互联网企业安全建设方案 · 语雀 - 《安全收集》

企业面临安全挑战分析（为什么要做安全）
企业核心安全目标
企业安全整体视角 / 关注点
企业安全建设整体思路
核心安全能力建设与提升

企业面临安全挑战分析（为什么要做安全）

从外部环境来看，目前互联网整体安全态势不容乐观。企业每天都面临着来自各方面的安全威胁，网络攻击、勒索、安全漏洞等事件时有发生，企业敏感信息泄露逐渐成为一种常态。一旦发生此类安全事件，都会对企业正常运营、业务发展造成不良影响。加上近年来一些重大安全事件不断被媒体曝光以及整个互联网行业的发展，使得越来越多的互联网企业意识到安全的重要性，开始着手或者计划招聘专业安全人员来提升企业自身的安全水平。

综合归纳一下，互联网企业做安全的几个方面：

企业核心安全目标

互联网企业究竟需要什么样的安全？安全需求有哪些？核心安全目标是什么？为了实现安全目标，需要企业具备什么样的安全能力？

1、数据安全

数据安全是所有互联网公司最核心的安全需求，也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控。可以主动识别数据在全生命周期内和流动过程中的数据安全风险和评估出合理风险等级，并将风险控制在可接受范围内。

具备对数据泄露事件的应急响应和溯源调查能力。

2、业务安全

可以主动发现潜在业务安全风险，提供解决方案和将风险控制在可接受范围内。尽可能降低因网络攻击造成业务系统受影响的安全风险，比如最常见的 DDOS、CC 攻击等。

有能力支撑和应对业务正常发展和运营过程中以及业务场景变化可能带来新的业务安全风险。

3、基础安全

能够掌控企业整体的安全态势，可主动发现潜在安全风险，及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度，并且在第一时间内解决遇到的安全问题。

具备主动发现主流安全漏洞和提供修复方案以及推动漏洞修复的能力、具备对主流网络攻击和明显异常行为的主动感知和防御能力、具备对安全事件应急响应和攻击溯源能力。

4、人员安全

让员工理解自身在公司信息安全方面的职责和义务。

让员工具备安全意识思维和识别日常工作和生活中的常规攻击手段的能力。

5、安全合规

满足安全监管、法律要求，有效支持公司业务开展、运营和外部合作。

在满足安全合规的基础上，构建符合公司自身特性的安全合规体系

企业安全整体视角 / 关注点

一个完整的企业安全视角需要涵盖生产网络、办公网络、第三方供应商以及安全合规这四个方面，找出单一的安全隐患与问题并不难，真正的难点在于如何将安全规划和蓝图变成一件得以落地实施和可跟踪的事情。这是很多安全人员尤其是企业安全负责人一直在尝试和思考的问题。通常思路和建议是把整个安全规划中的内容先列出来，把一个大安全目标分解成多个小安全目标，然后列出打算如何实现这些安全目标，哪些安全产品打算自研，哪些需要和第三方安全厂商合作，最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施，并定期跟进这些项目的进度，及时解决、改进整个过程中存在的问题，最终目标是建立一个相对完善的企业安全体系。

1、生产网络安全方面

1.1、基础架构安全（物理、网络、主机）

基础架构安全从网络层次上来划分，可以分为物理安全、网络安全和系统安全三个层面。这部分属于传统意义上的网络安全，是整个企业安全体系中最基础的部分。

1.1.1、建设分析

1.1.2、建设原则

1.1.2.1、等保原则

物理安全 **：**

（1）物理位置选择：机房场地应选择在具有防震、防风和防雨等能力的建筑内，机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

（2）物理访问控制：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

（3）防盗窃和防破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识，应将通信线缆铺设在隐蔽安全处，应设置机房防盗报警系统或设置有专人值守的视频监控系统。

（4）防雷击：应将各类机柜、设施和设备等通过接地系统安全接地，应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

（5）防火：机房应设置火灾自动消防系统, 能够自动检测火情、自动报警, 并自动灭火，机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

（6）防水和防潮：应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透，应采取措施防止机房内水蒸气结露和地下积水的转移与渗透，应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

（7）防静电：应采用防静电地板或地面并采用必要的接地防静电措施，应采取措施防上静电的产生，例如采用静电消除器、佩戴防静电手环等。

（8）湿温度控制：应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

（9）电力供应：应在机房供电线路上配置稳压器和过电压防护设备，应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求，应设置冗余或并行的电力电缆线路为计算机系统供电。

（10）电磁防护：电源线和通信线缆应隔离铺设，避免互相干扰，应对关键设备实施电磁屏蔽。

网络安全 **：**

（1）网络架构：应保证网络设备的业务处理能力满足业务高峰期需要，应保证网络各个部分的带宽满足业务高峰期需要，应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址，应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段，应保证网络各个部分的带宽满足业务高峰期需要。

（2）通信传输：应采用校验技术或密码技术保证通信过程中数据的完整性，应采用密码技术保证通信过程中数据的保密性。

（3）可信验证：可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

系统安全 **：**

（1）身份鉴别：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换，应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听，应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

（2）访问控制：应对登录的用户分配账户和权限，应重命名或删除默认账户，修改默认账户的默认口令，应及时删除或停用多余的、过期的账户，避免共享账户的存在，应授予管理用户所需的最小权限，实现管理用户的权限分离，应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则，访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级，应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

1.1.3、建设思路

1.1.4、需求分析

1.2、应用安全

应用安全绝对是互联网企业安全工作中的重点，也是企业投入资源最多的部分。分为 WEB 安全和移动安全两个方向，主要围绕 SDL 和应用层的攻防对抗展开。

1.2.1、需求分析

1.2.2、建议方案：

WEB 安全：

（1）安全审计：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，审计记录应包括事件的日期和时间，用户、事件类型，事件是否成功及其他与审计相关的信息，应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，应对审计进程进行保护，防止未经授权的中断。

（2）入侵防范：应提供数据有效性检验功能, 保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求，应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

（3）安全事件处置：应及时向安全管理部门报告所发现的安全弱点和可疑事件，应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等，应在安全事件报告和响应处理过程中分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。

（4）应急预案管理：应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资金保障、事后教育和培训等内容，应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容，应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练，应定期对原有的应急预要重新评估，修订完善。

移动安全：

（1）无线接入点的物理位置：应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。

（2）边界防护：应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

（3）访问控制：无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

（4）入侵防范：应能检测到非授权的无线接入设备和非授权的移动终端的接入行为，应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为，应能够检测到无线设备的 SSID 广播、WPS 等高风险功能的开启状态，应能够阻断非授权无线接入设备或非授权移动终端。

（5）移动终端管控：应保证移动终端安装、注册并运行终端管理客户端软件，移动终端应接受移动终端管理服务端的设备命周期管理、设备远程控制，如：远程锁定、远程擦除等。

（6）移动应用管控：应具有选择应用软件安装、运行的功能，应只允许指定证书签名的应用软件安装和运行，应具有软件白名单功能，应能根据白名单控制应用软件安装、运行。

（7）移动应用软件采购：应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名，应保证移动终端安装、运行的应用软件由指定的开发者开发。

（8）移动应用软件开发：应对移动业务应用软件开发者进行资格审查，应保证开发移动业务应用软件的签名证书合法性。

（9）配置管理：应建立合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的识别。

1.3、业务安全（风险）

业务安全（风控）专注于业务层面的安全对抗，是互联网企业安全中非常重要的组成部分，由于受业务特性影响，电商、互联网金融领域更加重视风控，这些企业中风控通常是一个独立的部门，而且汇报级别和权限都比较高。业务安全这块的市场前景广阔，现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来解决业务安全问题。

1.3.1、需求分析

1.3.2、建议方案

1.4、安全运营

1.4.1、需求分析

1.4.2、建议方案：

安全运营：

（1）环境管理：应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理，应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定，应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等。

（2）资产管理：应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容，根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施，应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理。

（3）介质管理：应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点，应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录。

（4）设备维护管理：应对各种设备 (包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理，应建立配套设施、软硬件维护方面的管理制度。对其维护进行有效管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等，信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密，含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用，应来取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补，应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

（5）网络和系统安全管理：应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限，应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户进行控制，应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令周期更新等方面做出规，应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等定，应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置、修改等内容，应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为，应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志, 操作结束后应同步更新配置信息库，应严格控制运维工具的使用，经过审批才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工中的敏感数据，应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道, 操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道，应保证所有与外部的连接均得到授权和批准，应定期的检查违反规定无线上网及其他违反网络安全策略的行为。

（6）恶意代码防范管理：应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等，应定期验证防范恶意代码攻击的技术措施的有效性。

（7）配置管理：应记录和保有基本配宣信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等，应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

（8）密码管理：应遵循密码相关的国家标准和行业标准，应使用国家密码管理主管部门认证核准的密码技术和产品。

（9）变更管理：应明确变更需求，变更前根据变更需求制定变更方案. 变更方案经过评审、审批后才可实施，应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程，应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

（10）备份与恢复管理：应识别需要定期备份的重要业务信息、系统表据及软件系统等，应规定备份信息的备份方式、备份频度、存储介质、保存期等，应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

（11）安全事件处置：应及时向安全管理部门报告所发现的安全弱点和可疑事件，应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等，应在安全事件报告和响应处理过程中分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。

（12）应急预案管理：应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资金保障、事后教育和培训等内容，应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容，应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练，应定期对原有的应急预要重新评估，修订完善。

（13）外包运维管理：应确保外包运维服务商的选择符合国家的有关规定，应与选定的外包运维服务商签订相关的协议，明确规定外包运维的范围、工作内容，应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确，应在与外包运维服务商签定的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对 1T 基础设施中断服务的应急保障要求等。

1.5、数据安全

1.5.1、需求分析

1.5.2、建议方案

数据安全：

（1）数据完整性：应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等，应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

（2）数据保密性：应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据、和重要个人信息等，应采用密码技术来保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要人信息等。

（3）数据备份和恢复：应提供重要数据的本地数据备份与恢复功能，应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。

（4）剩余信息保护：应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除，应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

（5）个人信息保护：应仅采集和保存业务必需的用户个人信息，应禁止未授权访问和非法使用用户个人信息。

2、办公网络

2.1、基础架构安全（物理、网络、主机）

办公网基础架构安全方面，重点要关注边界安全防护，尤其是 WIFI 和 VPN 这两个办公网入口的安全性。

2.1.1、需求分析

2.1.2、建议方案：

2.2、内部应用安全

办公网内部应用主要包括 OA、企业邮箱、财务、运维及其他内部业务系统。这类系统的主要特点是上线后更新频率低，很多是采购第三方厂商的，还有一些是开源系统。谨记一定不要将内部系统暴露到公网，很多严重的安全事件都是由于将内部业务系统暴露到公网导致的。此外，还要对重要的内部系统做好安全监测，及时发现异常行为。

2.2.1、需求分析

2.2.2、建议方案

WEB 应用安全：

移动安全：

（1）无线接入点的物理位置：应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。

（2）边界防护：应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

（3）访问控制：无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

（8）移动应用软件开发：应对移动业务应用软件开发者进行资格审查，应保证开发移动业务应用软件的签名证书合法性。

（9）配置管理：应建立合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的识别。

2.3、终端管理

这部分工作相对比较简单，主要是终端防病毒、补丁管理、终端安全管控和审计，很多安全厂商都有成熟的产品。对绝大多数互联网公司来讲，都不需要也没有必要自研终端安全产品，直接选型、对比、采购第三方安全厂商的产品就可以搞定。

2.3.1、需求分析

2.3.2、建议方案

终端安全：

（1）身份鉴别：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换，应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听。

（2）访问控制：应对登录的用户分配账户和权限，应重命名或删除默认账户，修改默认账户的默认口令，应及时删除或停用多余的、过期的账户，避免共享账户的存在。

（3）入侵防范：应遵循最小安装的原则仅安装需要的组件和应用程序，应关闭不需要的系统服务、默认共享和高危端口，应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

（4）恶意代码防范：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

（5）可信验证：可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

2.4、安全管理

人是整体企业安全体系最薄弱的部分，这一点正被越来越多的企业和安全人员所认识和接受。安全管理侧重于企业人员安全意识的培养和提升，核心价值在于把安全建设成为一种企业文化。

2.4.1、需求分析

2.4.2、建议方案

（1）安全策略：应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

（2）管理制度：应对安全管理活动中的各类管内容中建立安全管理制度，应对管理人员或操作人员执行的日常管理操作建立操作规程，应形成由安全策略、管理制度、操作规程，记录表单等构成的全面的安全管理制度体系。

（3）制定和发布：应指定或授权专门的部门或人员负责安全管理制度的制定，安全管理制度应通过正式、有效的方式发布，并进行版本控制。

（4）评审和修订：应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

3、安全合规

1、等级保护

2、ISO27001

3、ADSS

4、PCI DSS（支付牌照）

5、SOX

4、供应链安全

这部分是之前被很多企业忽视的地方，在和企业合作的第三方合作伙伴中，安全水平也不尽相同，而且这部分通常是不可控的。所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性，避免因第三方合作机构出现安全问题而影响公司业务。

4.1.1、需求分析

4.1.2、建议方案

1、上下游合作伙伴安全

2、第三方采购产品安全

3、外包产品开发与人员安全

企业安全建设整体思路

原则：目标导向，对结果和效果负责。

挖掘安全需求

对象：公司高层、兄弟部门、业务部门、安全团队

要点：

1、知晓面临安全威胁、风险、挑战和现有安全能力。

2、理解公司期望与诉求.

明确安全目标

要点：

1、合理、清晰、量化、可衡量。

2、区分长、中、短期目标。

3、对于目标理解和需求要投入资源达成一致。

安全规划、体系建设

要点：

1、方向和思路对。

2、区分紧急度和优先级分阶段建设。

3、高层支持、合理投入、动态调整、定期 review。

安全运营

要点：

1、持续、指标化、量化可视化。

2、总结经验、发现不足、定期汇报。

持续优化和完善

要点：

1、客观评价、务实、可落地、挎续迭代、形成闭环。

核心安全能力建设与提升

安全风险主动发现与处置能力

主流安全风险（数据、业务、漏洞）主动发现、修复方案提供及修复推动能力

安全态势感知和响应能力

具备主流网络攻击、明显异常行为的主动发现和快速应急响应能力

安全自动化, 工程化能力

自动化安全工具、系统及平台的设计和研发能力

安全体系建设、运营能力

具备体系化安全建设思维、视野和格局和持续安全运营能力

持续的安全研究, 学习能力

应对新攻击、威胁、漏洞的能力
https://www.yuque.com/lnadmin/qs3tf4/krra1p