网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

1999年刚考完MCSE被推荐到一家提供互联网服务的公司，服务的客户就是现在阿里巴巴的客户。在中美两地进行网上商业贸易和宣传的(几百K的带宽哪个慢啊)，我们小组的工作就是几百台服务器群的大网管，确保服务器(NT和FreeBSD)运行稳定防止被黑。刚入司CTO吴先生就给我们小组一本厚厚的手册，从服务器OS，WEB, FTP，远程管理软件等的标准安装，每一步每一层的安全策略设置，每一个系统软件服务的关停判断，每一个多余端口的关闭，每一个账户的谨慎开启，每一个系统和应用的补丁，每一个Admin/ ROOT的更名，权限，强密码，一台服务器基本安全设置完成，基本是一天……回忆当年做纯粹技术的美好日子，一转眼原来小组成员只有我还在干安全，直到现在仍然感谢吴先生和安全小组带给我最原始最体系化的防御手段和原理，就是安全策略落地。在当年的安全攻防战中我们防御的确实不错，估计现在已经没有人记得2000年还有一波互联网的高潮，怀念和E国一小时、人人、当当、易趣等战斗的故事，当年我的QQ号应该还是5位数。

20年来，持续走在网络安全防御的路上，体会到不同的领域和境界，技术无敌到技术都不在是问题的时候，看到的往往是其他问题。数字时代需要考虑的内容是综合的，顶层设计和系统的梳理和体系化落地等包罗万象。网络安全防御体系方法论随着时代的发展我们已经更新了第四版(2019版)，网络安全防御体系建立的核心目标就是风险可控，大家参考用吧。

图2：网络安全防御体系方法论V2019版

官话不说了，核心就是当领导的要知道本组织的信息系统(资产)的重要性，服务的场景对象是啥，组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子)，这层做好了方向不会出大问题，基本可以打30分了。原理能这样想网络安全的领导不多，经过HW的检验，估计未来慢慢会多起来了。

按照管理层明确的保护对象方向等级，给予人、财物、资源制定具体的工作计划，没有规矩不成方圆，制度要有，要建立可靠的安全组织(自己人十安全服务资源池)。制定安全执行策略，具体制度落地策略，建设，运行，持续稽核，这层做好了，至少40分了(提醒：好多地方都是空制度，现在的经验制度十平台结合是可落地的)。一个明白道理的高情商的安全处处长基本上可以走上正确的方向了，知道如何承上启下，和领导说明白和一线的团队做好策略的去落地，随着发展信息安全首席安全官未来应该是个炙手可热的职位。

有了上两层的基础，接下来开展工作就好办多了，如果没有上面两层的支持这个阶段基本是不可行的，网络安全保障体系建设一定是围绕业务和数据的，俗称“业务+数据定义安全战略”确定好保护对象和级别，需要协同，需要按照三同步原则(同步规划设计、同步建设、同步运行)，选择好规划服务商、建设服务商，踏实规划，体系逐步实现。说的简单，其实这些个环节一个出问题，就是坑坑相连，能按照这些环节都下来顺利的不多。

这些年看到最大的坑有两个，一个是不了解业务和数据抡起来就瞎设计(可恨，比如国家级的某一体化平台)，一个是生搬硬套的安全合规标准(可怜，比如某啥啥潮的)，多维的业务需要多维的防护，设计不好就会导致降维防护，做不好就是个豆腐渣工程。 HW打瘫的目标对象基本上一种是不合规的，另一种是假合规或者阶段合规持续不合规。

图3：意识不统一导致的防御体系的降维防护