小公司,可能缺钱、缺人、缺安全意识,总觉得黑客离自己很远,倒霉事不会落到自己头上。

环境随时间流逝而变化。二十年前,信息安全的倒霉事,确实多数人碰不上,但现在环境已经大不同了。

例如现在,黑客常常写了蠕虫全网传播病毒,同时近几年,中国的法律法规逐渐完善,对数据、隐私、安全有了严格的要求。

你可以去搜索这些词:勒索病毒、财务诈骗、用户数据泄露、数据出境,将自己代入这些事件,想想如果是自己遇到这类事情,而且事前毫无准备,会怎么样?

知识星球是个小公司,我也在信息安全行业摸爬滚打一些年头,所以,就给大家分享一下我在信息安全上的做法,供你参考。

1、梳理风险点并按优先级排序

我们的做法很简单粗暴,就将日常工作中发现的可能存在安全风险的地方都列出来,并且分到三大类中。

这三类分别是:出事会死的、最好别出事的、无所谓的。

对我们来说,出事会死的至少有这么4项:

a、资金,钱不能被偷走、不能错乱;

b、内容,社区类产品,内容安全是红线;

c、备份,业务数据不能坏、不能丢;

d、防黑客,如果黑客轻易攻进来了,任何事情都有可能发生。

2、针对出事会死的风险,探索行业最佳实践

还拿知识星球来说,我们针对上面那些【出事会死】的事情,做了下面这些事情:

资金,用户方面提现风控、审计方面多重对账;

内容,产品上实现产品风控能力和策略,人员上有总编有风控对把握尺度,合作伙伴还有AI、人工、培训等资源投入;

备份,对代码、文件、数据库均有增量、异地备份,且不定期做恢复演练。

防黑,这么的技术工作比较多,比如安全域划分、漏洞管理、双因素认证、领信任网管、防病毒、渗透测试、众测、实时监测与报警、业务操作审计等。防黑还是需要有专业人员把关。

3、检查结果并持续改进

所有出事会死的风险点,在一轮改进中,大概率仍然会留下漏洞,所以还需要检查、评估改进的效果。

然后,回到工作1,继续梳理当前最危险的风险点。这样不断循环,不断改进。

当然了,如果要系统性解决安全问题,做上面这三点是远远不够的,建议你直接找专业公司,从资产盘点、风险评估开始,系统分析,整体解决。

小结

1、梳理风险点并按优先级排序;

2、针对出事会死的风险,探索行业最佳实践。比如资金提现、审计、内容、备份等环节,投入大量资源;

3、检查防范成果并持续改进,每轮改进大概率仍有漏洞,要坚持检查、评估效果。