“ 没有绝对的安全，这就好比我们家里的门锁一样，防君子不防小人。企业的安全体系就像是企业的一把锁，你说它有用吗？有用。你说它没用吗？可能在某一时刻就会变得没用。但，我想那时，我们应该正在考虑如何换另一把锁的问题了。”

关于信息安全的事件每年都有发生，远的不说，2017年就发生过好多起，比较知名的如：

2017年3月58同城被报简历数据泄露。

2017年4月21日，有媒体记者发现在12306官方网站订票时发现，当退出个人账号，网站页面竟自动转登他人账号，且与账号相关联的身份证号、联系方式等个人信息均可见，随后记者在该页面点击常用联系人选项时页面再次刷新并显示他人账号及账号涵盖的所有信息。

2017年5月份，新型"蠕虫"式勒索病毒WannaCry（中文直译为“想哭”）爆发，席卷全球。

（数据来自互联网）

这些事件当时也成为大家在不同场合交流时必聊的话题，我曾经也参加过一些关于安全问题的互联网企业论坛，以及与同行也进行过相关方面的交流，其实大多数公司在安全这方面说的比做的好，大家也清楚安全问题的重要性，但真正在实际的操作中却没有几家拿得出手。

无论是传统企业还是互联网企业，金融性质的，或者非金融性质的，企业信息安全在企业发展过程中一直都占非常重要的地位。

另外，国家从2017年6月份正式颁布了《中华人民共和国网络安全法》，明确了对个人信息收集和保护的要求，提出了个人信息保护的基本原则和要求，并对加强个人信息保护和惩治非法买卖个人信息等作出了明确的规定，这也是我国规范网络空间秩序的第一部基础性法律。同年7月，国家互联网信息办公室发布了《关键信息基础设施安全保护条例（征求意见稿）》，对《网络安全法》中涉及到的关键信息基础设施安全保护，做了更细致的规定。这体现了国家对网络安全的重视。

那么，既然信息安全这么重要，一个企业如何搭建自己的安全体系？下面从我自身经历过的企业和大家分享交流一下，我想应该有一些相同性吧。

01

信息安全体系“三层架构”

首先对整个安全体系要有整体设计，比如按照“三层架构”模式进行(如图1)。

（图1）

第一层，建立安全控制范围，比如本次所涉及到安全体系会应用于哪些主体？是目公司还是包含旗下所有子公司，孙公司，这会影响到后面指定某些安全规范的范围；

第二层，建立安全标准，要从企业所属的行业顶层往下进行梳理，看看自己的企业属于哪个大的监管层面来监管的，比如银行是受银保监来监管的，证券是受证监会和证券业协会来监管监督的，网贷平台是受地方金融办来监管的，这些行业本身已经有了相关的法律法规来规范这个行业的发展，当然里面肯定包括了信息系统建设及安全方面的条目，根据这些纲领性的东西归纳梳理出自己企业的信息安全方针，进而指定相关安全策略，最后形成适合自己企业的信息安全标准如（图2）。当然这个标准里面最起码要包含信息安全执行流程，控制最低要求，信息安全指引等。另外针对不同的企业会涉及到不同的领域，比如如果是一个IT强关联系的企业，那么针对系统的开发中涉及到的每一层面都应该建立相关安全标准，比如数据传输安全，客户交易数据安全等等如（图3）。

（图2）

（图3）

第三层，确保控制制度的执行，既然制定了安全相关的规范，那就得严格执行，不能成为“嘴炮主义”，所以这也就是我文章开头说的很多企业说的比做的好的原因，那么执行的好不好就得有人来监督，就像你给老婆发誓以后肯定不会再抽烟了一样，那你老婆肯定会发动全家人来监督你，光说没用，那么信息安全的监督就得有一个审计机制来督促和约束，这个就分两块了，一是外审，一般是第三方或者行业监管部门，二是内审，就是公司的风控或者单独成立的安全审计部门，比如在一个系统开发的整个过程中安全审计如何介入如（图4）

（图4）

02

信息安全管理需求

有了第1部分的整体安全架构作为指导，那么，接下来就要针对公司各个会涉及到安全的环节进行罗列，并进行分析，明确接下来自己企业在信息安全建设方面到底要做些什么？

以一个传统互联网企业来举例说明一下：

首先，办公室安全，主要涉及到企业员工的电脑定期杀毒（恶意木马），封闭USB接口（防止公司资料外泄），限制相关IM通讯和娱乐性网站（避免互联网病毒传播），以及来访客户网络隔绝等。

其次，IT系统开发测试生产环境网络安全，保护各方面网络终端系统之间通信以及网络自身管理的安全性，保证整个过程的机密性，完成性，认证性，和访问控制性是非常重要的。可以将网络安全分为办公室环境网络，开发测试环境网络，生产环境网络三块，每块网络环境应该是相对独立，各环境之间通过堡垒机进行授权访问，也就是大家常说的“三网隔离”。

第三，外包协助开发安全，比如涉及到第三方服务采购的招标前安全评标，第三方系统接口的安全评审，第三方人力外包服务实施前安全检查（自有电脑查毒，虚拟桌面方式开发），及后期安全审计（人员离职）等。

 03

信息安全应对措施

信息安全问题不可避免，今天我们在谈论别人的安全事件案例，明天可能别人就在谈论我们的案例了。但也不能悲观，要“不怕事”，如果出现安全问题，那我们的目标肯定是解决问题，将问题的影响降低到最小，不能让事态无限扩大下去。

我归纳了一下，可以按照如下措施进行应对（如图5）：

打油一下：

一吓二防三侦查，

出了事情别害怕，

及时响应拦住它，

围堵入侵靠WAF，

容灾恢复有计划。

（图5）

04

信息安全实施步骤

有了纲领性的指导思想，又对自身企业的安全需求进行了明确，加上相应的安全措施，那么如何实际落地进行呢？这里要提醒一下大家，切忌盲目的去做“大而全”，那样的话到最后可能会遇到各种挑战，根据实际情况先做到“小而美”。

实施大概可以分为三步：

第一步：分解安全需求，从易到难，比如先从办公环境安全问题入手，先从员工电脑开始（正版系统，定期杀毒，上网口令，禁止USB，禁止视频购物娱乐性网站访问，上网行为设备等），其次网络改造（三网隔离，授权访问等），最后文档管理（电子文档，纸质文档，配备纸质文档销毁机等），当然，也可以招聘一名安全管理岗位的员工。

第二步：从IT系统层面进行控制，比如企业核心系统的访问权限控制，应用系统开发安全规范（符合信息系统安全等级要求，比如等保三级，这块后续文章我将专门关于系统三级等保与大家进行交流），建立统一运维管理平台，建立核心机房系统态势感知平台等。

第三步：培训宣导，建立信息安全管理制度，新员工入职后进行培训，企业员工定期进行安全知识培训等。

 最后

企业安全体系建设是一场攻坚战，更是持久战，别想着用闪电战方式来打。

你会遇到各种挑战，因为它涉及到了企业成本（人员成本，运营成本，软硬件成本等），某一小措人的利益，大部分员工的接受度等敏锐问题。

如果是战略上支持的事情，那么就要咬紧牙关啃下这块骨头，当然你也有要面临群起而攻之的勇气。

没有绝对的安全，这就好比我们家里的门锁一样，防君子不防小人。

企业的安全体系就像是企业的一把锁，你说它有用吗？有用。你说它没用吗？可能在某一时刻就会变得没用。

但，我想那时，我们应该正在考虑如何换另一把锁的问题了。