一、信息安全挑戰(zhàn)越來越大，監(jiān)管越來越嚴格

近期，國家計算機病毒應急處理中心發(fā)布了關于西北工業(yè)大學遭受境外網絡攻擊的調查報告，調查發(fā)現了西北工業(yè)大學于2022年6月遭遇的網絡攻擊行為，黑客使用了分布在境外的跳板機和代理服務機，向西工大師生發(fā)布釣魚郵件，引誘師生點擊，從而入侵其內部系統。

8月上旬，網絡上傳聞美的集團已經遭遇勒索攻擊，工廠多處電腦中了勒索病毒，導致內網系統連不上，所有文件都無法打開。對于被勒索，美的方面對此進行了否認，事實真相，筆者不得而知。

十一前后，有幾家知名企業(yè)因為安全事件找到新鈦云服，有中勒索病毒、有發(fā)生了數據泄露，需要協助進行安全應急處置。

最近這些年，網絡安全事件頻發(fā)，已經逐漸成為常態(tài)了，知名企業(yè)往往是黑客關注的重點，如果自身的網絡安全在技術、管理、運營三個層面，任何一個地方存在薄弱點，一旦被不良組織盯上，基本上都難道厄運，對企業(yè)造成重大損失。

除了安全事件頻發(fā)之外，安全監(jiān)管層面也是越來越嚴格了，這幾年我們國家陸陸續(xù)續(xù)出臺了一系列和網絡安全相關的法律法規(guī)、和標準規(guī)范。

· 2017年6月1日《網絡安全法》開始實施，今年9月14日，國家互聯網信息辦公室發(fā)布了《關于修改中華人民共和國網絡安全法的決定（征求意見稿）》· 2019年12月1日等級保護2.0開始實施· 去年下半年《數據安全法》、《個人信息保護法》實施，《網絡數據安全管理條例(征求意見稿）》的發(fā)布· 今年的《網絡安全審查辦法》、和《數據出境安全評估辦法》實施

發(fā)生網絡安全事件，對企業(yè)來說，除了可能會造成經濟損失之外，還存在相關法律合規(guī)方面的風險。

網絡安全已經成為企業(yè)管理者、特別是企業(yè)IT負責人越來越頭疼的問題了，對于網絡安全建設，很多企業(yè)不知道從何處著手，有的企業(yè)在安全建設上雖然投入了很多錢，但是效果卻不明顯，經常發(fā)生安全事件，感覺防不勝防。

那么，網絡安全建設，到底如何做？如何做才能以最小的投入產生最大的價值？

二、安全建設，必須統一規(guī)劃，咨詢先行

網絡安全建設，通常的做法是先進行系統性的、整體的網絡安全體系規(guī)劃設計，之后按照規(guī)劃設計的路線圖分步進行實施，對于網絡安全，建設一定要堅持技術與管理并重、并秉承持續(xù)運營的安全理念。

參考ISO27001、等級保護2.0三級要求、并結合業(yè)界最佳安全實踐，網絡安全體系建設框架一般包括：安全管理體系、安全組織體系、安全技術體系、和安全運營體系四個方面，具體內容。

很多企業(yè)，在網絡建設初期，由于沒有做好系統性的整體的安全規(guī)劃設計，導致后期安全建設比較混亂，頭痛醫(yī)頭，腳痛醫(yī)腳，最后發(fā)現，買了一堆安全產品，錢花了不少，卻還是安全問題頻出。

對于這種境況的企業(yè)，業(yè)界的最佳實踐是先做安全咨詢，通過咨詢，先客觀了解當前安全現狀，找出安全薄弱點，并根據咨詢結果下一步有針對性的進行系統性的安全規(guī)劃設計，簡單來說，咨詢工作是安全規(guī)劃成功的基礎和前提。

三、安全咨詢應該如何做，如何選擇適合自己的安全咨詢服務商？

目前，國內市場上做安全咨詢的公司主要有三類：

• 傳統安全設備廠家：

安全咨詢是副業(yè)，咨詢側重產品層面，后期規(guī)劃實施時一般會推銷自己的安全產品，咨詢結果的中立性不足。

• 咨詢公司：

知名度高，咨詢費用較高，安全咨詢主要側重管理層面，經常發(fā)生規(guī)劃方案技術上難以落地的情況。

• 中立安全服務商：

安全實戰(zhàn)經驗豐富，熟悉常見安全產品，咨詢結果相對中立，咨詢方案能夠落地。

對于傳統企業(yè)來說，選擇中立安全服務商做安全咨詢，然后分階段分步驟進行安全建設是比較穩(wěn)健的方案。

新鈦云服就是中立安全服務商，新鈦云服的安全咨詢的方法和過程如下：

1、 安全咨詢工作的思路和價值

安全咨詢，主要通過技術、管理兩方面來進行實施。技術方面采用的方式：現有安全措施溝通、配置核查、滲透測試、漏洞掃描等；管理方面采用的方式：用戶訪談、文檔分析、記錄調閱等。

安全咨詢的主要價值：

• 評估安全管理制度的完備性、適用性
• 評估安全操作的規(guī)范性、遵從性
• 評估安全措施的合理性、有效性
• 發(fā)現企業(yè)安全防御工作的短板
•  為安全加固和安全規(guī)劃提供依據

2、安全咨詢工作的重點

• 安全運維的制度流程、運維操作的安全管控、特權賬號和權限的管理
• 數據備份的制度流程、數據備份的日常操作、備份數據的驗證和保護
•  應用系統的安全管控
• 數據全生命周期安全管控

3、安全咨詢依據的主要標準規(guī)范

• 《GB/T 22080-2016 信息安全技術 信息安全管理體系要求》
• 《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》
• 《GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范》
• ISO/IEC 27001/27002/27005
• 《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》
• 《GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南》
• 《GB/T 35273-2020 信息安全技術 個人信息安全規(guī)范》

4、安全咨詢一般流程

5、安全咨詢輸出物

安全咨詢的輸出物一般包括：《項目啟動說明》,《安全現狀調研及相關風險分析報告》,《風險處置建議》,《安全規(guī)劃方案》等。