浅谈我的安全咨询经验

admin 2024年5月18日10:08:45评论3 views字数 2568阅读8分33秒阅读模式

1设计依据

基于“XX(定义的规划名称,需要创新、霸气、贴合企业发展目标的)”设计的安全规划体系,以数字(近些年这块是最热门的)为核心的数据安全全生命周期防护体系,应用应用新兴技术,使得在“数字化”转型过程中获得新的发展动力,提升企业核心竞争力;

备注:以上是整个咨询规划的主旨做出的总结。

1.1、驱动力

  • 内因驱动

数字转型:以数字化转型为代表,融合企业IT能力和安全能力,进一步提升企业活力;

技术变革:云计算技术、5G技术、人工智能、大数据、量子密码登为代表的新兴技术,可提升企业生产效率;

  • 外因驱动

安全合规:比如等级保护2.0、密评测评、关键基础设施保护、分级保护;

黑客威胁:企业数字化资产价值凸显,以盗取有价值数据为主要目标;

备注:建议是与高层访谈结果为依据,确认整体内外部发展驱动力

1.2、价值力

  1. 打造业界领先的企业安全防护体系,树立行业标杆;

  2. 应对信息技术、新型攻击带来的安全风险,提升企业品牌价值;

  3. 保护企业敏感、有价值数据,为客户带来更优势的服务体验;

备注:以上就是做完整个咨询规划可产生的价值,需要自有发挥,以上只是例子。

1.3、约束力

  • 合规要求:列举需要满足的合规法律法规、评估能力等;

  • 技术要求:列举需要做的技术改革,比如安全中台、人工智能等;

  • 管理要求:形成多级管理制度:(战略方针)、(规范、程序、管理办法)、(细则、手册、指南)、(记录、表单);

  • 服务要求:形成工具为辅,人力为主的服务体系,包括重保服务、日常服务、渗透测试等安全服务。

1.4、设计思路

浅谈我的安全咨询经验

设计思路一般可以分为四层:

第一层 需求调研:

  • 规划范围:调研资产情况、安全能力情况、技术手段、网络拓扑图等;

  • 发展目标:时间日常工作中遇到的安全问题、上级部门的要求(集团规划等)、国家要求(等保、密评等);

第二层 安全架构

  • 安全架构:根据调研结果选择IPDDR/TOGAF/滑动标尺模型/CSMA等;

  • 新兴技术:人工智能,今年业界很火的技术,结合现状和客户要求进行编写;

第三层 详细设计

  • 分层设计:业界较多是以场景设计(终端防泄漏、个人信息保护等)、模型设计(管理、技术和服务三层)、技术设计(零信任模型、安全中台)等;

  • 详细能力:根据上面选择的设计模型,详细展开具体的建设情况;

第四层 实施建议

  • 建设路径:第一年建设什么、第二年建设什么、第三年建设什么;

  • 投资规划:第一年费用概算、第二年费用概算、第三年费用概算;

2、设计概述

2.1 企业愿景

浅谈我的安全咨询经验

根据调研竞争企业、同类企业、上级要求、新兴技术,来看整个业界的发展情况,来制定企业的发展目标,总结企业的发展愿景,这块可以使用华为的“五看三定”法则、波特五力分析法、IBM的BLM模型,看自己对这些能力的掌握程度,结合客户需求进行编写;

2.2 整体框架

2.2.1 以下以管理、技术和服务为纬度进行介绍:

浅谈我的安全咨询经验提出以管理、数据和服务三层体系,分别建设哪些内容,形成一个大框图,作为一个总体能力,方便后续的篇幅开展,比如数据安全的防护有全生命周期的防护,新技术有多方计算、联邦学习等,比如身份管理有零信任融合统一用户、统一认证、统一授权和统一审计。

这里只是一张图片,最好后续可以将三层再进行单独的展开,显得更加有说服力;

2.2.2 以下以实战纬度进行介绍:

浅谈我的安全咨询经验

以微软的安全实战架构为参考,分出六层,对每层详细情况进行介绍,结合实际情况;

身份认证体系:以零信任为身份认证中心,建设全部身份体系;

网络纵深体系:以边界、终端多层的边界防护体系;

敏感信息保护:以分类分级为指标,根据不同数据的敏感等级进行保护;

威胁响应体系:培养安全服务人员建立威胁发现到威胁处置的管理流程;

安全研发体系:以SDL、DevSecOps为理念建设安全研发,加上供应链安全;

威胁情报体系:通过外部威胁情报、内部的安全风险形成威胁情报库;

2.3 具体能力

2.3.1 以下以网络纵深体系举例:

浅谈我的安全咨询经验

在网络出口层部署哪些安全设备、在不同网络区域之间部署哪些安全设备、针对不同类型的资产部署哪些安全设备、针对性能瓶颈采取何种方式解决、针对不同业务场景提供哪些安全设备,结合以上要求,进行网络安全纵深防护体系设计;

2.3.2 以下以身份认证体系举例:

浅谈我的安全咨询经验以用户和设备两种纬度看访问的整体流量,以安全大脑也就是认证中心为主,动态处理授权规则(RBAC/PBAC/ABAC等),以安全网关(MSG)0为手段,放行或者阻断访问,以终端(XDR/EDR)和其他安全能力(全流量)发现安全风险。在此需要结合客户实际情况进行设计。

2.3.3 以下以敏感信息保护体系举例:

浅谈我的安全咨询经验以敏感信息防泄漏三件套:终端防泄漏、邮件防泄漏和网络防泄漏进行保护,因为都是成熟能力,实施起来相对简单,如果想要在数据库、数据字段级别保护,就需要与业务系统进行强绑定,相当投资会上升,需要做好取舍;

2.3.4 以下以安全开发体系举例:

浅谈我的安全咨询经验SDL是Microsoft全公司的计划和强制施行政策,从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动与规范,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。这块其实只要在设计阶段考虑安全、研发阶段代码审计、上线前安全评估以及上线后安全周期评估,就可以很好解决,也可以认为就是业界常说的“三同步”

2.3.5 以下以新兴技术 隐私计算 举例:

浅谈我的安全咨询经验

隐私计算的最安全的建设是需要在硬件上进行改造,成本和难度都相当较高,因此我们只需要了解在特殊场景下才进行建设,也就是作为试点,待后续程度减低,再进行大规模扩展;以软件为主的技术门槛相对较高,也可以作为整体规划的一个亮点,不能都是使用现有成熟的东西,大型企业都需要有一个亮点,方便后续在集团、外部进行宣讲,数量企业的品牌形象,这里需要结合企业实际业务和投资情况进行规划;

威胁响应体系和威胁情报看在这里就不多做介绍了,投资相对较大,能力要求很高;

3 实施路径

在上面我们基本已经完成了整个规划项目的分解,这里我们基本只需要根据预算、技术成熟、业务需求紧急程度进行排列,三年每年建设哪些内容、每年建设的投资预算。咨询规划项目就基本完成了。

在最后咨询规划项目一定要以客户的中心思路为准,不要根据自己的经验来做,如果无法做到客户心中所想的内容,不论做的怎么样好都会被客户否决,我们需要的不是从原因推导结论,而是要一开始就确认结论,然后从结论去找原因。

原文始发于微信公众号(德斯克安全小课堂):浅谈我的安全咨询经验

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月18日10:08:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈我的安全咨询经验https://cn-sec.com/archives/2049421.html

发表评论

匿名网友 填写信息