近期,国家计算机病毒应急处理中心发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现了西北工业大学于2022年6月遭遇的网络攻击行为,黑客使用了分布在境外的跳板机和代理服务机,向西工大师生发布钓鱼邮件,引诱师生点击,从而入侵其内部系统。
8月上旬,网络上传闻美的集团已经遭遇勒索攻击,工厂多处电脑中了勒索病毒,导致内网系统连不上,所有文件都无法打开。对于被勒索,美的方面对此进行了否认,事实真相,笔者不得而知。
十一前后,有几家知名企业因为安全事件找到新钛云服,有中勒索病毒、有发生了数据泄露,需要协助进行安全应急处置。
最近这些年,网络安全事件频发,已经逐渐成为常态了,知名企业往往是黑客关注的重点,如果自身的网络安全在技术、管理、运营三个层面,任何一个地方存在薄弱点,一旦被不良组织盯上,基本上都难道厄运,对企业造成重大损失。
除了安全事件频发之外,安全监管层面也是越来越严格了,这几年我们国家陆陆续续出台了一系列和网络安全相关的法律法规、和标准规范。
·2017年6月1日《网络安全法》开始实施,今年9月14日,国家互联网信息办公室发布了《关于修改中华人民共和国网络安全法的决定(征求意见稿)》·2019年12月1日等级保护2.0开始实施·去年下半年《数据安全法》、《个人信息保护法》实施,《网络数据安全管理条例(征求意见稿)》的发布·今年的《网络安全审查办法》、和《数据出境安全评估办法》实施
发生网络安全事件,对企业来说,除了可能会造成经济损失之外,还存在相关法律合规方面的风险。
网络安全已经成为企业管理者、特别是企业IT负责人越来越头疼的问题了,对于网络安全建设,很多企业不知道从何处着手,有的企业在安全建设上虽然投入了很多钱,但是效果却不明显,经常发生安全事件,感觉防不胜防。
那么,网络安全建设,到底如何做?如何做才能以最小的投入产生最大的价值?
二、安全建设,必须统一规划,咨询先行
网络安全建设,通常的做法是先进行系统性的、整体的网络安全体系规划设计,之后按照规划设计的路线图分步进行实施,对于网络安全,建设一定要坚持技术与管理并重、并秉承持续运营的安全理念。
参考ISO27001、等级保护2.0三级要求、并结合业界最佳安全实践,网络安全体系建设框架一般包括:安全管理体系、安全组织体系、安全技术体系、和安全运营体系四个方面,具体内容。
很多企业,在网络建设初期,由于没有做好系统性的整体的安全规划设计,导致后期安全建设比较混乱,头痛医头,脚痛医脚,最后发现,买了一堆安全产品,钱花了不少,却还是安全问题频出。
对于这种境况的企业,业界的最佳实践是先做安全咨询,通过咨询,先客观了解当前安全现状,找出安全薄弱点,并根据咨询结果下一步有针对性的进行系统性的安全规划设计,简单来说,咨询工作是安全规划成功的基础和前提。
三、安全咨询应该如何做,如何选择适合自己的安全咨询服务商?
目前,国内市场上做安全咨询的公司主要有三类:
传统安全设备厂家:
安全咨询是副业,咨询侧重产品层面,后期规划实施时一般会推销自己的安全产品,咨询结果的中立性不足。
咨询公司:
知名度高,咨询费用较高,安全咨询主要侧重管理层面,经常发生规划方案技术上难以落地的情况。
中立安全服务商:
安全实战经验丰富,熟悉常见安全产品,咨询结果相对中立,咨询方案能够落地。
对于传统企业来说,选择中立安全服务商做安全咨询,然后分阶段分步骤进行安全建设是比较稳健的方案。
新钛云服就是中立安全服务商,新钛云服的安全咨询的方法和过程如下:
1、安全咨询工作的思路和价值
安全咨询,主要通过技术、管理两方面来进行实施。技术方面采用的方式:现有安全措施沟通、配置核查、渗透测试、漏洞扫描等;管理方面采用的方式:用户访谈、文档分析、记录调阅等。
安全咨询的主要价值:
评估安全管理制度的完备性、适用性
评估安全操作的规范性、遵从性
评估安全措施的合理性、有效性
发现企业安全防御工作的短板
为安全加固和安全规划提供依据
2、安全咨询工作的重点
安全运维的制度流程、运维操作的安全管控、特权账号和权限的管理
数据备份的制度流程、数据备份的日常操作、备份数据的验证和保护
应用系统的安全管控
数据全生命周期安全管控
3、安全咨询依据的主要标准规范
《GB/T22080-2016信息安全技术信息安全管理体系要求》
《GB/T22239-2019信息安全技术网络安全等级保护基本要求》
《GB/T20984-2007信息安全技术信息安全风险评估规范》
ISO/IEC27001/27002/27005
《GB/T37988-2019信息安全技术数据安全能力成熟度模型》
《GB/T31509-2015信息安全技术信息安全风险评估实施指南》
《GB/T35273-2020信息安全技术个人信息安全规范》
4、安全咨询一般流程
5、安全咨询输出物
安全咨询的输出物一般包括:《项目启动说明》,《安全现状调研及相关风险分析报告》,《风险处置建议》,《安全规划方案》等。