一个人的安全部之企业信息安全建设规划.docxVIP

一个人的安全部之企业信息安全建设规划

一前言

先简单自我介绍一下，其实，我是一个安全工程师。也是一个人的“安全部”，现在某创业型企业。

近期给某企业做了一份信息安全建设规划方案，但已经用不上了，因此突然想如果就这样了了，还不如拿出来分享。

目录架构

二设计思路

信息安全规划，根据一些驱动因素进行思考，设计思路：

注：安全规划思路，主要是用于安全建设的一个指导思想，在实际安全建设工作中，初级阶段也可能包括安全深度感知、自主可控的建设的内容。

信息安全是由多方面组成，主要工作需要防范威胁发生的可能，以及采取风险降低措施，因此安全工作开展涉及多方面的内容：

三阶段规划实施

在规划实施前，会先进行安全现状了解，主要是通过对主机、应用系统、数据、终端、网络进行访谈和抽查，发现一些大致和企业共性的问题。

主要是从资产信息收集，然后分析主机、应用、网络、数据、终端方面存在的一些安全问题，由于此次企业的生产服务器均在云上，因此也就未考虑物理机房的安全。

通过前期的现状分析，安全建设采用分期建设，主要是根据工作开展的紧迫性和易操作性进行分期规划。

3.1???一期建设主要任务

信息安全建设一期中进行安全技术检查以及行业安全预警跟踪，尽量及时发现安全脆弱性并加固指导，为后期安全建设提供指导依据。

工作开展计划先防范风险属性由外向内，影响严重程度由高向低进行时间安排。?

3.2???二期建设主要任务

在信息安全建设一期的基础上开展二期建设计划，主要针对内网安全、加强人员信息安全意识、建立安全预警和安全管理体系初级文件等工作。

3.3三期建设主要任务

在信息安全建设一期、二期的基础上开展三期建设计划，主要加强WEB安全问题早期发现、系统上线变更、数据防泄露等安全能力，全面提升安全体系管理与审计能力。

3.4四期建设主要任务

在信息安全建设一期、二期和三期的基础上开展四期建设计划，主要加强安全体系管理、审计和考核管理，更加有效的帮助软件企业降低安全问题，提升对安全问题进行集中发现、管控及处理能力，实现安全主动防御以及增强追踪能力。

四规划内容

4.1建设攻防实验平台

在企业内部建设一个专业的、私有的网络攻防实验平台，来满足专业网络安全实践、安全防护能力和安全意识提升、跟踪必威体育精装版网络安全技术和提升企业级专业影响力等具体需要。实验平台可承担网络安全相关的技能实训实习、综合实训以及网络安全检测。

攻防实验平台主要能模拟以下的环境进行各种不同类型的攻防实验。

为更接近一般网络的真实环境，与投入因素，后续将陆续增加的攻防实验平台套件，包括安全防护软件、中间件、数据库等。

攻防实验平台可能用到的部分工具：

4.2?安全评估与加固

4.2.1?主机安全评估与加固

主机安全检查：

主机安全加固：

对上述范围内的主机操作系统、数据库系统和中间件等进行安全加固指导，解答各管理员在加固过程中所遇的疑难问题。

根据前期安全检查的结果，提交针对主机的安全加固方案，与相关部门讨论并认可后协助各部门进行安全加固实施。

4.2.2?应用安全评估与加固

应用安全检查：

应用安全加固：

根据前期应用安全检查的结果，提交针对应用的安全加固方案，与各部门讨论并认可后由协助各部门进行安全加固实施。

4.2.3?网络安全评估与加固

网络安全检查：

网络设备安全加固：

根据前期网络设备安全检查的结果，提交针对网络设备的安全加固方案，与各部门讨论并认可后由协助各部门进行安全加固实施。

4.3???渗透测试

4.3.1?渗透测试类别

???根据测试者在测试前掌握被测对象的信息多少可分为：

·?黑盒测试：渗透测试操作人员完全处于对系统一无所知的状态，通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器，主要是模拟来自互联网的攻击者。

·?白盒测试：测试者可以通过正常渠道向被测者要求，取得各种包括网络拓扑、员工资料甚至网站或其他程序的代码片断等资料，这类测试的目的是模拟组织内部雇员的越权操作。

·?灰盒测试：对测试目标有一定的了解，主要是模拟离职的员工或合作伙伴，他们对组织的结构比较了解，但不在公司内部，没有访问权限。

???根据渗透者所处的位置可以分为：

·?内网测试：渗透测试人员由内部网络发起测试，这类测试能够模拟组织内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。

·?外网测试：渗透测试人员完全处于外部网络（例如拨号、ADSL或外部光纤），模拟从组织外部发起的攻击行为，模拟可能来自于对组织内部信息一无所知的攻击者，或者对组织内部信息一清二楚的攻击者。

???根据渗透内容深度和广度可以分为：

·普通渗透测试：仅对特定业务系统的WEB站点进行模拟黑客攻击，使用黑客工具、测试工具、特制shell工具，自动化、手工测试单个WEB站点的安全隐