企業(yè)信息安全體系建設實踐

1、企業(yè)信息安全體系建設實踐一場全員參與的戰(zhàn)斗企業(yè)信息安全攻防戰(zhàn)爭信息安全意識全面普及信息安全責任落實到人攻防制勝之道全員參與企業(yè)信息安全攻防對抗的戰(zhàn)爭80%敵方力量20%我方力量攻擊武器病毒、蠕蟲、木馬、后門、DDoS、爆破、撞庫、社會工程。攻擊組織國家組織ATP/黑客團伙競爭對手小黑/小白內(nèi)部惡意人員攻擊時間7X24X60X60（工具+人）攻擊范圍任何存在漏洞/弱點的攻擊點防御系統(tǒng)防火墻、防病毒、NIPS、HIDS、NTA、EDR、DAM、DDM、加解密、SOC、SOAR、AI防御人員通常1-10人團隊規(guī)模防御時間7*16 （人）7*24（系統(tǒng)）防御范圍網(wǎng)絡、主機、應用、數(shù)據(jù)、終端、賬號、人。

2、需要面面俱到一次攻防對抗中的血和淚攻擊路徑1：突破應用系統(tǒng)進入內(nèi)網(wǎng)，控制云管理平臺，獲取目標系統(tǒng)控制權。攻擊路徑2：突破網(wǎng)絡接入設備進入內(nèi)網(wǎng)，控制域控服務器、堡壘機，獲取目標系統(tǒng)控制權。GitHub/Lab WIKIEmail攻防對抗的決定因素人偽裝用戶或員工：偽裝成一個看門人、雇員或者客戶來獲取物理 訪問權限。冒充重要用戶：偽裝成貴賓、高層經(jīng)理或者其他有權使用或進入 計算機系統(tǒng)并察看文件的人。冒充第三方 ：偽裝成擁有權限的第三方服務人員。假裝尋求幫助 ：向幫助臺和技術人員尋求幫助并套取想要的信息。偷窺：通過偷窺獲取登錄密碼。垃圾箱搜索：尋找在垃圾箱中記錄密碼的紙、電腦打印的文件、 快遞信息等

3、。網(wǎng)絡釣魚：網(wǎng)站、郵件、電話釣魚獲取登錄賬號密碼等。誘騙點擊或安裝：通過具有誘惑力的內(nèi)容引誘用戶去點擊或安裝木馬。在信息安全攻防對抗中，即使你通過狩獵及時發(fā)現(xiàn)并切斷了攻擊鏈，但一個人為的疏忽可能導致全盤皆輸。毛主席早就說過：“武器是戰(zhàn)爭的重要因素，但不是決定因素，決定的因素是人不是物。”社會工程學屢試不爽的戰(zhàn)術安全意識提升全員普及了解信息安全正面影響其他同事掌握基本安全技能養(yǎng)成良好 行為習慣對錯誤行為有觸動從行為改變到文化改變管理層IT人 員業(yè)務 人員普通員工合作伙伴外包 人員信息安全意識宣傳郵件信息安全月刊信息安全培訓課程信息安全宣傳視頻安全意識提升持續(xù)多維度反復灌輸安全意識提升效果檢驗安全

4、責任驅動因素國家法律法規(guī)網(wǎng)絡安全法網(wǎng)絡等級保護要求 個人信息保護。個人 切身利益網(wǎng)絡欺詐 財務損失職業(yè)發(fā)展績效評價企業(yè)管理需求客戶丟失 業(yè)績下降 聲譽影響安全合規(guī)安全事件安全漏洞策略執(zhí)行安全責任落實到人安全責任評價機制驅動因素評價指標工作機制安全指標監(jiān)控安全事件安全漏洞安全合規(guī)策略執(zhí)行安全事件數(shù)量及嚴重程度安全事件線索提交數(shù)量及 質(zhì)量新上線系統(tǒng)嚴重漏洞數(shù)量生產(chǎn)系統(tǒng)嚴重漏洞數(shù)量漏洞修復率及按時修復 率漏洞提交數(shù)量及質(zhì)量安全和合規(guī)率違規(guī)操作事件數(shù)量內(nèi)部違規(guī)線索提交數(shù)量 及質(zhì)量安全策略執(zhí)行率安全任務完成率安全培訓完成率月度安全指標排名TOP 10Bottom 5季度/年度評價按業(yè)務線/項目集/項目按分子機構/學校按人員安全事件指標安全漏洞指標安全合規(guī)指標策略執(zhí)行指標安全目標業(yè)務安全數(shù)據(jù)安全風險可控安全運營讓每個人都看到風險檢索查詢資產(chǎn)Tier2 安全專家SOAR安全編排自動化響應調(diào)查分析安全防護系統(tǒng)安全運營中心SOC數(shù)據(jù) 日志風險/指標實時監(jiān)控漏洞管理安全事件響應威脅情報安全掌握安全態(tài)勢人工/自動化提交實時告警管理層審計部門業(yè)務部門SRC工單系統(tǒng)公有云審核升級處理互聯(lián)網(wǎng)攻擊復測處置Tier1安全應急響應人員通知/處置數(shù)據(jù)中心/私有云協(xié)調(diào)處理產(chǎn)品人員 開發(fā)人員 運維人員內(nèi)網(wǎng)選擇安全服務攻擊SaaS內(nèi)網(wǎng)攻擊服務狀態(tài)/指標監(jiān)控安全服務自動響應自動化指令網(wǎng)絡IP封堵 域名請求封堵 應用訪