我们常说的企业安全体系建设大致可分为五个阶段,初级保护、基础管理、充分定义、量化控制、持续改进。企业的安全体系建设是持续改进的,不同规模的企业处于不同的阶段。
对于初创公司或规模较小的企业来说,部署安全方案是一笔不小的成本。于是,中小企业渴望有一套既能保证安全,又能控制成本的安全方案。FreeBuf正好就“零成本”的安全方案在甲方社群内开启了一场社群直播。
4月14日晚间,FreeBuf甲方社群首场内部直播开启。欧普照明集团信息安全负责人樊正懿线上分享企业如何打造“零成本”的安全方案。
作为FreeBuf甲方社群内部直播的首秀,我们设置了开场红包雨、主播互动抽奖、演讲嘉宾分享、QA问答互动和结束抽奖环节。群内成员和演讲嘉宾积极互动,此次社群直播也给因疫情而居家办公的上海用户注入了新鲜的“安全”活力。
直播视频回顾
欧普照明集团信息安全负责人樊正懿分享到,95%的信息安全事件是由企业内部管理不善等人为原因引起。
如果企业没有完善相关信息安全制度,安全组织、技术、制度、运行等各项工作没有成体系化,或者安全措施不能有效执行落地,那该企业基本还处于“遇事救急”的防御与处理阶段。
樊正懿表示,成熟的企业安全体系是建立在合规的基础上,企业的信息安全建设需要满足ISO 27001等最佳实践标准要求。
满足合规要求后,企业要梳理内部潜在的信息安全风险。例如,企业内部信息的访问授权应该做分级管理,采取身份验证或加密措施来保证企业内部信息安全,以防任何内部人员都能随意拷贝数据甚至泄露企业信息,造成不必要的损失。
同时,完好的域策略、组策略、注册表机制也是保证企业内部安全的必要手段。企业内部局域网一般使用域服务来管理办公设备,而域管理最主要的就是域策略配置,策略配置得好可以大大增加局域网的安全性。组策略配置则分为计算机配置和用户配置,可以对域名、帐户、密码、公钥、软件、应用程序等配置较高的安全等级。
最后,企业内部信息安全还是要靠人来维护。樊正懿提到,企业要加强内部信息安全教育并引入奖惩措施。定期开展多样的安全培训和宣传,指导员工学习安全制度和安全机能,提高全员安全意识。此外,合法的奖罚激励机制也很重要,引入不同部门进行协作和程序监督,确保政策落地执行。
硬件防火墙、上网行为管理器、服务器操作系统、杀毒软件等企业常用的必要的安全产品通常会带来资金成本,如果企业想要打造“零成本”的安全方案,可以使用开源解决方案替代。
一般情况下,企业会购置硬件防火墙进行安全防护,价格从两千至两万元不等。樊正懿表示,中小企业可以使用硬件防火墙开源免费解决方案,例如PfSense和IPFire。
PfSense是一个基于类Unix FreeBSD操作系统和pf数据包过滤器的开源防火墙,也是最著名的开源防火墙之一。它可用于各种用途,如防火墙、VPN服务器、路由器、DHCP或DNS服务器、代理服务器等;可以在物理机、嵌入式系统和虚拟机上进行安装。
IPFire是另一个建立在Netfilter之上的最佳开源状态包检测(SPI)防火墙。除了防火墙之外,它还可以用作网络中的路由器,可以使用各种设置来缓解和阻止拒绝服务攻击。 IPFire具有专业的 Web GUI 界面,并提供添加扩展,也可以直接从Web浏览器管理所有功能和配置,无需输入SSH。
对于上网行为管理器,想要“零成本”的企业可以使用软路由管理方案替代,OpenWRT和iKuai都是不错的选择。
OpenWRT支持各种处理器架构,无论是对ARM,X86,PowerPC或者MIPS都有很好的支持。 其多达3000多种软件包,囊括从工具链到内核、软件包再到根文件系统整个体系,用户只需简单的一个make命令即可方便快速地定制一个具有特定功能的嵌入式系统来制作固件。
服务器操作系统的开源替代方案则可以选择AlmaLinux。它是从红帽企业Linux(RHEL)的源码编译而来,完全开放源码的社区驱动项目。AlmaLinux 与RHEL 8完全在二进制上兼容,由 CloudLinux OS的创建者打造。AlmaLinux OS Foundation是一个非营利组织,旨在为 AlmaLinux OS社区的利益而创建。
杀毒软件的开源替代方案,Linux内核的系统可以选择CalmAV;Windows系统可以使用Windows Defender配合CalmWin、Microsoft safey scanner的组合解决方案。IT服务管理平台的开源替代方案则是OTRS社区版,它可以实现工单管理和资产管理。系统漏洞检测的开源方案有OpenVAS和Nikito。代码安全检测开源方案则可以使用SonarQube社区版。
樊正懿总结,大多数安全软件都有开源版本,比如DLP系统的OpenDLP和WAF平台的NAXSI;企业安全人员只需学会举一反三便可手动打造“零成本”的企业安全方案。他提醒,如果企业对安全要求比较高且经费充足,建议花钱部署商业版的安全系统。
直播观众在答疑环节踊跃提问,例如有观众提问,实现广义上的零成本上有哪些必要支出。
樊正懿表示,上述的方案只是帮助企业打造最基本的安全方案,如果有更高或者个性化的安全需求,还是建议购买完整版的商业安全系统。
还有观众提到,目前上海受疫情影响,企业员工处于居家办公状态,“零成本”的解决方案能否有效保障企业安全。樊正懿回应,企业可以通过设置内网VPN以及要求员工签署保密协议等方法,将安全威胁降到最低。
在直播的最后,樊正懿还和主持人一起抽取了数位互动观众送出精美礼品。
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!