B2B创业型企业的安全运营建设之路

基于准入控制,这个也不用多说,大家都可以理解,你要判断哪些可以接入内网,要满足什么样的条件或需要什么条件能够进入内网.之后我们可以从两大点实现准入,一个是网络的准入,还有一个客户端的准入,应用可以归纳为客户端.网络的准入可以通过 802.1X 协议执行.

VPN 安全有两方面：第一个是管理,另外一个就是配置.管理方面,如权限开通一定要走审批的流程,VPN 日志需要定期分析安全隐患.在配置上需要做的几点,变更管理需要走流程,会话连接数设置,超时设置等等.

源码安全也是很重要的,这个也是我们保护的对象之一,源码的管理难以做到面面俱到,可以从三方面做一些管控,完整性、授权,以及复制和传播,彻底的杜绝泄露我们目前无法实现.

有条件的可以做内网日志,之前看到的一个文章,是阿里如何防止内部员工去泄露信息,它的实现是对内部信息做一个打码或者是加水印处理,水印中保存了用户登录 cookie,一旦泄露可以定位到哪位员工泄露的.

2.3.5 授权和访问控制

在访问控制上,我们现在实现的是身份管理这一块,其它方面也是慢慢做的实现.身份管理,单点登录时一个不错的方案,其它的比如访问管控,流程资源方面可以在实际问题中逐渐扩展.

3. 安全驱动

上面写的运营方面的内容,是根据我们公司实际情况做的一个安全工作.

接下来是安全驱动,这个是比较抽象的东西,比如你要建设的策略、计划,你要推动这些事情怎么落实.现阶段也是我所面临的一个难点,在推动过程中遇到的一些问题,接下来跟大家分享一下我的想法.

3.1 资源分析

推动前先要做好事前分析,人力资源分析,当前你有多少人力可以助力推动这个事情.有多少的支持,又有多少的反对,支持和反对需要做好评估,如果阻碍太大做不下去就可以放弃了.

3.2 救火阶段

那么救火阶段的驱动需要做哪些呢?我个人总结了一些,时时跟踪,主动出击,紧迫盯梢,及时曝光.如果需要配合的人不配合,你可以曝光,至于曝光给谁,当然是上级,也就是可以做主拍板的人.

3.3 日常运营阶段

日常的运营阶段,我总结的几点是,首先要明确负责人,定时跟踪,流程约束,松驰有度,另外还要做奖惩的制度.明确责任人很重要,你发现问题了,你要驱动一个策略,要知道事件相关联的人.

之前公司,业务线比较多,组织的变动也带动了业务的变动,有一次我找人就找了两天,这个就是浪费时间的事情.我建议,进入公司时先要熟悉组织架构,自己可以维护一个表,记录每一个业务产品的对应的负责人.

3.4 建设阶段

建设阶段,我们找钢网,安全只有一个人,我们的运维人数也很少,一共就有八九个,人少能做的事情是有限的,你一个人可以做的很少,结合大家一起做的事情就比较多了,比如说结合运维、DBA、IT、基础架构等等,可以站在一个驱动的角度推动,涉及到运维就可以驱动运维人员协助完成,这就是一个相互协作的过程.

3.5 推广阶段&落地

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!