互联网企业安全建设实践互联网企业安全建设整体思路原则:目标导向,对结果和效果负责。挖掘安全需求对象:公司高层、兄弟部门、业务部门、安全团队要点:1、知晓面临安全威胁、风险、挑战和现有安全能力。2、理解公司期望与诉求。要点:1、合理、清晰、量化、可衡量。2、区分长、中、短期目标。3、对于目标理解和需求要投入资源达成一致。要点:1、方向和思路对。2、区分紧急度和优先级,分阶段建设。3、高层支持、合理投入、动态调整、定期review要点:1、持续、指标化、量化、可视化。2、总结经验、发现不足、定期汇报要点:1、客观评价、务实、可落地、持续迭代、形成闭环。挖掘安全需求持续优化和完善安全规划、体系建设安全运营明确安全目标明确安全目标安全规划、体系建设安全运营持续优化和完善核心业务核心数据核心资产互联网企业面临安全挑战分析风险来源1、外部攻击者2、内鬼3、供应链4、安全合规风险动机/原因分析可能攻击方式/手段后果/影响分析1、窃取敏感数据2、打击报复3、获取目标系统权限4、恶意勒索5、利益驱使6、被当作攻击跳板1、利用系统漏洞2、恶意扫描、探测3、恶意爬取4、DDOS、CC攻击5、定向渗透攻击6、APT7、勒索攻击8、利用合法权限非法获取数据1、批量敏感数据泄露2、业务中断、稳定性、可用性受影响3、PR事件,公司声誉、品牌受损、公信力下降4、用户流失、经济损失、市值下降、IPO受影响5、不合规被监管机构处罚6、无法正常开展业务、与外部合作受阻互联网企业核心安全目标数据安全业务安全基础安全人员安全安全合规•可以主动识别数据在全生命周期内和流动过程中的数据安全风险和评估出合理风险等级,并将风险控制在可接受范围内•具备对数据泄露事件的应急响应和溯源调查能力•可以主动发现潜在业务安全风险,提供解决方案和将风险控制在可接受范围内•有能力支撑和应对业务正常发展和运营过程中以及业务场景变化可能带来新的业务安全风险•具备主动发现主流安全漏洞和提供修复方案以及推动漏洞修复的能力•具备对主流网络攻击和明显异常行为的主动感知和防御能力•具备对安全事件应急响应和攻击溯源能力•让员工理解自身在公司信息安全方面的职责和义务•让员工具备安全意识思维和识别日常工作和生活中的常规攻击手段的能力•满足安全监管、法律要求,有效支持公司业务开展、运营和外部合作•在满足安全合规的基础上,构建符合公司自身特性的安全合规体系互联网企业核心安全能力建设与提升安全风险主动发现与处置能力主流安全风险(数据、业务、漏洞)主动发现、修复方案提供及修复推动能力安全态势感知和响应能力具备主流网络攻击、明显异常行为的主动发现和快速应急响应能力安全自动化、工程化能力自动化安全工具、系统及平台的设计和研发能力安全体系建设、运营能力具备体系化安全建设思维、视野和格局和持续安全运营能力持续的安全研究、学习能力应对新攻击、威胁、漏洞的能力五大核心安全能力安全风险主动发现与处置能力安全态势感知和响应能力安全自动化、工程能力安全体系建设、运营能力持续的安全研究、学习能力互联网企业整体安全视角数据安全数据安全治理数据安全技术数据安全运营业务安全账号安全接口防刷与反爬内容安全反作弊、反欺诈等基础安全生产网络:物理、网络、主机、应用安全办公网络:物理、网络、内部应用、终端安全安全管理安全流程、规范与制度人员安全意识、文化建设安全运营SRC平台安全监控、响应外部安全合作、交流安全合规等级保护ISO27001其他供应链安全上下游合作伙伴安全第三方采购产品安全外包产品开发与人员安全互联网企业基础安全体系建设框架应用安全(WEB+APP)SDL(WEB+APP)安全SDK、API安全架构设计WAFRASPAPP安全加固盗版、钓鱼APP监测APP破解监控主机安全自用堡垒机第三方堡垒机数据库安全审计HIDS网络安全安全域划分全站HTTPSNACL失效监控与告警流量劫持监控安全全流量镜像NDIS端口扫描(高危+全量)DDOS攻击检测与缓解身份认证与授权管理SSO+双因素认证合理划分权限+审批重要操作记录日志+行为审计离职自动删除账号岗位异动权限重新划分+审批终端安全防病毒+补丁管理HDLPEDR接入域控内部应用安全SDL(WEB+A...
