导图社区 企业安全建设指南
- 275
- 11
- 0
- 举报
企业安全建设指南
这里面包含了企业安全的架构及技术实践,是对《企业安全建设指南》这本书的梳理整理,详细可参考书籍等等。
编辑于2021-11-24 12:01:39- 企业安全
- 建设指南
- 相似推荐
- 大纲
企业安全建设指南
第一部分:安全架构
安全的本质
信任就是安全问题的本质
安全原则
1、持续改进PDCA
2、纵深防御
从网络层、虚拟层、系统层、应用层、数据层、用户层、业务层、总控层,进行层层防御
3、非对称
安全世界观:信息安全就是博弈和对抗
正确处理几个关系
科学与艺术
管理与技术
业务与安全
甲方与乙方
安全趋势
安全度量
漏洞数
安全事件数
历史问题免疫
安全成为属性
安全人才缺口增大
安全的本质
信任就是安全问题的本质
安全原则
1、持续改进PDCA
2、纵深防御
从网络层、虚拟层、系统层、应用层、数据层、用户层、业务层、总控层,进行层层防御
3、非对称
安全世界观:信息安全就是博弈和对抗
正确处理几个关系
科学与艺术
管理与技术
业务与安全
甲方与乙方
安全趋势
安全度量
漏洞数
安全事件数
历史问题免疫
安全成为属性
安全人才缺口增大
金融行业的信息安全
安全态势
信息科技监管趋势
外部安全态势
安全目标
核心目标:两个两手抓
一手抓安全合规、一手抓风险控制
一手抓安全管理、一手抓安全技术
明确信息安全基线
安全管理基线
组织架构
体系架构和制度层级
人力资源
任前任中任后
安全技术基线
机房安全
网络安全
系统安全
应用安全
终端安全
数据安全
信息安全与业务关系 矛盾与共赢
矛盾性
一致性
共赢
信息安全与监管的关系 约束与保护
安全规划
概述
需求分析
安全目标
smart原则
总体目标
宏观、务虚
具体目标
明确性
衡量性
可实现性
相关性
时限性
各个安全领域的现状和差距分析
解决方案和计划
要体系化
可持续性
可接受
安全资源规划
当年重点项目和重点任务
上一版安全规划目标差距分析
内控合规管理
合规、内控、风险管理关系
合规是基础
内控要求合规,执行“规”是否有效
特别是全面风险管理是风险管控的最高形式
市场风险
流动性风险
操作风险
法律风险
信用风险
目标和领域
建立有效的机制,实现对企业IT风险的识别、计量、监测和控制
信息科技风险管理
监督检查
制度和公文管理
业务连续性管理
信息科技外包管理
分支机构管理
落地方法
外规对內规
将外部规范要求分解成元要求,去重合并,和內规意义对应,每一条元要求要对应三个结果:(1)满足要求(2)冲突(3)缺失,不满足(1)则修订內规,满足外规要求。
內规对检查
检查对整改
整改对考核
信息科技风险管理
科技风险管理属于操作风险,管理手段一般遵从第二道防线风险管理部门的管理手段
原则
事前预防为主
全面性
成本效益
组织架构和职责
第一道防线:信息科技部门
第二道防线:风险管理部门
第三道防线:稽核审计部门
管理的内容
IT治理
信息安全
信息系统开发、测试、运行
信息科技运行
业务连续性管理
外包管理
内部审计
外部审计
管理手段和流程
要有套路:有流程、有方法、有工具
管理手段
信息科技风险隶属于操作风险,属于第二道防线风险管理部门的管理手段
三大工具:风险与控制自我评估RCSA、损失数据收集LDC、关键风险指标KRI
管理流程
风险识别
风险分析与评估
风险控制
事前、事中、事后
风险检测
风险报告
安全团队
形而上者谓之道,形而下者谓之器
安全团队建设的痛点
价值感和存在感缺乏
投入少,绩效衡量难
风险压力大
综合性人才、专业人才稀缺
职业规划前景不明,职业发展的天花板较低
安全团队面临的宏观环境
安全团队文化建设
格局为先
认同价值
专业自信
建立自己的知识结构
要有规划意识
要了解安全形势
要了解行业和信息安全产业
要深入学习掌握安全行业知识
要多思考、多总结、多分析,形成逻辑框架和专业经验
要分清主次,抓重点
处处用心
养成习惯
《习惯、习惯的力量》 几个好的习惯: 1、计划的习惯:明确完成时间、责任人、资源需求、配合方、工作完成标志; 2、敢于承诺和遵守承诺的习惯 3、高效处理邮件的习惯 4、认真完成文档撰写的习惯
培养洁癖
安全团队意识建设
客户意识
责任意识
风险意识
冰山理论
海恩法则
墨菲定律
创新意识
理念创新
制度创新
技术创新
学习意识
形成学习的氛围 激发主观能动性 个人智慧转换为集体智慧 推动学习到生产的转换
安全团队能力建设
好团队建设标准:两个“离开”的标准
有能力离开
不愿意离开
确定目标,找准主要矛盾
子主题
梳理和细分团队职能
信息安全管理职能
信息安全技术职能
建立学习框架,提升知识和技能水平
掌握学习方法、实现事半功倍的效果
安全管理类知识的学习方法
1、把书变薄:形成知识地图 2、把书变厚:学校的知识点应用 3、把书再次变薄 :归纳总结出整改方向和整改点
安全技术类知识的学习方法
关于不知道-》知道的三步走
安全团队建设路径
最终实现: 1、安全管理技术化:逐步建立可量化、可视化、一体化、自动化、智能化的信息科技风险管控机制; 2、技术管理管理控:要明确安全技术工具实施是想实现怎样的安全管理目标,进化为不停的开展管理策略和风险检测模型的回顾、检讨、调优、建立跨团队、跨系统、跨平台的一体化管理体系。
先找唐僧
通过招聘补充成员
形成团队合力
循序渐进的成长
安全人员的职业规划
安全团队与其他团队的关系处理
安全与开发
安全与运维
安全与科技管理
安全与业务
安全与外包
安全与监管
安全培训
安全培训的问题与痛点
信息安全意识不足的案例
信息安全培训的必要性
信息安全培训的痛点
信息安全培训的关联方
信息安全培训的“百宝箱”
培训内容
专业知识
实用技能
安全意识
培训需求分析
培训形式
现场培训
在线培训
开班内外部专栏
以赛代训
信息安全实战演练
信息安全活动宣传周、宣传月
无处不在的安全宣传
定期发送安全风险提示---
信息安全智能机器人系统
外部提供的信息安全培训组合服务
培训时机
全员每年例行培训
员工入职马上培训
高位人士时常培训
专业人士专场培训
特殊事件重点培训
面向对象的信息安全培训矩阵

培训矩阵的构成要素
培训对象
培训内容
两者相关性
培训体系实施的效果衡量

外包安全管理
外包管理问题与痛点
几个深刻的教训-客服删库、违规收集数据库
外包安全管理的必要性
《银行业金融机构外包风险管理指引》
《证券基金经营机构信息技术管理办法》中信息技术服务机构要求...
外包管理中的常见问题
对外包依赖大
外包商集中度高
外包商经营风险事件日益增多
外包商员工管理难度大
可能发生不当行为
不受直接监管直接约束
影响及风险:
科技能力丧失
业务中断
信息泄露
服务水平下降
1、战略层面建立外包安全防控架构,明确目标和原则 2、战术层面按项目建立全生命周期管理机制及管理效果衡量机制
安全考核
考核评价体系与原则
考核评价体系:绩效评估和考核
奖惩机制
人才选拔机制
管理者的权利和义务
安全考核对象
团队考核
个人考核
考核方案
方案的设计原则
既要设置过程指标,又要设置结果指标
既要设置客观指标-定量、又要设主观性指标-定性指标
既要设置团队自身的指标,又要设置其他团队的指标
安全团队设置安全指标外,开发运维也要设置安全指标
考核相关的问题
防止恶性竞争
涉及量的指标,要有数量的上线
避免团队规模引起的公平性问题
防止秋后算账
利用5%实现100%的效果
正向还是负向激励
免费的胡萝卜
要不要满意度
内部问责
安全考核,在于实践
安全认证
安全预算、总结与汇报
安全预算:3%、10%
总结包括
总结包括: 1、内外部监管任务落实情况 2、年度安全事件、安全指标完成情况 3、安全管理体系建设 4、安全研究与安全意识培训实施情况 5、内部管理 6、人才培养 7、团队文化建设 8、个人成长情况 9、存在不足 10、新一年的工作重点和计划 注意事项: 1、结果指标和过程指标相结合,提供客观数据,横向、纵向对比 2、阐述公司战略和业务发展规划、IT战略下的业务发展个情况 3、主动回应 4、第一要素是业绩,业绩突出团队,不足归于自身;问题剖析要深刻 5、不要忘记感谢
安全汇报:定期不定期,不同级别不同汇报方向
第二部分:安全技术实战
互联网应用安全
端口管理
Nmap、Zmap、Masscan端口扫描的工具 Nmap强大但扫描慢,Masscan快速
web应用安全
Web应用防火墙(WAF)
入侵检测/防御系统(IDS/IPS)
IDS上的开源的Snort
漏洞扫描和渗透测试
系统安全
OSSEC
Sysmon
网络安全
蜜罐的应用:honeyd
数据安全
数据库请求是否合法
页面返回的内容是否包含敏感信息
业务安全
互联网DMZ区安全管控标准
移动应用安全
移动支付标准
1、央行发布的金融行业移动支付标准,涵盖应用基础、安全保障、设备、支付应用、联网通用5大类35项标准; 2、2017年泰尔终端实验室对安卓系统手机银行安全测评,涵盖:通信安全性、键盘输入安全性、客户端运行时安全性、客户端安全防护、代码安全性和客户端业务逻辑安全性等6个方面39项内容。
APP开发安全
APP业务安全
代码安全
代码混淆
加壳
反调试
签名验证
数据安全
数据存储安全
数据传输安全
其他安全
安全输入键盘
防截屏
钓鱼APP
企业内网安全
安全域
终端安全
网络安全
网络入侵检测系统
异常访问检测系统
隐蔽信道检测系统
服务器安全
基础安全配置
入侵防护检测
重点应用安全
活动目录
邮件系统
VPN
堡垒机
漏洞战争
弱口令
漏洞发现
SDL
蜜罐体系建设
密域名
密网站
密端口
密服务
密库表
密文件
数据安全
数据安全治理
终端数据安全
加密类
磁盘加密
文件加密
权限控制类
终端DLP类
桌面虚拟化
安全桌面
网络数据安全
网络DLP类
上网代理类
邮件代理类
存储数据安全
存储数据加密
敏感文件的扫描
数据的销毁
应用数据安全
数据库安全
数据交换平台
大数据安全
其他
数据脱敏
水印及溯源
矢量水印
UEBA
CASB
业务安全
账号安全
撞库
验证码
图形验证码 短信验证码 人机行为验证:滑动行为验证
页面混淆
后端分析与拦截
账号盗用
爬虫与反爬虫
API网关防护
钓鱼与反制
大数据风控
邮件安全
入站安全防护
邮箱账号暴力破解
邮箱账号密码泄露
垃圾邮件
恶意URL的钓鱼邮件
恶意附件的病毒邮件
出站安全防护
数据泄露:邮件外发审计与拦截、通道加密、禁止转发等
通过邮件发布的违法信息
邮件服务器被滥用或被拒绝
活动目录安全
安全热点解决方案
DDOS攻击与对策
本地设备清洗
运营商清洗
云清洗
勒索软件应对
邮件
终端
上网
其他
补丁管理
堡垒机管理
用户与权限管理
机器纳管与口令变更
高可用架构与设计
应急通道与绕过发现
加密机管理
选型
高可用架构与监控
应用梳理
情报利用
网络攻防大赛与CTF
安全检测
安全检测方法
黑盒测试
白盒测试
检测工具
BurPsuite
AWVS
AppSCan
Sqlmap
Nmap
安全检测思路和流程
信息收集
自动化漏洞扫描
关键功能收集
人工介入验证和检测
编写报告
小总结和改进
红蓝对抗
可以设置两个指标: 攻防对抗成功率 攻防对抗检出率
安全运营
两个目标
将安全服务质量保持在稳定区间
大餐--大厨的心情 快餐-标准化流程 需要消除责任心等带来的影响
安全工程化能力
个人能力转化为自动化安全监测能力
架构
安全防护架构
部署尽可能多的感知器(sensor) ★纵深防御: 要考虑两个问题:
安全总控层安全
用户层安全管控
数据层安全管控
应用层安全管控
系统层安全管控
虚拟层安全管控
网络层安全管控
安全运维架构
基础架构平台
安全情报监视系统
数据分析系统
安全控制系统
安全验证架构
对安全防护、运维框架进行验证
安全度量架构
技术维度
安全运营成效
安全满意度和安全价值
安全运营中心
安全自查管理和矩阵式监控
安全资产管理
面临的问题
安全资产管理重要性
安全资产谁管理
安全资产管理的关键问题
关注的范围和维度
自动手段提升安全资产发现识别率
主动探测(NMAP) 被动流量探测 Agent获取
动态数据更新及维护
控制好安全资产信息获取过程中的负面影响
通过有效可行的规范制度保障安全资产管理的持续性
解决思路和方案
安全资产应该关注那些资产信息
业务维度
域名资产
URL资产
外网IP资产
系统维度
外网IP资产
外网开放端口资产
内网集群IP资产
内网集群开放端口资产
主机维度
主机IP资产
主机开放端口资产
中间件资产
数据库资产
操作系统资产
其他应用资产
通用维度
资产补丁状态
主机HIDS状态
资产负责人
系统开发商
易被忽略的安全资产信息
全局安全资产
新型安全资产
微信公众号 企业微博账号
存在安全隐患的隐藏资产
开放公网的API接口,网站管理后台等
特权账号
易被忽视的资产属性
安全资产管理系统
资产发现识别能力
资产持续监控能力
资产变化的合规性
重点关注的高危服务
1Day漏洞的响应能力
全局安全资产管理能力
安全资产分析数据可视化
安全资产管理闭环
几点思考:
快速响应能力建设
格尽职守尽力而为
自动化和智能化是未来的发展方向
矩阵式监控
存在问题
资产管理工具和机制落后
各类监控系统的检测标准不明确、不统一
新增设备没有纳入
无法完全保障监控结果的持续跟踪
解决方案
资产准确性
明确监控标准
部署矩阵式监控
横向维度
纵向维度
结果对比
将比对结果与资产清单关联
持续跟踪改进
收益和体会
应急响应
安全趋势和安全从业者的未来