- 1、本文档共56页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
一个人的安全部之企业信息安全建设规划
一前言
先简单自我介绍一下,其实,我是一个安全工程师。也是一个人的“安全部”,现在某创业型企业。
近期给某企业做了一份信息安全建设规划方案,但已经用不上了,因此突然想如果就这样了了,还不如拿出来分享。
目录架构
二设计思路
信息安全规划,根据一些驱动因素进行思考,设计思路:
注:安全规划思路,主要是用于安全建设的一个指导思想,在实际安全建设工作中,初级阶段也可能包括安全深度感知、自主可控的建设的内容。
信息安全是由多方面组成,主要工作需要防范威胁发生的可能,以及采取风险降低措施,因此安全工作开展涉及多方面的内容:
三阶段规划实施
在规划实施前,会先进行安全现状了解,主要是通过对主机、应用系统、数据、终端、网络进行访谈和抽查,发现一些大致和企业共性的问题。
主要是从资产信息收集,然后分析主机、应用、网络、数据、终端方面存在的一些安全问题,由于此次企业的生产服务器均在云上,因此也就未考虑物理机房的安全。
通过前期的现状分析,安全建设采用分期建设,主要是根据工作开展的紧迫性和易操作性进行分期规划。
3.1???一期建设主要任务
信息安全建设一期中进行安全技术检查以及行业安全预警跟踪,尽量及时发现安全脆弱性并加固指导,为后期安全建设提供指导依据。
工作开展计划先防范风险属性由外向内,影响严重程度由高向低进行时间安排。?
3.2???二期建设主要任务
在信息安全建设一期的基础上开展二期建设计划,主要针对内网安全、加强人员信息安全意识、建立安全预警和安全管理体系初级文件等工作。
3.3三期建设主要任务
在信息安全建设一期、二期的基础上开展三期建设计划,主要加强WEB安全问题早期发现、系统上线变更、数据防泄露等安全能力,全面提升安全体系管理与审计能力。
3.4四期建设主要任务
在信息安全建设一期、二期和三期的基础上开展四期建设计划,主要加强安全体系管理、审计和考核管理,更加有效的帮助软件企业降低安全问题,提升对安全问题进行集中发现、管控及处理能力,实现安全主动防御以及增强追踪能力。
四规划内容
4.1建设攻防实验平台
在企业内部建设一个专业的、私有的网络攻防实验平台,来满足专业网络安全实践、安全防护能力和安全意识提升、跟踪必威体育精装版网络安全技术和提升企业级专业影响力等具体需要。实验平台可承担网络安全相关的技能实训实习、综合实训以及网络安全检测。
攻防实验平台主要能模拟以下的环境进行各种不同类型的攻防实验。
为更接近一般网络的真实环境,与投入因素,后续将陆续增加的攻防实验平台套件,包括安全防护软件、中间件、数据库等。
攻防实验平台可能用到的部分工具:
4.2?安全评估与加固
4.2.1?主机安全评估与加固
主机安全检查:
主机安全加固:
对上述范围内的主机操作系统、数据库系统和中间件等进行安全加固指导,解答各管理员在加固过程中所遇的疑难问题。
根据前期安全检查的结果,提交针对主机的安全加固方案,与相关部门讨论并认可后协助各部门进行安全加固实施。
4.2.2?应用安全评估与加固
应用安全检查:
应用安全加固:
根据前期应用安全检查的结果,提交针对应用的安全加固方案,与各部门讨论并认可后由协助各部门进行安全加固实施。
4.2.3?网络安全评估与加固
网络安全检查:
网络设备安全加固:
根据前期网络设备安全检查的结果,提交针对网络设备的安全加固方案,与各部门讨论并认可后由协助各部门进行安全加固实施。
4.3???渗透测试
4.3.1?渗透测试类别
???根据测试者在测试前掌握被测对象的信息多少可分为:
·?黑盒测试:渗透测试操作人员完全处于对系统一无所知的状态,通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器,主要是模拟来自互联网的攻击者。
·?白盒测试:测试者可以通过正常渠道向被测者要求,取得各种包括网络拓扑、员工资料甚至网站或其他程序的代码片断等资料,这类测试的目的是模拟组织内部雇员的越权操作。
·?灰盒测试:对测试目标有一定的了解,主要是模拟离职的员工或合作伙伴,他们对组织的结构比较了解,但不在公司内部,没有访问权限。
???根据渗透者所处的位置可以分为:
·?内网测试:渗透测试人员由内部网络发起测试,这类测试能够模拟组织内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。
·?外网测试:渗透测试人员完全处于外部网络(例如拨号、ADSL或外部光纤),模拟从组织外部发起的攻击行为,模拟可能来自于对组织内部信息一无所知的攻击者,或者对组织内部信息一清二楚的攻击者。
???根据渗透内容深度和广度可以分为:
·普通渗透测试:仅对特定业务系统的WEB站点进行模拟黑客攻击,使用黑客工具、测试工具、特制shell工具,自动化、手工测试单个WEB站点的安全隐
您可能关注的文档
- 学校网络安全教育培训方案.docx
- 学校无烟制度.docx
- 学校体育文化传承与发展.docx
- 学校体育运动队组织方案.docx
- 学校网络安全防护制度.docx
- 学校网络安全工作会议纪要.docx
- 学校消防安全应急演练方案.docx
- 样板支部建设评价意见.docx
- 药酒配方老中医11款药酒配方值得收藏.docx
- 药品临床实验成功率.docx
- 可编辑文档:证券行业2024年投资策略分析报告:供给侧优化,关注底部机会.pptx
- 中国新能源行业市场前景及投资研究报告:风光无限,风电,光伏,储能.pdf
- 公用事业行业市场前景及投资研究报告:火电电量增速转正,“煤硅”,风电,光伏,储能.pdf
- 2024年国家医保谈判品种分析报告.pdf
- 电网设备行业2024年市场前景及投资研究报告:景气持续,从周期迈向成长.pdf
- 可编辑文档:中国银行-银行业全球发展趋势和中行结构重组项目.pptx
- 资产配置研究系列分析报告:全球资产配置模型,市场短期波动.pdf
- 波动率因子改进分析报告:指数加权移动平均波动率.pdf
- 可编辑文档:中美消费板块市场前景及投资研究报告:港股.pptx
- 量化择时系列分析报告:成交量择时指标,VMACD_MTM.pdf
文档评论(0)