近期,國家計算機病毒應急處理中心發(fā)布了關(guān)于西北工業(yè)大學遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報告,調(diào)查發(fā)現(xiàn)了西北工業(yè)大學于2022年6月遭遇的網(wǎng)絡(luò)攻擊行為,黑客使用了分布在境外的跳板機和代理服務機,向西工大師生發(fā)布釣魚郵件,引誘師生點擊,從而入侵其內(nèi)部系統(tǒng)。
8月上旬,網(wǎng)絡(luò)上傳聞美的集團已經(jīng)遭遇勒索攻擊,工廠多處電腦中了勒索病毒,導致內(nèi)網(wǎng)系統(tǒng)連不上,所有文件都無法打開。對于被勒索,美的方面對此進行了否認,事實真相,筆者不得而知。
十一前后,有幾家知名企業(yè)因為安全事件找到新鈦云服,有中勒索病毒、有發(fā)生了數(shù)據(jù)泄露,需要協(xié)助進行安全應急處置。
最近這些年,網(wǎng)絡(luò)安全事件頻發(fā),已經(jīng)逐漸成為常態(tài)了,知名企業(yè)往往是黑客關(guān)注的重點,如果自身的網(wǎng)絡(luò)安全在技術(shù)、管理、運營三個層面,任何一個地方存在薄弱點,一旦被不良組織盯上,基本上都難道厄運,對企業(yè)造成重大損失。
除了安全事件頻發(fā)之外,安全監(jiān)管層面也是越來越嚴格了,這幾年我們國家陸陸續(xù)續(xù)出臺了一系列和網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、和標準規(guī)范。
·2017年6月1日《網(wǎng)絡(luò)安全法》開始實施,今年9月14日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《關(guān)于修改中華人民共和國網(wǎng)絡(luò)安全法的決定(征求意見稿)》·2019年12月1日等級保護2.0開始實施·去年下半年《數(shù)據(jù)安全法》、《個人信息保護法》實施,《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》的發(fā)布·今年的《網(wǎng)絡(luò)安全審查辦法》、和《數(shù)據(jù)出境安全評估辦法》實施
發(fā)生網(wǎng)絡(luò)安全事件,對企業(yè)來說,除了可能會造成經(jīng)濟損失之外,還存在相關(guān)法律合規(guī)方面的風險。
網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)管理者、特別是企業(yè)IT負責人越來越頭疼的問題了,對于網(wǎng)絡(luò)安全建設(shè),很多企業(yè)不知道從何處著手,有的企業(yè)在安全建設(shè)上雖然投入了很多錢,但是效果卻不明顯,經(jīng)常發(fā)生安全事件,感覺防不勝防。
那么,網(wǎng)絡(luò)安全建設(shè),到底如何做?如何做才能以最小的投入產(chǎn)生最大的價值?
二、安全建設(shè),必須統(tǒng)一規(guī)劃,咨詢先行
網(wǎng)絡(luò)安全建設(shè),通常的做法是先進行系統(tǒng)性的、整體的網(wǎng)絡(luò)安全體系規(guī)劃設(shè)計,之后按照規(guī)劃設(shè)計的路線圖分步進行實施,對于網(wǎng)絡(luò)安全,建設(shè)一定要堅持技術(shù)與管理并重、并秉承持續(xù)運營的安全理念。
參考ISO27001、等級保護2.0三級要求、并結(jié)合業(yè)界最佳安全實踐,網(wǎng)絡(luò)安全體系建設(shè)框架一般包括:安全管理體系、安全組織體系、安全技術(shù)體系、和安全運營體系四個方面,具體內(nèi)容。
很多企業(yè),在網(wǎng)絡(luò)建設(shè)初期,由于沒有做好系統(tǒng)性的整體的安全規(guī)劃設(shè)計,導致后期安全建設(shè)比較混亂,頭痛醫(yī)頭,腳痛醫(yī)腳,最后發(fā)現(xiàn),買了一堆安全產(chǎn)品,錢花了不少,卻還是安全問題頻出。
對于這種境況的企業(yè),業(yè)界的最佳實踐是先做安全咨詢,通過咨詢,先客觀了解當前安全現(xiàn)狀,找出安全薄弱點,并根據(jù)咨詢結(jié)果下一步有針對性的進行系統(tǒng)性的安全規(guī)劃設(shè)計,簡單來說,咨詢工作是安全規(guī)劃成功的基礎(chǔ)和前提。
三、安全咨詢應該如何做,如何選擇適合自己的安全咨詢服務商?
目前,國內(nèi)市場上做安全咨詢的公司主要有三類:
傳統(tǒng)安全設(shè)備廠家:
安全咨詢是副業(yè),咨詢側(cè)重產(chǎn)品層面,后期規(guī)劃實施時一般會推銷自己的安全產(chǎn)品,咨詢結(jié)果的中立性不足。
咨詢公司:
知名度高,咨詢費用較高,安全咨詢主要側(cè)重管理層面,經(jīng)常發(fā)生規(guī)劃方案技術(shù)上難以落地的情況。
中立安全服務商:
安全實戰(zhàn)經(jīng)驗豐富,熟悉常見安全產(chǎn)品,咨詢結(jié)果相對中立,咨詢方案能夠落地。
對于傳統(tǒng)企業(yè)來說,選擇中立安全服務商做安全咨詢,然后分階段分步驟進行安全建設(shè)是比較穩(wěn)健的方案。
新鈦云服就是中立安全服務商,新鈦云服的安全咨詢的方法和過程如下:
1、安全咨詢工作的思路和價值
安全咨詢,主要通過技術(shù)、管理兩方面來進行實施。技術(shù)方面采用的方式:現(xiàn)有安全措施溝通、配置核查、滲透測試、漏洞掃描等;管理方面采用的方式:用戶訪談、文檔分析、記錄調(diào)閱等。
安全咨詢的主要價值:
評估安全管理制度的完備性、適用性
評估安全操作的規(guī)范性、遵從性
評估安全措施的合理性、有效性
發(fā)現(xiàn)企業(yè)安全防御工作的短板
為安全加固和安全規(guī)劃提供依據(jù)
2、安全咨詢工作的重點
安全運維的制度流程、運維操作的安全管控、特權(quán)賬號和權(quán)限的管理
數(shù)據(jù)備份的制度流程、數(shù)據(jù)備份的日常操作、備份數(shù)據(jù)的驗證和保護
應用系統(tǒng)的安全管控
數(shù)據(jù)全生命周期安全管控
3、安全咨詢依據(jù)的主要標準規(guī)范
《GB/T22080-2016信息安全技術(shù)信息安全管理體系要求》
《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》
《GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》
ISO/IEC27001/27002/27005
《GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》
《GB/T31509-2015信息安全技術(shù)信息安全風險評估實施指南》
《GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范》
4、安全咨詢一般流程
5、安全咨詢輸出物
安全咨詢的輸出物一般包括:《項目啟動說明》,《安全現(xiàn)狀調(diào)研及相關(guān)風險分析報告》,《風險處置建議》,《安全規(guī)劃方案》等。
