前几天有一个做安全运维的工程师和我聊天,问我安全运维需要做些什么工作。他说自己是计算机专业,在学校时自学了2年多安全,没在其他公司干过,毕业就入职一个小公司做安全运维。
目前他是公司唯一的安全人员。
他的困惑在于,自己的直属上司对安全也不算很懂,对他做不了什么指导。他每天也会自己找些事情来做,比如做做漏扫,打打补丁,对接一下等保测评。
但是,好像也没有别的事情好做了,也不太知道自己还能做什么,目前上班时有空就会刷视频学习或看帖子,但是内心却有点慌,一是感觉自己没啥事情做,可能会被领导认为一直在摸鱼;二是怕自己在这条船上没长什么本事,以后竞争不过其他的水手。
那么,我就以自己浅浅的经验在这里说一下,因为我嘛也只是一颗螺丝钉,没啥高屋建瓴的大局观。这篇主要说一下怎么眼里有活儿,找些具体事务做,不去讲那些安全架构啊、制度层面、管理层面的东西。
说的只是个人看法,如果你有其他视角,欢迎留言或进群讨论。(进群方式可关注微信公众号,底部菜单有具体指引)
作为基层的安全运维人员,我觉得主要还是做"清扫维修"的工作,我们可以分七个方面来看看有哪些地方需要"清扫维修",一但发现有可做的事情,就去做就行,当然如果这个打扫的工程量较大,那么就可以排班按期做,今天做完这个区域,明天再做那个区域,直至覆盖完所有区域。
上一篇说了基础安全和安全设施防护,今天来说说数据安全:
现在数据安全合规也是越来越严格了,我们作为安全运维人员自己也要重视起来。主要从数据获取、数据传输、数据使用和数据存储等视角来看。
数据获取尤其是APP,不能超越授权获取数据,首先要看自家的APP的授权,再看看是否有未授权获取的数据。尤其是是否有一些技术措施(爬虫和插件)采集未授权数据的。
如果有,心里要知道这个是不合规的,要想办法规避风险。
数据传输
如果信息系统涉及到个人信息数据,那么在传输、展示过程中都要采取加密、去标识化等安全技术措施处理。
数据使用
不能有可以导出用户敏感信息的功能,包括应用在线导出、数据库导出、数据文件复制等。数据展示的必须根据相应访问权限展示,必须展示的要打码处理敏感数据。
数据存储
首先就是不能明文存储敏感数据,包括用户个人信息,姓名、地址、电话等。一些用户密码要采用不可逆加密算法处理,防止特权用户获取口令。
要有用户信息注销的功能,及时删除用户数据。
作为安全运维人员,这些基本的概念要有,然后在日常工作中设定一些内部的自查要求,通过合规的刚性要求向上向左向右推动工作的开展。
如果数据安全要考虑更细,可以根据自己的实际业务和相对应的标准和合规要求来一一查看。
这个又是一个方向。
THE END
下一篇文章说说应用安全,估计这个是比较关注的。我们做安全运维的人员都知道这个算是核心和基础,一般都会做做漏扫和渗透的。
原文始发于微信公众号(透明魔方):浅谈基层安全运维人员日常工作做些什么(之三数据安全)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论