淺析企業如何開展網絡安全建設。

在互聯網行業掙扎了幾年，碰見了許多行業的客戶，但發現其實很多人都會購買網絡安全設備，WAF之類，但其實他們對這些設備起到的作用并不了解，仿佛只是因為別人買了這些，于是自己也要買上一套。

經常聽到老大調侃，之前遇到了一個客戶是賣菜的，但是網安要求他需要做等保，于是賣菜的懵圈了，聽到這個事情的人也懵圈了，一個賣菜的需要做啥等保？
其實如果這個賣菜的業務只是做線下的業務，那么信息安全等級保護工作肯定和他挨不上邊，但是這位商家已經把業務擴展到了線上，到了線上就涉及到了用戶基礎信息、支付等隱私安全問題，這些安全問題小到會對店家信息安全造成威脅，大到會對社會公共安全造成威脅。所以網安部才會要求開展等保工作。

這樣一看，連個賣菜的小販用上互聯網后都需要做好安全工作，更不用說企業了。那要如何做好企業安全呢？我們要找尋方法和套路，有效的針對問題，解決問題。

一、確定目標：
實現業務的安全可視、可控和可管，并最大化保證業務的效率。

二、發現問題
每個企業在安全問題上都會存在合規問題、源自企業內外部的威脅和業務系統本身的脆弱性，這些問題都是需要我們去重視的。
合規問題：對與企業業務的相關合規和法律不了解或者了解不全面；
技術層面：源自于虛擬設備、物理設備的安全問題；
管理層面：企業員工對于網絡安全意識的缺乏，企業對于安全相關的標準化的管理制度、流程規范等的缺乏。

三、規劃方案：
1、合規監管
國家法律、法規，行業監管要求、規范，國際法律、法規、規范；
2、技術
資產安全：主機安全、Web安全、Doker安全、網絡設備安全、安全設備安全、終端安全、數據庫安全、應用安全、物理安全
數據安全：數據產生和采集、數據存儲、數據訪問和應用、數據傳輸、數據備份、數據銷毀
第三方檢測：威脅情報、***測試、風險評估、監管檢測、安全認證（iOS27001、等保等）

安全建設規劃

階段一：安全建設初期
外部威脅防御需要高于內部威脅防御（這是當然的），首先應對外部安全威脅，給網站部署WAF進行防御，如果是非運營性網，可以部署軟WAF，如常見的ShareWAF、ModSecurity等。


階段二：安全建設中期
對外部威脅防御進行補充完善，重點對內部安全和數據安全進行防御，主要是防內鬼。


第三階段：安全運營期，重在維護，安全意識不可松懈。網絡安全從來都是防患于未然的事。


總結：
企業的安全建設工作可以根據本身的業務需求對流程進行靈活調整，安全問題不是一次性能解決的問題，需要將良好的安全意識貫徹到每一天的工作中。安全問題做到最后會發現還是歸根于是人的問題，安全意識的提升才是提升公司整體安全水平的最佳手段。