三分技术,七分管理。
企业的安全建设和发展从来都是自上而下(管理层决定和推动),而不是自下而上。
从大部分的雇主来说,信息安全是不怎么重要的(确实也是,我个人认为企业活下来才是最重要的,尤其是创业型企业,信息安全多么虚无飘渺的事情,效益也很难衡量)。
只有发生重大的信息安全事件后(或者法律要求),雇主才会逐渐重视信息安全。
信息安全是烧钱的(至少很浪费人力资源)。
信息安全从业者的实质工作就是保安。与传统的物业公司保安唯一不同的是,信息安全从业者是在虚拟空间里面执行安保工作,传统保安是在现实世界执行安保工作。
信息安全5大议题:
1)预防攻击(建立企业信息安全制度、规划设计信息安全框架、信息安全审计、安全监控—知道什么人在做些什么)
2)发现攻击(攻击告警、信息安全审计发现问题)
3)阻断攻击(阻断攻击源、修改代码bug、部署入侵防御)
4)追踪攻击(电子取证)
5)善后(改良信息安全工作、修改企业信息安全制度、优化现有信息安全系统)
安全措施重要程度:
第一梯队紧急:
1,修复漏洞(修复漏洞应该是安全措施里面最重要的措施,例如勒索病毒就是通过系统漏洞来入侵;一旦一台服务器对外服务的端口中,存在了高危漏洞,那么随便一个脚本小子把metasploit一开,现成的攻击代码一加载,妥妥马上控制服务器)
2,终端管控(办公机器安装杀毒软件、修复漏洞软件、软件管控等等)
第二梯队紧急:
1,信息安全渗透(展现风险,例如信息系统是否存在注入、XSS、网络风险点、终端风险点等等)
2,部署防火墙、入侵检测/防御系统
第三梯队紧急:
1,网络访问控制(不通安全级别的区域之间,实行严格的访问控制;关闭服务器对外的无用端口;工具可使用ACL、iptables、防火墙等等)
2,代码审计(保证业务安全)
本文章是我的一家之言,如果你持有不同意见,请坚持自见。
