精华内容
下载资源
问答
  • 中小企业服务体系建设
    千次阅读
    2021-11-30 21:55:08

    安全层级

    安全体系的建设需要进行分级,粗略的分为以下三个层级。

    1. 基础安全
      第一阶段大部分公司关注的层级,充当应急的角色,在不断的应急中了解公司的架构、业务情况,并再次基础上建立安全防御体系,也是给企业打好基础的阶段,这一阶段主要的对手为传统意义上的黑客。

    2. 安全流程和制度
      随着第一阶段的查缺补漏,安全防御体系基本建立完成,这是就可以考虑通过流程/制度的方式规范员工的行为。

    3. 业务安全
      安全最终服务于业务。因为业务安全也是安全团队比较重要的工作内容,当然这应该是建立在基础安全和流程制度比较完善的情况下。

    建设步骤

    1. 了解整体的安全需求及保护对象
      安全人员进入公司,首先要做的就是了解公司的安全需求。例如,历史安全事件,公司各种业务的运作模式、明确公司核心资产,然后沿着保护对象开展层次防御工作。

    2. 建立整体安全建设视角

    基础安全
    基础架构与设施安全应用安全IT安全安全管理与合规安全研发安全运营
    容器安全WEB安全办公安全安全管理安全工具/系统/平台/服务自研安全系统/平台运营
    主机安全客户端安全供应链安全安全合规开源/商业产品/二次开发持续攻防对抗
    网络安全安全审计安全教育/培训
    物理安全安全品牌建设

    合规与数据安全
    合规与数据安全
    等级保护
    ISO27001
    GDPR
    数据安全

    业务安全
    业务安全
    账号安全
    交易安全
    内容安全
    运营安全
    业务风控

    组建安全团队

    了解了安全工作的内容,便需要组建安全团队。针对每一项内容开展工作,虽然有很多“一个人的安全部”,但安全建设思路都是一样的。安全架构如下:

    • 基础安全:
      1、生产安全
      2、漏洞挖掘
      3、办公安全
      4、云安全

    • 安全开发:
      1、系统开发
      2、安全产品
      3、代码审计
      4、安全测试

    • 移动安全:
      1、IOS方向
      2、Android方向

    • 业务安全:
      1、账号体系
      2、支付、交易体系
      3、风险控制
      4、商户安全
      5、数据安全
      6、隐私/合规

    • 安全运营:
      1、应急响应中心
      2、安全制度
      3、安全培训
      4、安全监控
      5、数据分析
      6、项目推进/协调

    工作内容

    根据不同的业务,工作内容有所不同,简单的举例生产和办公的部分工作内容。

    生产

    • 应用安全:
      1、SDL(WEB+APP)
            安全SDK、API
            应用安全架构设计
            WAF
            内部系统违规开放监控
            端口扫描
      2、RASP
            APP加固
            盗版、钓鱼APP检测
            APP破解监控

    • 主机安全:
            堡垒机
            HIDS
            蜜罐

    • 网络安全:
      1、网络访问控制
            全站全链路HTTPS
            NACL失效监控与告警
            流量劫持监控
            网络划分隔离
      2、全流量镜像
            NIDS
            端口扫描(高危+全量)
            DDOS攻击检测与防御

    办公

    • 身份认证与权限管理:
            SSO+双因素认证
            合理划分权限+审批流
            日志记录+行为审计
            离职自动删除权限
            岗位变动、权限重新划分
    • 终端安全:
            防病毒+补丁管理
            HDLP(主机数据防泄漏)
            NDLP(网络数据防泄漏)
            EDR
            域控
            终端基线
            行为管理
    • 网络安全:
            全流量镜像
            NIDS
            无线入侵检测
            网络准入

    安全平台

    日志分析平台

    日志分析平台,具有收集、存储、查询以及关联分析等作用,目前接触到的分为两大方向。
    一、开源或自研
    开源常用的为ELK套件,filebeat将日志文件数据,通过kafka打入logstash,清洗处理后,通过kibana界面,调用Elasticsearch 查询数据,数据建立索引后存储在Elasticsearch 。

    二、商业
    目前接触到的是splunk,相对来说费用比较贵,可以通过syslog或者一些组件将日志打入splunk,在splunk进行关联分析和书写规则进行告警等,具体不展开叙述。可以查询官网相关文档了解。

    安全事件处理平台

    对于外部发现的漏洞,内部检测的漏洞以及最新漏洞进行推进修复的一个工单系统,结合安全事件的告警,进行跟踪。以及日常值班安全事件处理的记录。

    其他安全工作

    • 漏洞挖掘和上线检测
    • 内部红蓝对抗
    • 内部安全技术支持
    • 安全培训、内外部安全运营
    • 合规审查
    • 应急响应

    安全事件处理流程

    事前

    • 收集信息
    • 标准化
    • 建立基础数据
    • 风险评估
    • 端口、漏洞扫描
    • 病毒、木马扫描
    • 渗透测试
    • 补丁更新
    • 配置管理
    • 网络划分
    • 事件响应团队安排及处理流程
    • 日志收集
    • 日志分析
    • 安全预警体系
    • 安全监测体系
    • 安全防御体系
    • 安全审计体系
    • 安全培训
    • 账户登录及权限管理
    • 跨部门沟通协作

    事中

    • 关键路径分析
    • 响应机制
    • 防御及影响评估
    • 流量、行为、攻击分析

    事后

    • 日志分析
    • 调查取证
    • 事件复盘
    • 安全加固

    安全监控

    资产识别

    有效做好资产识别是企业资产安全建设的基石。对于大部分企业的安全团队而言,这几乎是一项不可能完美完成的工作。很多公司有很完善的上线流程,但是没有相应的下线流程,很多不用的业务没人维护,这也不仅浪费资源,也存在非常大的安全隐患。
    因此,对于资产识别,一定是一个动态的过程,无法一劳永逸。

    资产识别维度

    • 运行的服务及开放的端口
    • 资产所有者
    • 漏洞与补丁情况
    • 域名、URL、IP对于情况
    • URL变量以及变量接受的类型范围
    • 资产等级划分
    • 安装agent及运行情况
    • 历史攻击记录
    • 主机基础信息(ip、系统、主机名、所属位置)

    纵深监控

    从网络到主机,从内部到外部,从主动扫描到被动触发。建立多层监控体系。
    简单的用设备覆盖,举例子:
    WAF
    堡垒机
    防火墙
    漏扫
    EPP
    EDR
    等等。。。。

    监控策略

    常见的几种监控策略:

    • 关键词识别
      监控最基础的版本,但也是最实用的技术,对攻击载荷的特征收集,大部分的攻击可以被识别和拦截,缺点是小号性能较大,且误报比较多。

    • 关联分析
      通过ip关联形成一个事件,减少告警的噪音问题,提高监控的准确度。目前很多SOC和SIEM系统朝着这个方向探索。
      举例几个简单的关联分析的维度:
      IP关联、漏洞关联、行为关联。
      关联分析可能会用到的算法Apriori、FP-growth算法等。

    • 频率分析
      比如爆破web目录,短时间内会出现大量的404错误,还有短时间内多次登录VPN密码错误等。

    • 机器学习
      机器学习,暂时没研究到那个等级,等有成果了,再说吧。。。

    ATT&CK

    攻击链六个阶段:侦察跟踪、武器构建、载荷传递、漏洞利用、安装植入、命令与控制、目标达成。

    1、了解攻击的方式与方法,可以针对性的防御与监控
    2、检测防御的覆盖范围,结合相关技术对于对应的攻击技术防御评估。
    3、评估防御差距,明确某种攻击方式的识别率和覆盖率。
    4、评估监控体系的成熟度,评定监控系统的检测能力,以及响应能力。
    5、对于威胁情报的补充和扩展,对于发现的相关的APT攻击手法和战术补充进现有威胁情报。

    数据安全、业务安全、风控体系

    以后再补充。

    更多相关内容
  • 中小企业服务体系建设专项规划企业调查问卷.docx
  • 中小企业服务体系建设调研报告.doc
  • 中小企业服务体系建设情况调研报告.doc
  • 中小企业服务体系建设专项规划企业调查问卷.pdf
  • 中小企业服务体系建设试点工作方案》.rar
  • 中博会即将启幕助推中小企业服务体系建设.pdf
  • 赴某地调研中小企业服务体系建设考察报告.doc
  • 中小企业服务体系建设专项规划调查问卷.doc
  • 完善服务体系建设,助推中小企业健康发展.docx
  • 经过我和我的团队一年的不懈努力,基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同...

    作者:随亦

    前述

    经过我和我的团队一年的不懈努力,基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系安全防御体系数据安全体系隐私合规体系资产管理体系安全管理体系,六大体系共同构成了完整的信息安全体系。

    完整的信息安全体系架构图:

    我设计的企业安全体系架构

    六大体系建设总结:

    企业安全开发体系建设总结
    企业安全防御体系建设总结
    企业数据安全体系建设总结
    企业隐私合规体系建设总结
    企业资产管理体系建设总结
    企业安全管理体系建设总结

    一、安全管理体系介绍

    安全管理体系是信息安全体系架构中的基础模块。从安全工程实施的角度来说,安全管理理论上是一个大概念,其涵盖的范围非常多,重要性与所产生的价值也远超技术安全,俗话说三分技术七分管理就是指这个。但单从安全体系架构的不同模块来讲,我这里的安全管理体系并没有那么高端,它在整个信息安全体系架构中扮演辅助角色,主要承担一些非技术的内容。

    在实践中,这里的安全管理体系根据实际情况已被狭义化和裁剪化,狭义化和裁减化之后,我将安全管理体系分为安全培训安全运营安全制度人员安全知识沉淀等五大块,接下来我将逐一展开论述。

    这里的安全管理体系属性偏辅助,优先级也不算高,不过其重要性却不可忽视,因此属于慢建设的部分。

    二、安全培训

    安全培训的目的一般是为了提高公司人员的安全素质,避免因人员自身的问题而带来安全风险。此前有机构调研得出,在信息安全的各个分支领域中,安全培训属于产出投入比(比重=产出/投入)最高的一个分支,在安全培训开展得当的情况下,简单的安全培训就能提高人员的安全意识,而人员的安全意识提升上来之后,很多安全风险就大大降低了。

    从某种程度讲,人员的安全意识是一个大概念,除了指例如设置复杂密码、离开座位要锁屏之类的琐事外,开发人员的安全编码意识也是一个方面,如果开发人员的安全编码意识强,代码逻辑中的各个环节就会添加校验,业务中的技术漏洞也会大大减少。

    在实践中,根据安全培训内容的不同,将安全培训分为安全意识培训安全技术培训两方面。

    2.1、安全意识

    安全意识培训的目的是提高公司员工的信息安全认知与防范意识,其面向的群体一般是公司所有员工。要开展安全意识培训,首先要做的是和培训的相关负责人搭上关系,了解清楚目前培训体系的具体情况,然后再视具体情况制定对应的培训计划。需要了解的情况如:

    1、是否有新员工培训,培训的周期是怎样的,能不能加课?
    2、新员工培训是否有考试,考试的形式是怎样的,是否可以加入安全意识考试?
    3、安全宣传的准备流程是怎样的,要不要审批,海报谁来设计,谁来负责落地?
    4、讲公开课的前期准备流程是怎样的,要不要审批,怎么做前期宣传?
    5、公司是否有考试系统,权限由谁管理,该系统是怎么使用的?

    了解完以上的具体情况后,接下来就可以制定计划并开展工作了,工作分为三块

    第一块:新员工安全意识培训

    1、第一步,确定新员工安全培训范围。这一步需要安全部门确定培训范围并撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    2、第二步,确定新员工安全考试范围。这一步需要安全部门确定考试范围并编写考试试题,考试试题建议以选择题和判断题为主,不要出其他类型的题,以方便批阅;

    3、第三步,执行新员工安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    4、第四步,执行新员工安全考试。按新员工培训结业考试的方式,将安全意识考试搭车进去,考核方式与新员工培训结业考试的考核方式一致,例如考试不通过不能毕业等;

    5、第五步,持久化该项目。安全部门应参与每一届的新员工培训,通过安全培训与考试,提高新员工的安全意识。

    第二块:安全意识宣传

    1、第一步,确定安全宣传的准备流程。一般情况下,安全部门只负责出内容,其他专业的事情需要让专业的人去做,例如宣传执行、海报设计、原料采购、摆放展位等等,因此,要做安全宣传,第一步应该是确定安全宣传的准备流程;

    2、第二步,启动流程。例如提海报设计需求给UED、提海报采购需求给行政、确定宣传海报摆放位置如大厅等;

    3、第三步,摆放宣传。海报设计完成并制作成实物后,由宣传执行部门摆放在预定的位置进行宣传。

    第三块:全员安全意识培训

    1、第一步,确定培训周期与考试周期。培训周期可以一季度一次,考试周期一般一年一次即可;

    2、第二步,确定安全培训范围。这一步需要安全部门撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    3、第三步,培训前准备。这一步需要安全部门提请公开课审批,以及开展相关的宣传工作等;

    4、第四步,执行全员安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    5、第五步,全员考试调研。这一步需要安全部门确定公司是否有考试系统,如果公司没有考试系统,则全员考试不开展。如果公司有考试系统,则申请相关权限,并与培训相关负责人沟通好考试事宜;

    6、第六步,确定全员安全考试范围。这一步需要安全部门编写安全意识考试题,建议以选择题和判断题为主,不要出其他类型的题,否则不好自动化批阅;

    7、第七步,执行全员安全意识考试。安全部门通过通过考试平台,向全员推送安全意识考试,并以固定时间间隔对未考试人员重新推送安全意识考试;

    8、第八步,安全培训后续工作。后续工作例如对于未参加考试的员工如何处置、对于考试不及格的员工如何处置等等。

    以上操作执行下来,员工安全意识这块的工作就算完成了。

    2.2、安全技术

    上一节所说的安全意识培训属于普惠式的安全培训,即适用群体是所有员工,并不会涉及专业知识。除了开展普惠式的安全培训外,还需要对技术人员进行安全培训,而对技术人员的安全培训则是需要涉及到专业知识的。

    安全技术培训实际上是SDL的第一部分,属于安全开发体系的内容,但在实践中,出于安全整体的考量,我将其划分到了安全管理体系下的安全培训里面。

    从培训周期来讲,安全技术培训由于受众群体较少,培训周期可以根据实际情况自行决定。从培训内容来讲,安全技术培训分为两块,一块是对技术人员的安全培训,另一块是安全部门内部的安全分享。

    对技术人员的安全培训一般包括:

    1、对产品部门的安全培训。对产品设计人员进行安全培训可以提高他们的安全素质,从而在设计产品时无需安全部门介入就能规避掉一部分安全风险,同时让产品设计人员知道哪些功能需要安全部门审计,哪些功能不需要安全部门审计,这样可以大大节约安全部门在产品需求上所耗费的时间和精力。

    2、对研发部门的安全培训。对研发部门的安全培训主要是安全编码培训,通过培训提高产品开发人员的安全编码能力,从而在编码时知道怎样规避常见的安全漏洞,进而提升产品的技术安全性,降低产品的技术安全风险。

    除对技术人员进行安全培训外,还有安全部门的内部安全分享,这里的内容就很多样化了,例如各自负责业务的详细说明、新安全技术的研究、新安全政策的研究、安全漏洞分享等等,组内分享比较随意,分享内容也可以根据实际情况自行决定。

    三、安全运营

    这里的安全运营也是一个小概念,它并没有通常所说的大安全运营那么高端(大安全运营是指:除了开发部署,一切皆运营),在实践中,我将这里的安全运营分为应急响应中心SRC安全影响力提升两大块。

    应急响应中心SRC

    实际上,我司是没有SRC的,我仅在这里谈谈我对SRC的一些想法。

    众所周知,随着公司的不断壮大,公司的影响力不断提升,肯定会有越来越多的白帽子关注到公司,如果这些白帽子发现的安全漏洞没有地方安放,这些漏洞就会流入未知的地方,对公司造成的威胁也将大大增加。因此,SRC应用而生,用来收集社会上白帽子提交的安全漏洞。

    建设SRC是需要一定时机的,首先公司影响力要足够大,大到有安全白帽子关注到,否则建设完SRC又让它常年在那里吃灰,是没有意义的;同时再加上有外部安全事件推动,在外部安全事件引起老板们的重视后,建设SRC的时机就成熟了。

    在SRC的建设历程中,我认为最难完成的一点应该是漏洞奖励的落地,因为这对于公司来说是一笔额外开支,老板们能否认可这笔开支的价值,就看缘分了。如果对白帽子提交漏洞不设奖励或奖励度低于公共漏洞平台,那白帽子为什么要将漏洞提到你的平台上呢?

    满足前置条件之后,剩余的工作应该是没有太大难度的,首先搭建一个SRC平台,之后就是运营的工作了,例如等待白帽提交漏洞,在漏洞提交上来之后,安全部门对漏洞做评估定级,之后安排奖励发放,并对漏洞做修复推进等等。当然,实际上可能会更复杂一些。

    安全影响力提升

    安全部门的影响力可以分为外部影响力和内部影响力,内部影响力是指在公司范围内的影响力,外部影响力是指在公司范围外的影响力。

    提升影响力的方式有很多,对于内部影响力来说,如安全培训、安全宣传、安全周或安全月活动等等,都是提升内部影响力的方式。对于外部影响力来说,开设公开的安全博客、定期更新安全文章、参加一些大会的演讲、赞助CTF比赛……等等,也都是提升外部影响力的方式。

    提升影响力对于安全部门来说是很有益处的,对外影响力高了,能汇集各路大牛加盟,大牛加盟能让影响力更高,从此走向正循环;对内影响力高了,则能更轻松的开展一些安全工作,少一些妨碍。

    四、安全制度

    安全制度即需要目标群体去遵守的信息安全相关的规章规范,该工作在实施时主要分为两步,第一步是安全部门编写安全制度或安全规范,第二步是推动这些安全制度落地,这里主要谈谈我对安全制度的一些看法。

    众所周知,制度是需要人来遵守的,但人是灵活的,会不会遵守这个制度,每个人有每个人的想法。那么一个制度如果要落地实施,就必须要有相对应的惩罚规则,并且惩罚规则必须要先落地实施。如果一个制度没有惩罚规则,或者惩罚规则没有实施落地,那这份制度基本就会成为纸上谈兵的空中楼阁,没有人会去遵守。

    再说到惩罚规则实施,实施惩罚需要有一个强有力的执行部门,在实践中,这个部门一般是人事部,如果人事部强势,违反规则就实名通报批评或进行更进一步的惩罚,那自然会形成一定的威慑力,大家就会开始关注这些规则的具体要求了。如果人事部不够强势,总是担心通报会动摇军心或影响犯错员工的形象等等,从而进行匿名通报或不通报,如此一来,不遵守这些制度的成本变得非常低了,长期以往会导致更多人不遵守公司的规章制度,公司的规章制度就会成为一纸空文。

    一般情况下,对于全公司的安全制度,如果有较为苛刻的条款的话,落地起来都有一定的困难,比如设置电脑密码复杂度这种,该类型的制度只能配合安全培训和安全宣传来贯彻,就实际情况来看,效果非常一般,目前也没有什么好的解决办法。但是对于面向小众群体的安全制度,落地情况就很可观了,比如敏感数据提取规范这种,对要提取敏感数据的需求,一律按照敏感数据提取规范来进行,制度落地相当于100%。

    总而言之,制度编写很简单,但制度落地,还是需要安全部门的长期努力。

    五、人员安全

    人员安全是指人本身的安全,它所涵盖的范围就非常广了,从公司的业务发展角度讲,其包括内鬼安全、公司外部人员安全、人员入职离职安全等等。

    内鬼安全

    内鬼动机一般包括系统破坏、数据窃取、内部欺诈、商业间谍、偶然间失常等。内部人员作案一般是一个持续过程,在这个过程中逐渐变化,一开始可能是“小偷小摸”,多次得手后,胆子越来越大,最后导致灾难性安全事件发生。内部人员并非指“纯粹”的内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限的人。若要给内部人员下一个清晰定义,可从知识、访问、信任几方面来描述。

    抓内鬼,不是由单一的安全技术部门负责这么简单,而是由跨部门工作组负责,需要有组织保障。可能涉及信息安全、内部监察、内控、廉政、HR等部门,具体落在哪个部门取决于内部博弈,但一般企业内不会先设立这么一个组织再来开展活动,而是谁能干这件事,责任就落在谁头上。

    另外,这个团队需要高层授权,解决“谁来监视监视者”的问题。这个组的工作是保密的,因此需要做好信任管理,确保监视者会受到监视,因为这个组掌握的信息太多且太敏感。

    内鬼安全在实践中非常难以防范,目前来看对于内鬼安全除了加强思想教育以及发生事件后溯源追责,并没有好的解决方案,这个就不具体说了。

    公司外部人员安全

    公司外部人员有很多,例如外包人员、第三方驻场人员、外卖员、快递员等等,对于这些人员的管理主要涉及物理安全与权限安全。在实践中,对于像外包人员、第三方驻场人员这种和公司业务沾边的外部人员,除了限制其物理活动范围外,还应当做好业务权限管控,仅赋予相应的最小权限,防止公司业务信息泄露。而对于像外卖员、快递员这种不和公司业务沾边的外部人员,只需做好物理范围隔离即可,比如设置单独的快递收发室或外卖存放区等。

    人员入职离职安全

    对于人员入职这块,主要有以下三块:
    1、背景调查。这块主要由人事部进行执行;
    2、保密协议与竞业协议。协议的起草主要由法务部开展,协议的签署工作主要由人事部进行执行,在签署保密协议或竞业协议时,要注意协议的有效性问题;
    3、入职培训。入职培训中,应设置网络安全培训,这块主要由安全部门执行。

    对于人员离职这块,安全部门需要关注的就是防止离职人员造成公司业务信息泄露。从实际实施上来讲,主要是两块的内容,一块是在提出离职后,通过数据防泄露系统重点审查其办公终端历史数据,确保在整个工作期间内没有过信息泄露记录,若有信息泄露记录,则要进行面谈及信息确认,并重申保密协议的法律效力。另一块是离职员工的各个账号权限的回收清除,确保在离职后没有任何与业务有关的账号及权限。而对于人员离职产生的其他工作,则是其他部门的事情。

    六、知识沉淀

    公司是铁打的营盘流水的兵,安全部门也是,除了部门内的员工入职离职要做好知识传承外,部门内的同事之间协作也要做好知识传承,例如部署一个系统,具体是怎么部署的?运营一个系统,每期运营解决了哪些问题?测试一个系统,测试账号是什么?等等……

    实际上,不光是安全部门,任何一个团队若要长远发展下去,都离不开知识沉淀,知识沉淀是每一个团队都需要好好去做的事情。在实践中,知识沉淀即文档体系,将安全部门所有工作的记录和结果都以文档的形式记录下来,让每一个接手该工作的人都能够快速的熟悉原先的工作内容,从而在原工作基础上高效的向下开展新的部分,让安全团队始终保持较快的前进速度。

    七、总结

    安全管理体系是整个安全体系架构中的基础模块,属于重要但不紧急象限的部分。出于公司的实际情况考虑,这部分工作内容并没有设定很多,但基本能满足一个小团队的需求。实际中安全管理的方式也有很多,不同的团队有不同的管理方式,本文在此谨以抛砖引玉供大家参考。

    展开全文
  • 如何保障中小企业的安全,顺利上云?

            各位小伙伴们,大家好,我是梦想家Alex 。相信大家对于云服务器都不陌生,本期文章我想为大家科普关于云服务器的那些事!

            目前市面上有很多各种各样的云服务器产品,包括我们熟知的阿里云、腾讯云、百度云、华为云、Google Cloud、微软Azure、亚马逊AWS等等云服务器厂商,除了一些大厂,小厂的云服务器质量参差不齐,这也导致很多做非专业人员在选择云服务器进行相关业务时遇到各种问题。

    在这里插入图片描述
            我们今天要介绍的主角是“华为云”,为什么呢?因为华为云是中国云计算市场最大的变量,发生在华为云身上的事情,具有十分典型的借鉴价值。华为云身上有两个典型特征,一个是发展快,不是一般的快,是太快了;另一个是变动大,这种变动源于华为云经历的几次变阵。

    先来看第一个特征,快。

            根据市场研究机构 Canalys 发布的数据,2020年Q2,华为云以15.5%的份额冲到行业第二,把腾讯云斩落马下。而且,华为云的份额还一直在提升,2020年Q3华为云市场份额提升到16.2%,Q4提升到17.4%。

    在这里插入图片描述
            近两年,华为云的增速超过200%,这真的堪称恐怖。

            现在,华为云已经稳居中国公有云TOP2。

            关于国内这三家巨头云厂商的故事,也颇有一番趣味。例如我们熟知的王坚博士,在马云的大力支持下,从2009年开始成立阿里云,随后10年腾讯也开始进入云服务市场,在当近几年华为云说要放手去做云计算的时候,业界预料到他会是一个不可忽视的力量,但没想到居然这么猛。要知道,腾讯云也不是吃素的。腾讯作为中国互联网领域的双子星之一,兵多将广,现金流充沛。而且,腾讯做云计算的决心也很大,非常舍得投入。在这样的情况下,华为云居然在这么短的时间内就超过了腾讯云,实在有点出人意料。照这样的速度增长下去,阿里云在国内的地位就岌岌可危了。

            我们再来看第二份数据,在Gartner发布2020年全球云计算IaaS市场数据,中国有两家云厂商进入全球前五,其中阿里云第三,华为云第五,这是一个不错的成绩。

    在这里插入图片描述
            华为云的全球份额,已经快要接近阿里云的一半了。阿里云的增速已经掉到60%,华为云的增速即使不能保持200%,但超过100%问题是不大的。以这样的增速,华为云追上甚至超过阿里云是值得期待的。

    第二个特征,安全

            近年来,随着全球网络空间快速发展,高危漏洞、大流量DDoS攻击、数据泄露事件频发,各国逐步出台并实施网络安全合规要求。

            企业客户在数字化转型和上云过程中,需要系统化构建安全体系以应对新的安全挑战。如果把云安全比作“冰山”,不仅要关注冰山上的“安全服务和特性”,还要关注冰山下各种基础安全建设。

            华为云构筑的原生冰山安全体系,通过四大能力,帮助客户抵御网络攻击,让客户从复杂专业的安全工作中解放出来,使客户能快速、便捷地获取到普惠、合规、高效的安全服务。

    在这里插入图片描述
            冰山安全能力一:自主研发的安全服务,与客户共享华为安全能力

            基于华为20多年安全能力积累,华为云通过自主研发,打造出保护应用安全、保护云负载安全、保护数据安全、管理安全态势4大领域的多款云安全服务,包括Web应用防火墙、DDoS高防、企业主机安全、态势感知服务等。华为云为伙伴提供新的孵化安全方案和变现安全能力的平台,与生态伙伴一起满足客户多样化、个性化的安全需求,繁荣安全产业。

            冰山安全能力二:覆盖全球的安全认证,帮助客户快速适配合规要求

            华为云不断吸取业界最佳实践,按全球最权威安全标准不断提升华为云安全性。截止2020年12月,华为云累计通过80+全球权威安全认证。2020年华为云在多个行业安全认证中,成为首家获证的云厂商:

    • 全球首个获得ISO 27799 认证(全球,医疗)
    • 亚太首个获得PCI 3DS认证(全球,金融)
    • 中国首个获得NIST CSF 认证(全球,安全)
    • 全球首家同时通过SOC 2 Type2五大控制属性的云服务商(全球,审计)

            冰山安全能力三:全球的安全保障能力,帮助客户提升安全运营效率

            华为云构建了7×24小时不间断的安全保障体系,实现99%安全事件自动响应,确保云上业务的可用、可靠和快速恢复。

            2020年,华为云成功拦截针对云平台的千亿次攻击,并通过覆盖全球的漏洞监控渠道,协助客户每月处理各类入侵事件,发送各类安全预警数千次,成功抵御数万次DDoS大流量攻击。

            冰山安全能力四:全生命周期的数据安全治理体系,帮助客户数据无忧上云

            数据安全是客户的核心诉求,也是华为云义不容辞的责任。2020年底,华为云正式推出云原生的数据安全中心服务,为客户提供了可视可控可追溯的数据安全保护方案,让客户清楚知道自己的数据从哪里来、到哪里去、如何管理,保障云上数据在产生、采集、传输、存储、使用、交换、销毁各阶段的安全。数据安全中心服务的发布是华为云履行这种责任迈出的又一步。

    第三个特征,应用广泛,竞争力强

            云计算市场还在扩张中,Gartner的数据显示,目前估值超过10亿美元的云计算公司已近百家,2019年全球公有云服务市场预计增长至2143亿美元,同比2018年增长17.5%。预测到2022年,云服务行业的增长速度将是整个IT行业增长速度的三倍。 尤其是20年中国提出了新基建,云计算处于关键位置。对比来看,老基建中的铁路、公路、机场等其他基建被大家称为“铁公鸡”,新基建中的5G、大数据和云计算堪称核心。其中5G相当于“铁路”,负责大规模标准化运输;大数据相当于“公路”,兼容性强,可以运输各种产品;云计算就是“基建”,相当于土地,在云计算领域打好基础,是ICT领域发展的基石。

            对于这一重资产行业,显然科技巨头们更有实力进行长期的技术和资金投入。同时也预示着云计算厂商之间的竞争这将会是一场持久战,眼下,在历经十多年的发展后,云计算已经下沉到各个行业应用,从互联网领域拓展到政企等非互联网领域,进入第二产业、第三产业当中。 以华为云为例,就在中国多个行业已实现突破。在政府与公用事业领域,有30多个中国国家级部委、600多个政府与公共事业使用华为云;在互联网领域的Top50企业中,有30家选择了华为云,如新浪、网易、爱奇艺、芒果TV、游族网络、Cocos等;点播直播行业的Top10企业中,6家上了华为云,包括秒拍、虎牙直播、B站、斗鱼等;此外还有基因、汽车、金融、工业互联网等多个产业的龙头都已经使用了华为云。

            相较于业务结构较为稳定的大型企业而言,中小型企业的特点在于高成长性和业务的灵活多变,因而对数据存储、业务部署的需求更加分散化和多元化。而云计算的特性则体现在高弹性和灵活扩展性。因此,云计算更适合处于快速成长中的中小企业,而不是大型企业的专属。但现实的情况却是,最适合上云的中小企业反而被落在了后面。

            根据上面的调研,从我的角度出发,给到最好的建议是:以中小企业为例,如果企业面临上云的需求,但同时又有以下的疑惑:对云计算的认知不足,对上云成本的顾虑,对数据安全的担忧,对上云效果的疑虑 。综合来看,华为云无疑是最好的选择!

            正好最近迎来了华为云的开年采购季,“开年采购享好价,集云福卡兑好礼”。接下来,就让我们来看一看,这一次华为云为我们准备了哪些福利呢!

    在这里插入图片描述

            只要是在2022年3月1日- 2022年3月31日在华为云官网已完成注册和实名认证的用户,都可以领到 8000 元的开年红包!

            另外还有“云服务器35元秒杀”活动,优惠仅限一单,速来抢购!
    在这里插入图片描述
            “精选热门产品2.8折起”,享3折加购主机安全!

    在这里插入图片描述
            “企业专属解决方案”,助力业务快速发展!

    在这里插入图片描述
            当当当,还有大家都很期待的集福活动,只要按照活动规则,集齐“开”、“年”、“采”、“购”、“季”这五张云福卡,就可以兑换一个抽奖的礼品,是不是很棒呢~

    在这里插入图片描述
            好了,本期内容就到这里,心动的小伙伴们,不要错过哟,想了解更多活动详情可以从文末的传送门快速到达 ~

            👉 活动传送门,精彩福利送不停

    展开全文
  • 博主是涂鸦安全部门最早期成员之一,虽然不是安全...本文是博主关于甲方安全体系建设历程的思考,分为三部分: 一、安全体系建设v1.0---快速治理 二、安全体系建设v2.0---系统化建设 三、安全体系建设v3.0---全面完善

    作者:随亦

    博主是涂鸦安全部门最早期成员之一,虽然不是安全负责人,却也有幸参与和见证了涂鸦安全体系从无到有的建设历程。本文是博主关于甲方安全体系建设历程的思考,分为三部分:

    一、安全体系建设v1.0–快速治理
    二、安全体系建设v2.0–系统化建设
    三、安全体系建设v3.0–全面完善

    除了这三部分外,还有一篇附属博文介绍对于制度的思考:
    附-安全制度管理

    同时,对于甲方安全体系建设,我还写了附属的两篇实践博文:
    甲方基础安全运营平台建设实践
    SDL安全与企业办公安全落地实践

    一、安全体系建设v1.0–快速治理

    很多互联网公司的业务发展通常先于安全团队建设,在业务发展到一定规模、出现安全事故时才考虑在安全方面进行投入,但此时已经是企业信息安全环境状况很差的时候,安全作为业务的基本属性,已经严重滞后于业务的快速发展。

    此时可能出现的安全问题有:企业内网出现众多弱口令和未打安全补丁的系统,线上业务有大量常见的安全漏洞,员工安全意识薄弱,数据泄露严重……

    对于这时候的企业所面临的安全风险,需要救火式的快速切入解决,先从容易的、成本小的、效果明显的地方入手。

    1.1 选择合适的安全负责人

    安全团队早期一般为1-3人,因此,安全负责人知识面的广度就极为重要。负责人应当熟悉安全技术和安全运营,以及安全管理和安全合规。安全负责人需要带领安全团队开展包括安全研发(基于开源二次开发)、渗透测试、安全加固、应急响应、安全审计、安全培训、安全合规、安全管理、安全运营等工作。

    1.2 识别主要的安全风险

    快速治理阶段的主要目标是利用20%的资源解决80%的安全风险,所以第一步是识别主要的安全风险。互联网公司的特点是业务技术以web和移动应用APP为主(有的还涉及到桌面软件、云服务、IoT硬件等),业务迭代快,人员变动较大,公司管理较为松散。互联网企业的安全风险大多来自线上业务,同时企业内部也随时面临风险。

    1、在线业务

    在线业务的风险主要包括web安全风险业务自身的安全风险移动应用安全风险

    2、企业内部

    来自企业内部的安全风险主要包括员工的安全风险口令的安全风险钓鱼攻击和社会工程学的安全风险安全合规风险。除了这些安全风险,还有很多其他的安全风险,例如业务中的DDoS,未打安全补丁的设备和工具,包括路由器、打印机、个人电脑、BYOD设备(自带设备)等。

    1.3 实施快速消减

    以两手都要抓,两手都要硬的原则,一手抓安全技术和安全运营,一手抓安全管理和安全合规。双管齐下快速消减安全问题。

    解决web安全风险可采取的处理方式按优先级排序依次为:

    1、全站清理webshell后门,购买或采用开源WAF快速解决常见web安全问题;
    2、使用动态应用安全测试、静态应用安全测试、交互式应用安全测试产品,对web业务进行黑盒扫描、白盒扫描和人工渗透测试,解决线上主要漏洞;
    3、部署RASP(运行时应用自保护)时应当使用自保护产品对web进行自免疫保护,比如使用Prevoty、OpenRASP等;
    4、提供安全代码过滤库和安全编码培训,提升代码等安全质量。

    解决来自业务的安全风险可采取的处理方式按优先级排序依次为:

    1、初期针对业务特点,选择合适的第三方风控安全产品;
    2、人员到位后,可以从接入层(查询引擎、规则引擎、模型引擎)、处理层、数据层这三方面构建自有的安全风控平台。

    解决移动应用安全风险可采取的处理方式按优先级排序依次为:

    1、采用商业方案(免费/付费)对APP进行漏洞扫描和安全加固来解决常见的安全问题;
    2、安全团队中熟悉移动应用安全技术的成员对移动应用进行深入的人工安全测试;
    3、提供基础移动安全组件和安全编码培训、安全编码规范。

    解决来自员工的安全风险可采取的处理方式按优先级排序依次为:

    1、部署可统一管理的EDR安全产品,在生产环境中统一使用堡垒机进行远程审计管理,采用数据库管理系统审计进行数据库访问;
    2、员工入职时进行安全培训,在入职前对重点员工进行背景调查,制定员工信息安全行为规范并进行考试,在员工离职时需要告知其安全须知,并进行安全审计;
    3、对企业重点业务团队建立隔离受控网络,统一访问互联网的代理服务器,确保包括HTTPS在内的网络流量可审计;
    4、建立基于机器学习的用户异常行为发现系统,如Splunk产品中的UEBA模块。

    解决口令安全风险可采取的处理方式按优先级排序依次为:

    1、通过弱口令扫描器(Hydra/Medusa)检测公司员工账号和内网(SSH、MySQL、RDP、web后台等)所有涉及密码的系统服务,并责令修改密码以快速解决弱口令隐患;
    2、建设基于OpenLDAP的统一单点登录系统,并使用基于TOTP方案的动态口令双因素认证或RSA Key,若使用Wi-Fi技术,则可以通过Radius协议实现双因素认证;
    3、建立更加严格的基于Fido U2F认证协议的实体安全密钥登录系统和BeyondCorp账户安全体系。

    解决来自钓鱼攻击和社会工程学的安全风险可采取的处理方式按优先级排序依次为:

    1、对员工进行相关安全意识培训,并不定期组织相关演练测试以验证培训效果,加强办公场地物理安全管控,避免使用第三方通信软件建立工作群;
    2、强化对钓鱼攻击和利用社会工程学进行攻击的技术监控(如终端安全监控),若要查看高风险文件则可利用沙箱技术进行隔离访问,对于浏览网页的高风险操作可以使用远程安全浏览产品;
    3、加强BYOD设备的安全管理。

    解决安全合规认证可采取的处理方式按优先级排序依次为:

    1、阅读官方安全合规文档,了解安全合规需求;
    2、列出安全合规需要的文档清单,撰写安全合规文档;
    3、判断哪些要求公司已经做到了,哪些还没做到,对于没有做到的制定实施计划方案;
    4、以外规对内规,内规对检查,检查对整改,整改对考核的原则,推进落地;
    5、通过合规认证,拿到合规证书。

    二、安全体系建设v2.0–系统化建设

    经过第一阶段救火式的快速治理后,企业中存在的大部分隐患基本被解除,所以第二阶段可以系统的完善企业安全架构,将“安全融于体系”的安全理念落地。

    2.1 依据ISMS建立安全管理体系

    ISMS具体是由ISO 27001-ISO 27013系列标准组成的,其中尤其以ISO 27001最为业界熟知。ISO 27001主要规定了信息安全管理体系的要求,主要是对一些概念的介绍和概述,一般用于认证。ISO 27002是对应ISO 27001的详细实践,该标准涉及14个领域,113个控制措施。

    ISMS提供了一个大而全的指导性要求框架,其可以为互联网企业安全团队带来的帮助有:

    1、提供了一个全面的安全视图,避免安全覆盖面不足带来的死角;
    2、可以给高管一个可交代的信息安全实施依据,方便安全策略的推行;
    3、获取ISO 27001认证后,可以提高公司知名度与信任度,使客户对企业充满信心。

    ISMS是具体依据PDCA循环原则建立:

    P即Plan(计划)。制定与风险管理和信息安全改进相关的政策、ISMS目标、流程和程序,以提供符合组织全球政策和目标的结果;
    D即Do(实施)。实施和利用ISMS政策对流程和程序进行控制;
    C即Check(检查)。在检查过程中对流程进行相应的评估,并在适当的情况下根据政策、目标和实践经验衡量流程的绩效,之后将结果报告给管理层进行审核。
    A即Act(行动)。根据ISMS内部审核和管理评审的结果或其他相关信息,采取纠正和预防措施,不断改进上述系统。

    安全管理体系具体可以依照ISO 27001的14个控制领域开展,通过对ISMS提供对检查表格,一项一项完成相应的模块并打钩,等勾选的差不多了,安全管理体系自然也就建立好了。

    安全管理类对工作虽然繁杂,但万变不离其宗,要先把合规要求和规章制度等规则吃透,然后发现本企业在执行方面的风险和短板,最后完成整改和化解风险。

    2.2 基于BSIMM构建安全工程的能力

    1、BSIMM介绍

    BSIMM是衡量软件是否安全的标尺,可以通过BSIMM标准来实施自身安全开发建设,BSIMM具体由三大部分组成:

    1、软件安全框架(SSF):支撑BSIMM的基础结构由划分为4个领域的12项实践模块组成;
    2、软件安全小组(SSG):负责实施和推动软件安全工作的内部工作小组;
    3、软件安全计划(SSI):一项涵盖整个组织机构的项目,用于以协调一致的方式来灌输、评估、管理并演进软件安全活动。

    软件安全框架的4个领域12项实践模块:

    治理情报SSDL触点部署
    战略和指标(SM)攻击模型(TM)架构分析(AA)渗透测试(PT)
    合规性和政策(CP)安全功能和设计(SFD)代码审计(CR)软件环境(SE)
    培训(T)标准和要求(SR)安全测试(ST)配置和安全漏洞管理(CMVM)

    治理:用于协助组织、管理和评估软件安全计划的实践,人员培养也属于治理领域的核心实践。
    情报:用于在企业中汇集企业知识以开展软件安全活动的实践,前瞻性的安全指导和威胁建模都属于该领域。
    SSDL触点:分析和保障与特定软件开发工作及流程相关的实践。
    部署:与传统的网络安全及软件维护组织机构打交道的实践,软件配置、维护和其他环境问题对软件安全有直接影响。

    2、安全工程能力建设中常见问题的解决办法

    问题1:业务上线时间紧、压力大,安全漏洞修复占用时间过多而影响业务上线进度

    为避免安全工作成为开发瓶颈,安全测试技术应尽量和现有系统相结合。比如,在IDE上直接集成SpotBugs插件,开发人员在编译时就能被提示要修改漏洞代码;在管理第三方组件漏洞时将BlackDuck与Maven仓库相结合,业务人员不需要介入就可以解决Java库的安全问题;在提交代码到GitLab时,加入Gitrob自动扫描密钥、密码等敏感信息泄露问题;将Facebook Infer集成在CI平台(如Jenkins)上,形成扫描集群以自动检测代码漏洞,并编写Python脚本将漏洞信息发到JIRA上提醒研发人员修复,跟踪漏洞修复进度。

    问题2:安全漏洞方面的误报太多

    任何自动化安全测试系统在刚上线时都可能存在误报问题,针对这类问题可以设计误报反馈功能,成立专职安全小组提供安全技术支持,并使其参与到不断优化检测规则的工作中来,经过几轮迭代之后基本都可以解决误报问题。

    问题3:公司对员工工作无量化指标,部分研发团队成员的责任心不够,对于漏洞修复持无所谓态度,从而留下大量安全隐患

    建立漏洞修复相关的流程制度,将代码质量与KPI挂钩,对因违反流程制度而造成安全隐患的员工按出现的漏洞等级进行处罚。结合质量保障团队定期发送项目质量报告,最终将安全漏洞数据汇总到代码质量管理平台。将漏洞修复放入KPI指标,以促进开发人员修复安全漏洞的积极性。

    问题4:安全方案和要求通常会阻碍业务发展

    安全团队在设计安全方案和要求时,不应该以安全团队省时省事、少承担责任为出发点,这样会阻碍业务发展、降低效率。一套安全方案和要求,应当是能够在降低甚至不降低业务发展的情况下还能保障安全,这样的方案和要求才能受到业务团队和开发运维团队的欢迎。

    3、构建普适的安全技术架构

    网络层:
    在NTA网络流量分析方面有AOL开源的Molochredborder等,在欺骗防御方面有Thinkst的OpenCanaryCanarytokens

    主机层:
    开源产品有Facebook的Osquery

    应用层:
    开源产品有百度的OpenRASP

    身份和访问权限管理:
    开源的产品有gluu

    数据安全与隐私:
    细粒度权限管理的开源产品有Apache Ranger,大数据安全与性能分析的开源产品有Apache Eagle,开源的密钥管理系统有Vault

    安全运营:
    开源的产品有Mozilla开源的SIEM平台MozDef

    三、安全体系建设v3.0–全面完善

    经过第二阶段的系统安全建设后,企业已经基本形成了完整的安全体系,因此,第三阶段的安全体系建设工作主要是对其进行全面完善。

    3.1 强化安全文化建设

    如何建设企业安全文化?安全应该纳入企业的价值观中与业绩一起考核。如果企业文化是贴在墙上的,也不知道怎么考核,那么企业文化所起到的作用就不大。只有建立好企业安全文化,公司才不至于因人员变动而导致安全价值观逐渐稀释。

    3.2 完善安全韧性架构

    安全韧性架构主要实现4中能力:

    1、预料能力,保持对入侵的知情准备状态;
    2、承受能力,即使被入侵仍然可以继续执行基本任务或业务职能;
    3、恢复能力,在入侵期间和之后恢复任务或业务功能;
    4、适应能力,修改任务或业务功能的支持能力,以预测技术、运营、威胁环境中的变化。

    展开全文
  • 中小企业信息化建设分析报告

    千次阅读 2016-10-29 22:47:35
    面对知识大潮的冲击,各个国家的企业不得不调整自身的发展战略,在竞争处于优势。由此,信息化对这个世纪企业的生存和发展有着超乎寻常的意义。 有利于企业迎接加入WTO后的挑战,适应国际化竞争。加入WTO以后,企业...
  • 浅谈软件研发管理体系建设

    万次阅读 多人点赞 2018-12-08 21:40:52
    最近一段时间,我一直在反复思考一个问题:我们的软件研发管理体系应该是怎样的?在不断思考的过程,...关于研发管理,百度百科这样定义:研发管理就是在研发体系结构设计和各种管理理论基础之上,借助信息平...
  • 模,数据体系建设最终呈现的结果是一套完整、规范、准确的数据体 系,可以方便支撑数据应用。 台数据体系应具备以下特征:·覆盖全域数据:数据集中建设,覆盖所有业务过程数据,业务在中台 数据体系总能找到...
  • 互联网企业:如何建设数据安全体系? 原创: 赵彦 美团点评技术团队 总第248篇 2018年 第40篇 一、背景 Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一...
  • 阿里巴巴台战略--共享服务体系

    千次阅读 2019-02-04 22:49:58
    共享服务架构的建设使得阿里摆脱了因为“烟囱式”系统建设方式所带来的种种发展桎梏,最终成为阿里业务台战略的核心组成。那么建设这样的业务台阵型到底给阿里带来了哪些显著的业务价值。主要有以下几点: ...
  • 安全体系建设

    千次阅读 2021-10-22 17:32:19
    安全体系建设 信息安全的防御遵从木桶原理,这个观点在安全界受到一致认可,所以整个应用状态不是由某一个业务或者功能点决定,需要从根源去解决安全问题。 企业安全防御包含两点:横向细化策略和纵向策略。 1、...
  • 随着信息化的发展,企业的数据安全建设已经成为企业信息系统建设过程不可或缺的重要内容。云大物移智等新技术的使用,极大提升了企业业务系统的运行效率,同时,企业数据安全所带来的风险也更加突出。以符合企业...
  • 中小企业如何搭建数据分析平台?

    千次阅读 多人点赞 2016-09-18 09:47:26
    在信息化建设方面,中小企业不同于大型企业规范的项目管理,由于人员、财力、管理的局限性,很多地方需要做不同的预算和管理,有着自己适用的方案和体系
  • 此方案,以管理视角来看,是以构建区域性中小企业生态链为己任的模式,形成适合的社会化服务效应;以技术视角老看,基于大数据、云计算多租户PaaS搭建中小企业运营服务平台。
  • 信息安全体系建设(一)

    千次阅读 2020-09-07 15:52:56
    信息安全体系建设(一) # 如何定义信息安全体系 下面我引用一张来自网络上的信息安全体系图,如有侵权,请随时通知某人...在进行信息安全体系建设的过程, 我们首先需要明确的是核心资产, 那些资产是需要我们保.
  • 软件研发管理体系建设

    千次阅读 2019-09-11 23:30:51
    最近一段时间,我一直在反复思考一个问题:我们的软件研发管理体系应该是怎样的?...本Chat讨论的软件研发管理体系建设主要包括以下内容: 1、对软件研发管理体系的一些概念认知 2、什么样的软件研发管理...
  • 下一篇:基于国内法律法规的企业数据合规体系建设经验总结(二) 引子 在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,...
  • 企业IT建设方法论

    千次阅读 多人点赞 2018-10-31 15:09:02
     在企业IT建设过程,SaaS类系统是最常见也是基本的信息化建设,对于IT建设初期来说,通常会根据企业业务发展形势和需要进行系统的构建,围绕人、财、物、产、供、销这几个要素开展。对于人员的考勤、请假、薪酬...
  • 近日,思科发布了对亚太区 14 个市场 3700多家中小企业的网络安全业务调查报告,反映出中小企业所面对的网络安全困境。 本期产业安全TALK,聚焦中小企业面临的主要网络威胁,从攻防的角度分析日益猖獗的网络攻击,...
  • 企业IT架构—共享服务体系

    千次阅读 2019-03-29 14:23:06
    企业IT架构—共享服务体系 兔龙象关注 2018.01.05 17:53字数 2044阅读 1296评论 0喜欢 2 最近阅读了《企业IT架构转型之道》,感触较大,和我们公司这几年遇到的问题有很多相似之处,如果能够早几年看到这本书,...
  • 2022年中小企业上云如何保证云服务安全

    千次阅读 多人点赞 2022-01-11 15:15:14
    2022年从安全角度给中小企业上云的3大建议 近年来,随着全球网络空间快速发展,高危漏洞、大流量DDoS攻击、数据泄露事件频发。在高速变化的网络威胁态势中,仅仅依靠对漏洞的补救,或针对已知远远不够了,新的威胁还...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 63,143
精华内容 25,257
关键字:

中小企业服务体系建设