B2B创业型企业的安全运营建设之路
|
这个就不一一介绍了,需要强调的一点是,除了运维人员其他人员就不要接触服务器,如果有特殊情况,特殊处理.还有,管理员权限一定要回收,这个是做好系统安全基础.
物理安全,看看上述这张图,我们有很多分公司,但是我们分公司没有专门配备IT人员.左图是曾经的场景,现在我们实现了右图.这样也便于对一些网络故障的分析和定位. 2.3.2 应用安全接下来介绍基础安全中的第二块内容,应用安全. 应用是与用户直接交互的,做应用安全不是盲目的,我们需要先了解业务.我们当前的核心业务是什么?保护的对象是什么?了解这些我们才能更明确的去分析业务面临的危险有哪些,再来制定保护策略. 应用安全,我们从三方面去做,应用上线前的安全评估,应用完成后风险测试,应用日志的审计. 安全评估是我目前正在做的事情.我们核心的对外的应用,在 PRD 评审阶段,与产品和研发一起做安全评估,帮助他们在开发的阶段规避一些常见的安全问题. 应用安全风险,这里给大家推荐一个 STRIDE 模型.它对用户身份的仿冒、篡改,数据泄露完整性方面的安全都是有一个很好的解释.这个大家可以在百度上查阅. 最后一个就是日志和审计,根据日志就可以定位有哪些用户访问了我们的应用,他们做了什么事情,可以分析一些风险场景. 2.3.3 运维安全再介绍一下运维的安全,上述图中描述的是我们目前正在做的.前面也说过,我们初期有一个很混乱的场面,因此我们要做标准化,自动化,信息化,每一家企业要做好运维安全,首先要做好这三点,才能做好后面的管控方面的工作. 自动化这方面,自动化是相当必须的,因为公司不会在同一个岗位配备多个人员,我们都知道运维人员加班加点特别多,做自动化也是必不可少的,可以减轻人工的工作,提高工作效率,像运维操作的流程很多,比如有很多人要申请权限之类,如果每一样都需要人工操作,那么运维人员就不用干别的事了,这充分说明了自动化的必要性,自动化的另一方面体系在监控上,做好更全面更广的监控,可以帮助我们快速发现并定位网络故障. 统一受权,这个是比较关键的,我们使用的是4A的产品,这个产品目前使用下来还是挺不错的. 2.3.4 内网安全
最后一个就是内网安全,对于我们来说是很重要的.所有公司内网安全都是也是必不可少的. 内网安全涉及的点比较多,首先是桌面的安全,从以下几点介绍,进程的控制,补丁管理,内容过滤,资产管理,文件共享,还有软件安装审计等等. (编辑:青岛站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
