在互聯(lián)網(wǎng)行業(yè)掙扎了幾年，碰見了許多行業(yè)的客戶，但發(fā)現(xiàn)其實(shí)很多人都會(huì)購買網(wǎng)絡(luò)安全設(shè)備，WAF之類，但其實(shí)他們對(duì)這些設(shè)備起到的作用并不了解，仿佛只是因?yàn)閯e人買了這些，于是自己也要買上一套。

創(chuàng)新互聯(lián)專注于企業(yè)營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站重做改版、江永網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為江永等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

經(jīng)常聽到老大調(diào)侃，之前遇到了一個(gè)客戶是賣菜的，但是網(wǎng)安要求他需要做等保，于是賣菜的懵圈了，聽到這個(gè)事情的人也懵圈了，一個(gè)賣菜的需要做啥等保？
其實(shí)如果這個(gè)賣菜的業(yè)務(wù)只是做線下的業(yè)務(wù)，那么信息安全等級(jí)保護(hù)工作肯定和他挨不上邊，但是這位商家已經(jīng)把業(yè)務(wù)擴(kuò)展到了線上，到了線上就涉及到了用戶基礎(chǔ)信息、支付等隱私安全問題，這些安全問題小到會(huì)對(duì)店家信息安全造成威脅，大到會(huì)對(duì)社會(huì)公共安全造成威脅。所以網(wǎng)安部才會(huì)要求開展等保工作。

這樣一看，連個(gè)賣菜的小販用上互聯(lián)網(wǎng)后都需要做好安全工作，更不用說企業(yè)了。那要如何做好企業(yè)安全呢？我們要找尋方法和套路，有效的針對(duì)問題，解決問題。

一、確定目標(biāo)：
實(shí)現(xiàn)業(yè)務(wù)的安全可視、可控和可管，并最大化保證業(yè)務(wù)的效率。

二、發(fā)現(xiàn)問題
每個(gè)企業(yè)在安全問題上都會(huì)存在合規(guī)問題、源自企業(yè)內(nèi)外部的威脅和業(yè)務(wù)系統(tǒng)本身的脆弱性，這些問題都是需要我們?nèi)ブ匾暤摹?br>合規(guī)問題：對(duì)與企業(yè)業(yè)務(wù)的相關(guān)合規(guī)和法律不了解或者了解不全面；
技術(shù)層面：源自于虛擬設(shè)備、物理設(shè)備的安全問題；
管理層面：企業(yè)員工對(duì)于網(wǎng)絡(luò)安全意識(shí)的缺乏，企業(yè)對(duì)于安全相關(guān)的標(biāo)準(zhǔn)化的管理制度、流程規(guī)范等的缺乏。

三、規(guī)劃方案：
1、合規(guī)監(jiān)管
國(guó)家法律、法規(guī)，行業(yè)監(jiān)管要求、規(guī)范，國(guó)際法律、法規(guī)、規(guī)范；
2、技術(shù)
資產(chǎn)安全：主機(jī)安全、Web安全、Doker安全、網(wǎng)絡(luò)設(shè)備安全、安全設(shè)備安全、終端安全、數(shù)據(jù)庫安全、應(yīng)用安全、物理安全
數(shù)據(jù)安全：數(shù)據(jù)產(chǎn)生和采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問和應(yīng)用、數(shù)據(jù)傳輸、數(shù)據(jù)備份、數(shù)據(jù)銷毀
第三方檢測(cè)：威脅情報(bào)、***測(cè)試、風(fēng)險(xiǎn)評(píng)估、監(jiān)管檢測(cè)、安全認(rèn)證（iOS27001、等保等）

安全建設(shè)規(guī)劃

階段一：安全建設(shè)初期
外部威脅防御需要高于內(nèi)部威脅防御（這是當(dāng)然的），首先應(yīng)對(duì)外部安全威脅，給網(wǎng)站部署WAF進(jìn)行防御，如果是非運(yùn)營(yíng)性網(wǎng)，可以部署軟WAF，如常見的ShareWAF、ModSecurity等。


階段二：安全建設(shè)中期
對(duì)外部威脅防御進(jìn)行補(bǔ)充完善，重點(diǎn)對(duì)內(nèi)部安全和數(shù)據(jù)安全進(jìn)行防御，主要是防內(nèi)鬼。


第三階段：安全運(yùn)營(yíng)期，重在維護(hù)，安全意識(shí)不可松懈。網(wǎng)絡(luò)安全從來都是防患于未然的事。


總結(jié)：
企業(yè)的安全建設(shè)工作可以根據(jù)本身的業(yè)務(wù)需求對(duì)流程進(jìn)行靈活調(diào)整，安全問題不是一次性能解決的問題，需要將良好的安全意識(shí)貫徹到每一天的工作中。安全問題做到最后會(huì)發(fā)現(xiàn)還是歸根于是人的問題，安全意識(shí)的提升才是提升公司整體安全水平的最佳手段。