甲方|企业安全建设从合规开始建设|乙方|甲方|虞国|企业|合规

文章插图
背景由于国家对网络安全的重视，极大的促进了网络安全的发展，越来越多的企业都开始开展企业安全建设的工作，但随着安全建设的不断深入和发展，各种规划、制度、要求的增多，会逐渐进入安全运营阶段，必定存在有制度未落地，要求未执行到位的情况出现，这时安全审计与合规检查就显得尤为重要了，它能通过某些方法从安全的角度出发，发现一些需要优化及改正的地方，促进整个安全体系的建设与运营。
目的通过合规检查及审计的形式或者方式来推动企业信息安全制度实现，推动整个安全体制的良性发展，打造全方位的运营体系。
甲方与乙方的关系乙方是指给企业（甲方）提供安全产品和服务的一方，包括安全产品原厂、代理商、集成商和外包公司等。甲方和乙方的关系可以理解为唇亡齿寒的关系，就像是晋侯再次向虞国借道去征伐虢国，宫之奇进谏说：“虢国，处在虞国的外面。虢国如果灭亡了，虞国必然跟着灭亡。有言：‘辅车（颊骨与牙床）相依，唇亡齿寒’，所指的就是虞国和虢国之间的相依关系。”结果虞国国君没有听从劝告，晋国在灭了虢国后，顺便也灭了虞国。
谁离开谁都会失败。有好有坏，关键在于各守本分，各尽其责。企业中较为常见的场景是，乙方老板说，贵公司是我们的大客户，我们一定会服务好。乙方销售则在旁边配合，我们的产品和服务是最好的，用我们的绝对不会有问题。
更有甚者，个别老板和销售的回答令人啼笑皆非，我们的产品和服务就是最好的，不用你们会后悔的。有风度的甲方此时往往还需要心情平静地答复，你们的产品和服务我都了解了，挺不错的，希望有机会合作。但内心简直是崩溃的。另一方面，也听到较多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背锅；安全人员啥也不会，只知道指挥我们干活，把我们工程师不当人用。乙方眼里90%的甲方都是这个印象。笔者无意为任何一方辩护，包括作为甲方的自己。因为甲乙双方都是站在自己的立场处理问题，无可厚非。但甲方和乙方都需要检讨：甲方，应该对自己承担的职责负责，不管用什么方法，结果是必须搞定安全问题，但要能识别什么是能搞定的方案，以及哪些是方案中靠谱一员的乙方。
和乙方的关系挺简单，如果乙方能为甲方创造安全价值，那给乙方匹配等量的安全回报，继续长期合作；否则对不起，多听一秒都是浪费生命。乙方，应该是对自己的承诺负责，要了解你的客户，不是签单成功就万事大吉。合同落地才是刚刚开始，在甲方的辨识能力和社会口碑传播效应越来越强的今天，做一锤子买卖只能让自己的路越走越窄。
有时候呢，甲方可以聘请乙方的人员进行安全建设的帮助，毕竟乙方比甲方相对更加熟悉其中的内容，派遣乙方人员去甲方进行安全服务相关的内容，保障和弥补因甲方人员的不足。
准备方面甲方在合规检查的前期阶段需要做哪些准备：
1.资产梳理
·IP列表、业务分组(负责人、联系方向)、业务属性
·业务端口
·业务应用架构、技术堆栈
2. 边界安全，防火墙策略控制（需要梳理业务端口）
·如果是硬件，使用防火墙统一控制
·如果是操作系统，Iptalbes＋IPSEC
·及时监控业务端口的变化（外部nmap扫描搜集结果比对，或者编写脚步放到运维平台收集系统监听端口和防火墙策略)
·跳板机安全控制
3. 账户安全管理
·弱密码
·root、sudoer权限
·账户、授权、访问、审计等等
4. 服务器安全
·安全基线检测
·操作审计
·异常登录审计(日志收集分析)
·漏洞清点/扫描，补丁修复测试和推进
5. WEB安全
·应用渗透测试
·接口安全(加密、通信)
·webshell实时监测
·Nginx日志分析/Nginx流量旁路分析
6. 业务风控安全
·用户安全机制（密码、验证码、登录）
·交易安全
7. 安全培训
·安全意识培训
·运维安全培训
·WEB安全开发
8. 安全规范和流程
·人员入职账户开通
·人员离职账户注销
·服务器上下架安全管理
·安全应急响应机制
9. 内网安全
·内网服务器安全
·账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)
·弱口令监测(NTLM/LM)
·账户异常登录
·网络隔离（物理／虚拟化）
·网络准入
·PC安全（病毒统一管理、通知处理）