0x01 前言

安全应该怎么建设

一千个读者有一千个哈姆雷特,实际上每个公司都有自己的style,除了安全标准和安全框架可以参考外,业内实际上一直没有给出标准答案,因此在各种不同因素的干扰下，各个公司的做法基本都会有差异.

0x02 不被在意的安全

当企业处于不同阶段时.安全能做的东西肯定也不一样

传统企业的机房自建

国家倡导的数字化私有云迁移

跨国企业混合云建设

...

抛开业务谈建设,其实都是虚的想法.

往往可用性才是上面老板考虑的东西,所以安全在很多时候是不被考虑的,甚至是为了省钱和便利,会被很多人刻意忽略的一个东西.

由此衍生出"安全事件驱动型的安全建设"

这种建设往往都不是特别好做,因为推翻之前的架构重新设计,往往都不切实际,最终只能带着镣铐跳舞,尽量能够产生一些安全价值,但是无法根治,最多把脚本小子拦于门外.

0x03 我理解的安全建设

实际上以前我们作为服务商为客户规划安全建设的时候，在很多项目上我们更喜欢直接借鉴Gartner每年发的新技术去学习去建设，这样客户接受度比较高且行业也比较认可.

但大部分企业根本没必要也没能力这么做,日常工作中还有一堆坑需要填，更建议把眼下的活做好.

当一家公司老板开始考虑安全建设的时候,首先应该对公司的安全成熟度进行评估.

• 现状摸排

初期,可以通过风险评估,渗透测试,红蓝对抗先对企业现状进行摸排.

当然也可以参考一些框架,比如ISO27000系列,NIST 框架,ITIL等等,甚至于是等保.

同时去把安全管理体系先建设起来，文档制度流程

以安全规划中战略计划、战术计划、操作计划为基础去展开推进。