在不花钱或少花钱的情况下，如何提升 企业/单位的安全性？ v1.3（分享版） 版本 v1.3（分享版） 更新日期 2021.11.24 作者 Rick Kang 联系方式 （略） 修订记录 v1.0：2021.8.07，初版； v1.1：2021.8.14，补充了一些网友的意见； v1.2：2021.11.24，补充了一些新的内容； v1.3：2021.11.24，补充了网络优化设计； m o c . 5 目录： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 概述........................................................................................................................................... 1 IT 资产梳理............................................................................................................................... 2 权限与密码管理....................................................................................................................... 2 网络优化设计........................................................................................................................... 3 安全策略................................................................................................................................... 3 组织与人员............................................................................................................................... 3 制度与流程............................................................................................................................... 3 应急响应................................................................................................................................... 4 系统巡检与安全审计 ............................................................................................................... 4 补丁管理............................................................................................................................... 4 备份管理............................................................................................................................... 4 安全运营............................................................................................................................... 4 第三方信息与服务 ............................................................................................................... 4 安全知识学习....................................................................................................................... 5 b u h t i g 1 概述 三分技术，七分管理，通过优化管理，强化管理，是企业增强安全性，实现降本增效的 常见做法。 人是安全的最大短板，在不增加任何安全系统/产品的情况下，如何提高企业/单位的整 体安全性？这是企业安全建设、安全运营值得思考的问题。 1 企业安全建设的初级阶段，往往缺乏安全人才，缺乏安全理念、安全思想，及安全技术 体系，管理体系，一切都是摸着石头过河，走一步看一步，企业/单位高层领导不愿意多花 钱，或怕花冤枉钱。所以在企业/单位安全建设思想还不成熟的情况下，可以提供一些免费 的安全建设思路，不花钱，或少花钱，先看实效，再谈美好的未来。 安全建设初级阶段，“拼的是脑子，不动手，或先动脑子，后动手，花不了几个钱的”， 这就是思想的价值。 说明：该文吸收了部分网友的观点。 m o c . 5 2 IT 资产梳理 IT 资产全面梳理，发现重要资产，影子资产，确定资产的价值和脆弱性，可能的外部威 胁手段，和相关风险（业务影响分析），及主要防范方式和改进手段； b u 安全方面的业务影响分析（BIA）工作：确定关键 IT 资产，评估安全风险和漏洞；根据 风险漏洞，提出改进措施；改进措施可以是技术方面的，管理方面的，制度性的； h t i g 除了确定关键 IT 资产之外，建议绘制一张单位网络空间资产底图。以其它客户护网经 验来看，大多数破防不是源于关键资产的风险漏洞，而是由于非关键资产或带病上岗资产不 清晰导致； 3 权限与密码管理 缩小人员的系统访问权限和范围，提升密码强度，强化密码管控； 系统最小权限原则，凡是超出具体人员工作需要的帐号权限一律不赋予； 除超级管理员帐号外，禁止或限制人员共用普通帐号； 禁止在不同系统上重复使用同一帐号密码； 2 4 网络优化设计 在现有网络/安全产品的基础上，可以优化网络设计，比如进行网络/安全的分区/分域设 计； 网络分区可以使用二、三层子网（VLAN，IP 子网）划分的方式，隔离不同业务区，实现 网络分区间的访问控制，比如使用 ACL，限制网络分区间的访问权限，提升网络的安全性； 同时也会缩小网络的广播域，提升网络性能； 安全分域是针对边界网关，内网网关设备而言的，目的是设计不同等级的安全域，通过 m o c . 5 安全网关实现域间的访问控制，利用安全网关的各种功能，配置相应的各种安全策略，提升 网络的安全性； 5 安全策略 b u 制定企业/单位的整体安全策略，在设备/产品上配置必要的安全策略，减少系统暴露面， h t i g 比如对内对外封禁不必要的端口和 IP； 6 组织与人员 调整组织架构，安排专人负责安全工作，明确其职责内容和考核标准； 安排副总级别人员专职负责单位安全建设与管理，向企业/单位最高领导负责，并定期 汇报； 7 制度与流程 梳理和改进安全管理制度和流程，强化人员安全意识教育，落实安全管理制度和流程； 定期组织安全知识培训+考核； 制定员工安全操作规范； 3 安全责任与绩效挂钩，明确奖惩制度，宣传普及到全员；尤其是让人知道违反信息安全 规定后的严重后果，并且与人力资源挂钩，与薪资晋升等方面直接连动； 8 应急响应 建立安全应急响应与演练机制，制定应急响应流程，安排应急演练； 9 系统巡检与安全审计 m o c . 5 安排日常巡检内容和巡检工作，开启设备/产品的安全审计功能，安排专人负责日常检 查，检查内容包括安全日志和系统异常行为，及时发现安全事件； 10 补丁管理 b u 在允许打补丁的环境下，条件下，及时打补丁，降低系统的脆弱性； h t i g 11 备份管理 制定完整的数据备份计划，针对结构化和非结构化数据等各类重要数据进行定期备份； 并适当采取数据恢复演练和测试； 12 安全运营 初步建立安全运营意识：识别风险，实时监控，安全防护，应急响应等； 13 第三方信息与服务 获得第三方信息与服务，与安全厂商，安全服务商沟通，包括与同行、安全组织、政府 机构保持沟通，及时获取和交流安全信息。可根据需要和预算，采购相关服务，或在发生安 4 全事件后，及时获得第三方支持和帮助。 14 安全知识学习 全员学习安全知识，比如安全建设、运维、运营知识；安全技术体系、管理体系、运营 体系的知识； 学习可以有多种方式，比如参加培训，自学，交流，国际国内的安全标准落实实践等； b u m o c . 5 h t i g 5