俗话说,安全是“三分技术,七分管理”。安全对于企业来说,结果才是最重要的。安全方案设计完成后,即使看起来再美好,也需要经受实践的检验。
1、把安全运营起来
互联网公司如何规划自己的安全蓝图呢?从战略层面上来说,Aberdeen Group提到了三句话:Find and Fix,Defend and Defer,Secure at the Source。
安全工作的框架图:
一个安全评估的过程,就是一个“Find and Fix” 的过程。通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统中已知的安全问题;然后再通过设计安全方案,实施安全方案,最终解决这些问题。
而像入侵检测系统、Web应用防火墙,反DDOS设备等则是一些防御性的工作,这也是保证安全必不可少的一个部分。它们能防范问题于未然,或者当安全事件发生后,快速地响应和处理问题。这些防御性的工作,是一个“Defend and Defer”的过程。
最后“Secure at the Source”指的则是“安全开发流程(SDL)”,它能从源头降