研发企业如何安保?
作为某大型软件研发企业的网络安全工程师,以我司为例简单谈一下企业级安全建设思路。 首先明确一点,无论任何企业(包括研发类互联网企业),其核心业务始终都是人、财、物等要素构成的“业务系统”,网络安全本质上是为业务服务的;因此安全建设的重点也应该围绕业务展开。
从业务角度来讲,任何项目都涉及到三个最核心的要素:用户、数据和业务流程。因此可以从这三个核心要素出发来开展安全规划工作。 以用户为中心 任何一个项目的开始都是以用户需求为开端的,同样,用户也是信息安全防护的最基本要素。所以首先应该明确各个业务部门所涉及的用户群体,以及这些用户所涉及的权限。
对于软件开发行业来说,一般涉及到两个层面的用户,其一是内部用户,其二是外部用户。 内部用户又进一步分为系统管理员、业务人员、开发测试人员等多个组,分别赋予不同的权限。
外部用户则根据业务的不同分为交易型(B)用户和浏览型(G)用户,并进一步细化。 B型的用户通常具有操作系统的全部权限,能够对信息系统进行增删改查操作,这类用户在系统中往往是相对少的,但是却是业务实施的关键。 G型的用户不具备系统操作的权限,往往只是用于信息的浏览,这类用户的数量往往是最多的,但是在每个用户的端口上所能获取的信息又是有限的。
以数据为核心 信息时代,数据成为比物质和金钱更珍贵的资源。如何将这种昂贵的资源最大限度地利用起来并且防止泄漏给我们带来的损失,是每一个信息化企业都必须认真思考的问题。因此数据的保护是信息安全最重要的内容。 从企业层面来讲,需要做好三个方面的工作。
首先是确定关键数据的内容,其次明确各业务部门对这些数据进行的保护责任边界,最后制订相应的制度规范,用制度的形式将保护责任落实到每个人身上。 从技术方面来讲,做好数据备份是实现数据无风险的基础,因此需要做好日常备份和应急预案,确保在发生危险时能够将重要数据快速恢复。另外还需要做好安全审计工作,通过对系统性能和数据流量的实时监控,及时发现安全风险和隐患,并将之消灭在萌芽状态。
以业务流程为依据 任何项目都是有业务流程贯穿其中的,同样,安全也需要按照业务的流程进行有效划分。通过梳理业务流程,可以明确各个环节存在的风险点,从而有目标地制定相应的防护措施。