中小企业平台安全建设如何落地

随着XX领域最近几次重大安全事件发生，各个供应厂商都受到严重的波及，使得我们重新认识安全的重要性，安全建设不得不做好了。
一直以来也想快速做好平台安全，但是都没有实际落地，一个是安全体系建设包含的内容实在太多，另一个是安全建设实际具体落地没有规划，中小企业大部分时间应该都是开发有价值的业务功能， 组织架构里也没有专门的安全部门，不可能给研发团队大块时间来专门搞安全建设。另外，即使客户环境出了重大安全事件，客户也是对这个小领域进行一顿安全整顿，不会关注太长时间，毕竟安全这东西不是日常业务工作内容，这也促使开发商随之放松下来，直至慢慢淡忘。
我们必须清楚这个现状，然后做好一定的安全建设规划，然后从细处着手，一步步在平台建设过程中把平台安全落地, 不要想去一下子做一个高深复杂强大的东西，而是用时间慢慢去堆叠一个个功能，时间长了也是一种技术积累，安全建设也是一样。
下面章节记录了一点粗略的安全建设规划，先形成一个大致目标和思路，细节在实际操作过程中再细化和优化, 其实说落地都谈不上。

1. 安全建设概述

从软件生命周期角度，安全贯穿设计、开发、测试和运维四个阶段，不仅仅是最终的运维阶段。
SDL(SDLC): 是微软提出的一种软件开发安全生命周期管理的一种最佳安全实践，全称为Security Development Lifecycle。

从平台运营角度，安全体系包括系统安全、数据安全、设备安全、网络安全、通信安全、应用安全、软件安全、硬件安全、制度安全等。
系统安全一般包括软件系统安全、硬件系统安全。
数据安全一般包括数据采集、传输、存储、处理、使用的安全。
设备安全一般包括软件安全和硬件安全，也涉及数据安全。
网络安全一般指网络访问、网络传输的安全性，考虑因素有无线网络、有线网络、路由器、交换机、服务器等。
通信安全一般专指网络通讯上的安全性，比如通讯协议是否有漏洞、通道是否加密、数据包是否混淆和加密。
应用安全一般指应用系统业务流程的安全性，比如业务逻辑上设计是否有安全漏洞、数据泄密等问题。
软件安全一般指软件系统的安全性，在云时代软件系统一般部署在机房，用户通过网络远程访问系统接口，那么系统接口的安全性就很重要。
硬件安全一般硬件设备的安全性，比如防水、防破坏、防盗窃等。
制度安全一般指运营过程中流程制度的安全性问题，防止泄密、不安全操作、破坏性操作等。

软件开发活动里一切安全行为都是最终为平台运营安全性服务的，目标就是平台能