的部分。分为WEB安全和移动安全两个方向,主要围绕SDL和应用层的攻防对抗展开。


    2.1.3、业务安全(风控)

    业务安全(风控)专注于业务层面的安全对抗,是互联网企业安全中非常重要的组成部分,由于受业务特性影响,电商、互联网金融领域更加重视风控,这些企业中风控通常是一个独立的部门,而且汇报级别和权限都比较高。

    业务安全这块的市场前景广阔,现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来解决业务安全问题。


    2.1.4、安全运营

    2.2、 办公网络

    2.2.1、基础架构安全

    办公网基础架构安全方面,重点要关注边界安全防护,尤其是WIFI和VPN这两个办公网入口的安全性。

    2.2.2、内部应用安全

    办公网内部应用主要包括OA、企业邮箱、财务、运维及其他内部业务系统。这类系统的主要特点是上线后更新频率低,很多是采购第三方厂商的,还有一些是开源系统。

    谨记一定不要将内部系统暴露到公网,很多严重的安全事件都是由于将内部业务系统暴露到公网导致的。

    此外,还要对重要的内部系统做好安全监测,及时发现异常行为。

    2.2.3、终端安全

    这部分工作相对比较简单,主要是终端防病毒、补丁管理、终端安全管控和审计,很多安全厂商都有成熟的产品。

    对绝大多数互联网公司来讲,都不需要也没有必要自研终端安全产品,直接选型、对比、采购第三方安全厂商的产品就可以搞定。

    2.2.4、安全管理

    人是整体企业安全体系最薄弱的部分,这一点正被越来越多的企业和安全人员所认识和接受。

    安全管理侧重于企业人员安全意识的培养和提升,核心价值在于把安全建设成为一种企业文化。

    2.3、 第三方供应商

    这部分是之前被很多企业忽视的地方,在和企业合作的第三方合作伙伴中,安全水平也不尽相同,而且这部分通常是不可控的。

    所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性,避免因第三方合作机构出现安全问题而影响公司业务。

    2.4、 安全合规

    对于企业来讲,如果想要开展某些业务,是需要通过一些安全认证的,比如要申请支付牌照的话,就需要通过PCI DSS认证,还有海外上市也会有一些安全合规上的要求。

    另外还有一些像ISO 27001、等保之类的需求,每个企业需求不太一样。总体来讲这部分工作侧重于安全合规、审计,这里就不讨论了。

    3、安全建设发展阶段

    根据上面的安全建设规划可以看到,从零开始建设一个完整的企业安全体系需要做的事情很多,这并不是一件一蹴而就的事情,是一个系统化的工程。

    通常一个企业的安全建设需要经历以下几个阶段: 11.png

    3.1、救火阶段

    这是一个企业安全从无到有必须到经历的阶段,从字面上就可以看出这个阶段安全工作比较被动,安全人员很多时候是充当救火队员的角色。

    这个阶段工作的核心是解决目前企业遇到最严重、优先级最高的安全问题,在这个过程中要尽快熟悉公司的环境、业务、系统架构等。

    此外,这个阶段还有个不小的挑战就是如何找到合适的人才组建安全团队。

    3.2、基础安全建设阶段

    在经历救火阶段后,就要开始基础安全建设了。这个阶段的核心安全目标是解决安全规划中优先级最高的安全问题。

    这个过程会制定、实施一些基础的安全流程和规范,开发一些自动化的安全工具、系统,功能也许不是十分完善,但是可以满足目前的安全需求。

    还会在一些方面和第三方安全厂商合作,通过购买一些安全产品或服务来提升企业自身安全水平。

    比如像定期渗透测试、安全众测、抗D、堡垒机、防火墙这类基础安全服务和设备。

    3.3、安全可覆盖核心业务系统

    一个大、中型互联网公司都会有多条业务线,每条业务线又会有多个业务系统,而且这些业务线可能会分布在多个不同的部门,由不同的人负责。

    如果一上来就想在所有业务线推广SDL,很大机率会失败。因为这个阶段安全团队的人不会很多,并没有足够的精力和资源去做覆盖所有业务线的事情。

    比较明智的做法是先从核心业务系统切入,待整个流程跑通、理顺后再向其他业务线推广。

    这个阶段的核心安全目标是要能够保障核心业务系统的安全,可通过对核心业务系统实施SDL、定期漏洞扫描、安全监控等措施来达到这一目标。

    3.4、安全可覆盖全部业务线系统

    这个阶段由于有上一个阶段的积累,并且到这时安全建设也已经进入正轨,相对要容易实现一些。在这个阶段遇到最大的挑战可能是如何招到合适的安全人才和留住现有安全人才。

    3.5、实现全面自动化、平台化

    发展到这个阶段,安全团队已经具有一定规模,各种安全角色也基本到位。也有了很多的安全系统、平台,但存在的问题是这些系统和平台并没有实现很好的联动和关联分析。

    所以这个阶段的主要目标是把已有的安全系统、平台进行进一步整合,打磨,进而可以进行高度的联动和关联分析,以更好的掌控公司整体安全态势,还可以将现有安全系统、平台产品化,为下一步对外输出安全能力做好准备。

    3.6、对外输出安全能力

    这个阶段只有当公司业务和安全团队发展的足够大时,才有机会做这样的事情。

    目前国内的互联网公司中除了BAT以外,还没有其他公司有能力和机会对外输出安全,所以这里不作过多讨论。

    四、总结

    上面说了这么多,其实一个企业的安全能否做好、做强,并不只是一个技术问题,它是由多种因素综合决定的。

    除了企业高层对安全有正确的认识和大力支持外,和企业安全负责人的能力、视野以及企业所在行业也有很大的关系。

    互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章能够说的清楚。

    今天先写这些多吧,有时间再写后面的。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。

    *本文作者:SecSky,文章属FreeBuf原创奖励计划。

     Linux服务器防黑加固,CC攻击,SQL防注入,DDOS攻击,都可以免费使用悬镜服务器卫士,登录悬镜官网,即可下载使用。

      在使用悬镜服务器卫士过程中,如果任何问题,都可以加群【539903443】进行咨询。

      安普诺官网:http://www.anpro-tech.com/

      悬镜官网:http://www.xmirror.cn


    展开全文
  • 阿里云ECS服务器安全组是一种虚拟的防火墙功能,可以从...与普通安全组对比企业安全组能添加更多ECS服务器实例、弹性网卡和私有网络IP地址。同时精简安全组设置规格,使用更加方便。对于ECS服务器较多的企业可以简化...

    阿里云ECS服务器安全组是一种虚拟的防火墙功能,可以从端口级来划分出入网流量。具有状态监测和数据包过滤功能。用户在云端划分安全域。使用安全组配置规格,还可以单独控制ECS服务器的入网和出网流量。以前一直只有普通安全组。今年2月份上线了企业安全组。与普通安全组对比企业安全组能添加更多ECS服务器实例、弹性网卡和私有网络IP地址。同时精简安全组设置规格,使用更加方便。对于ECS服务器较多的企业可以简化运维流程。企业安全组适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。

    一、阿里云服务器普通安全组与企业安全组对比
    下表详细对比了普通安全组和企业安全组。

    功能对比 普通安全组 企业安全组
    支持所有实例规格 否,实例网络类型必须是专有网络VPC
    支持专有网络VPC
    支持经典网络
    支持设置规则优先级
    支持授权给其他安全组
    支持手动设置允许访问的安全组规则
    支持手动设置拒绝访问的安全组规则 否,企业安全组默认拒绝任何访问请求
    支持绑定弹性网卡到任意实例规格 否,实例网络类型必须是专有网络VPC 否,但实例网络类型必须是专有网络VPC
    能容纳的私网IP地址数量 2000 65536
    默认支持同一个安全组内ECS实例互通 否,需要您单独添加安全组规则

    二、企业安全组使用限制
    如下表所示

    限制项 普通安全组限制 企业安全组限制
    一个账号在一个地域可以创建的安全组数量 100 与普通安全组相同
    一个经典网络类型的安全组能容纳的经典网络类型ECS实例数量 1000* 不支持经典网络
    一个专有网络VPC类型的安全组能容纳的VPC类型ECS实例数量 不固定,受安全组能容纳的私网IP地址数量影响 无限制
    一台ECS实例可以加入的安全组数量 5 与普通安全组相同
    一台ECS实例的每张弹性网卡可以加入的安全组数量 如需提高上限,请提交工单,可以增加到10个或者16个安全组。
    一个安全组最大规则数量(包括入方向规则与出方向规则) 200*** 与普通安全组相同
    一张弹性网卡在所有已加入的安全组中的最大规则数量(包括入方向规则与出方向规则) 1000 与普通安全组相同
    一个专有网络VPC类型的安全组能容纳的私网IP地址数量 2000** 65536
    公网访问端口 出方向的STMP默认端口25默认受限,而且不能通过安全组规则打开。关于如何申请解封,请参见TCP 25端口控制台解封申请。 与普通安全组相同

    所有阿里云ECS服务器实例只允许加入一种安全组,既加入普通安全组后无法加入企业安全组。但是阿里云设置了替换安全组功能,可以无缝切换普通安全组和企业安全组。

    更多关于安全组的信息,可以查看阿里云官方文档:ECS 安全组

    展开全文
  • 360企业安全服务端面试要求

    千次阅读 2018-09-13 22:40:02
    360企业安全服务端面试要求 职位描述:你想了解大数据安全产品的相关知识?你想学习一个系统服务的所有知识?你想变成服务端开发的无敌全能手?来360企业安全,在这里大展身手! 任职要求:1、计算机相关专业大学...

                           360企业安全服务端面试要求


    职位描述:你想了解大数据安全产品的相关知识?你想学习一个系统服务的所有知识?你想变成服务端开发的无敌全能手?来360企业安全,在这里大展身手!
    任职要求:1、计算机相关专业大学本科及以上学历;2、熟练掌握C/C++/java/python等编程语言;3、有一定的linux服务端开发经验;4、具备优秀的学习能力,对数据结构. 算法分析. 操作系统原理. 计算机网络等具备扎实的功底;5、具备优秀的团队合作意识。


    大数据安全产品
    https://blog.csdn.net/enohtzvqijxo00atz3y8/article/details/81091508
    系统服务
    https://blog.csdn.net/zhang20072844/article/details/6716502
    linux服务端开发
    https://blog.csdn.net/wm_1991/article/details/50500520

    展开全文
  • 前言: 高效读书,一张逻辑图读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 高质量解读《互联网企业安全...高质量解读《互联网企业安全高级指南》三部曲(技术篇)——入侵.
  • 对于企业信息安全来说,整合的安全解决方案是必然的发展趋势,只有搭建整体的企业安全体系,才能彻底抵御威胁入侵。通过2003年经历的一系列大规模的网络安全事件,我们可以发现病毒的定义被扩展了,各种网络威胁呈现...
  • 切入“企业安全”的视角 企业安全是什么 CSO 企业安全包括哪些事情 企业安全涵盖7大领域 建议 互联网行业安全工作总结 互联网企业和传统企业在安全建设中的区别 总体上 传统企业和互联网企业在安全建设需求...
  • 360企业安全校招内推(可免笔试)

    千次阅读 2018-09-01 00:34:37
    360企业安全集团2019年秋季校园招聘已经启动,现广发英雄帖,招募隐匿于五湖四海的高校的新生代技术达人。 ★★★我们是谁★★★ 360企业安全集团 中国企业级网络安全市场的领军者,是专注于为政府和企业提供新一代...
  • 2016年2月25日,阿里聚安全发布会将在北京召开,阿里巴巴将正式进军企业安全市场,赋能生态,为企业和开发者提供“互联网+”时代的企业安全解决方案,与行业共享阿里巴巴集团多年沉淀的专业安全能力。 传统企业...
  • 企业安全风险的来源有哪些?

    千次阅读 2015-01-16 15:50:37
    企业安全风险是对达到技术性能成本,和精度方面的目的,和目标的不确定性的一种度量,企业安全风险等级使用安全事件和安全事件出现的频率来分类的,企业风险源包括以下几个方面: 技术方面 可行性可操作性,...
  • 但提到奇安信的前身360企业安全,大家就会恍然大悟,它原来也曾是360集团的一分子。 奇安信和360之间的恩怨 事实上奇安信和360之间的纠葛非常复杂,就像齐向东和周鸿祎之间纠缠不清的恩怨。 2003年已经做到新华社...
  • 企业安全软件能否免费?》 ——百位中国CIO对免费企业级信息安全软件的态度调查报告  安全软件市场一直存在着收费和免费两种交付模式,一直以来,企业级安全软件大多是收费的,与个人安全软件市场早已...
  • 刘硕琛_下一代企业安全管理 在刘硕琛的主题演讲中谈到,未来信息安全部门主要是深入调查事件并追根溯源,这源于国外针对安全事件会有政府介入并有相关的法律约束,因为企业内部的安全事件影响的是消费者权利,...
  • Android安全- http://blog.csdn.net/SEU_Calvin/article/category/6308670 理解Android安全机制- https://blog.csdn.net/ff673551532/article/details/73002333 APP安全(二)终端安全全预览- ...
  • 企业安全文化与建筑工程安全生产管理实践 来源:中国论文下载中心 [ 06-10-06 10:36:00 ] 作者:未知 编辑:studa2摘要:企业安全生产事故的发生原因是多方面的,主要有违反操作规程或劳动纪律;教育培训不够,...
  • 今日看点✦360企业安全更名为“360政企安全”,全力打造城市级安全运营商✦ B站宣布5.13亿港元战略投资欢喜传媒,将获得独家外部播放权✦ 拼多多正式上线“多多买菜”进军社区团购,武...
  • 信息安全重中之重 十步骤制定企业安全计划1【计世独家】网络和IT应用在企业内不断得到深化,所带来的结果就是,信息安全成为企业重要的无形资产。如何保护好信息,不但要在技术、规范上,还要在管理流程等多方面加以...
  • 本文为洋葱创始人兼CEO,前DNSPod创始人吴洪声应邀参加第二届乌云白帽大会时,在企业安全专场进行的专题演讲内容实录。 众所周知,近年来云服务市场异常火热,越来越多的企业开始尝试云服务,并且体会到云计算带来的...
  • 企业安全架构

    千次阅读 2013-09-25 16:41:20
    http://www.amazon.com/s/ref=nb_sb_noss/175-5955210-4217956?url=search-alias%3Daps&field-keywords=security%20architecture%20
  • 金山KingGate中小企业安全套装

    千次阅读 2008-09-22 15:11:00
    作者:深圳公司/市场部 马志刚 “今年企业...作为深圳金山信息主推的安全好礼——金山KingGate中小企业安全套装全程防护新品同步霹雳登场(星光闪耀,如同晴空霹雳,呵呵)。 我们的安全套装软硬结合,绝对算是“内外
  • 本课程中涉及10个方面的企业安全建设问题,分别是自建准入系统、企业数据防泄露系统建设、开源SIEM系统、Web应用防护、Web业务安全、Web漏洞检测、主机入侵检测、网络入侵检测、基础网络设置安全防护、威胁情报落地...
  • 许多关心企业信息安全的朋友心里可能都有一个疑问,博主也不例外,那就是国家现在正大力发展小微企业,我国小微企业的总体发展势头也不错。但在普遍实行企业电子化、互联网化的今天,面对来势汹汹的互联网安全隐患,...
  • 企业安全解决方案》

    千次阅读 2004-11-05 12:13:00
    黑客(Hacker) 安全(Security)内容提要: 本文从广义的角度,对威胁企业信息安全的因素进行了分析,对信息安全防护体系进行了介绍,对安全方案的设计与实现进行了阐述,并给出了典型的企业安全解决方案应用实例...
  • 作者简介:丛磊,白山合伙人兼工程副总裁。2016年加入白山,主要负责云聚合产品的研发管理和云链产品体系构建等。...摘要SIEM是企业安全的核心中枢,负责收集汇总所有的数据,并结合威胁情报对危险进行准...
  • 网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 ...不能跟基础架构一起扩展的安全解决方案最终都会掣肘 针对 IPS 一个打折扣的版本就是利用 DDo...
  • 浅析企业安全中的失陷主机检测

    千次阅读 2020-03-09 00:54:06
    也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。...
  • 互联网企业安全之端口监控

    千次阅读 2017-10-27 14:20:00
    外网端口监控系统是整个安全体系中非常重要的一环,它就像眼睛一样,时刻监控外网端口开放情况,并且在发现高危端口时能够及时提醒安全、运维人员做出相应处理。 对安全人员来说,互联网公司在快速发展壮大的过程中...
  • 企业安全即时通讯软件

    千次阅读 2004-06-23 10:49:00
    这个版本,创造了中国《企业安全即时通讯软件》领域的又一次变革;独创的同事相片实时显示在 在线同事列表中;简单清爽的界面,并没有掩盖其操作灵活、功能完备、专门针对企业需要的应用特性; 助讯通2.81版的特点:...
  • 其实做攻防和研发安全产品完全是两码事,存在巨大的鸿沟,如果拿做攻防的团队直接去做安全工具开发,恐怕挫折会比较多,即便有些研究员擅长做底层的东西,但对于高并发生产环境的服务器工具而言,还是有很大的门槛。...
  • 2019上半年企业安全总结

    千次阅读 2019-09-13 11:15:05
    系统高危漏洞往往会被黑客利用进行入侵,但部分企业安全风险意识较为薄弱,据腾讯安全御见威胁情报中心数据显示,截止6月底,仍有83%的企业终端上存在至少一个高危漏洞未修复。 在主要的高危漏洞中,永恒...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 67,273
精华内容 26,909
关键字:

企业安全