你好,欢迎来到川北在线
微信
腾讯微博
新浪微博
从初创到成熟 企业需要注意哪些安全问题
时间:2020-06-11 15:10   来源:搜狐   责任编辑:青青

川北在线核心提示:原标题:从初创到成熟,企业需要注意哪些安全问题 安全,长期以来是企业最容易忽视的关键点之一。安全问题发生前,存在感低;然而发生以后,损失却已经难以挽回。在白皮书《后疫情时期,初创企业安全生存指南》中我们提到,企业为什么要做安全建设的三大要点: ● 防损


  原标题:从初创到成熟,企业需要注意哪些安全问题

  安全,长期以来是企业最容易忽视的关键点之一。安全问题发生前,存在感低;然而发生以后,损失却已经难以挽回。在白皮书《后疫情时期,初创企业安全生存指南》中我们提到,企业为什么要做安全建设的三大要点:

  ● 防损:避免安全问题带来损失,造成致命打击

  ● 增长:保障业务安全稳定从而支撑增长

  ● 合规:让业务符合国家法律法规,保障安全同时避免法律风险

  今天我们继续从另一角度深入探讨,处在不同发展阶段的企业,需要重点关注哪些安全问题?

  初创期——关键点:保障业务顺利上线

  创业公司在早期,目标就是尽可能久地活下来。为了找到市场机会产品会快速迭代,不断探索调整业务方向,这也意味着在创业公司业务快速发展的同时,运维策略和研发过程都可能不太规范。

  为了保障业务顺利上线,有这几点安全工作是必须要做的。

  1.为网站、APP、小程序等业务系统安装数字证书(SSL证书)

  SSL证书是数字证书的一种,它的作用是在客户端浏览器和Web服务器之间建立一条SSL安全通道。

  不安装SSL证书,采用HTTP通信,就是不加密的通信。所有信息以明文的形式传播,这会带来三大风险。

  ● 窃听风险:第三方可以获知通信内容

  ● 篡改风险:第三方可以修改通信内容

  ● 冒充风险:第三方可以冒充他人参与通信

  好在创业公司在SSL证书上的花费并不会太高,现在市面上许多有免费的证书可以选择。当然,如果有更高安全的需求,也可以选择付费购买。

  2.上线前对业务系统进行安全检测

  根据国家互联网应急中心发布的《2019年我国互联网网络安全态势综述》的数据显示,2019年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新高,共计16193 个。

  2019年收录的安全漏洞数量中,按影响对象分类统计,排名前三的是应用程序漏洞、 Web应用漏洞、操作系统漏洞 。

数据来源:国家互联网应急中⼼从数据可以看出,不管是什么样的业务系统,大部分都会被漏洞影响。要保障业务顺利上线,安全测试必不可少。

  初创公司可以使用免费开源的漏洞扫描工具如:OpenVAS、Nikto。但免费工具也意味着对开发者的安全素养要求较高。

  如果没有专业的安全运维人员,可以使用商业的漏洞扫描工具,扫描后会出具报告以及修复建议。

  漏洞扫描只能基于漏洞数据库对系统的安全脆弱性进行检测,通常是作为渗透测试的前奏。如果是正式对外上线并且有大流量的业务系统,建议在上线前需要对系统进行渗透测试。

  渗透测试是模拟黑客攻击对业务系统进行安全性测试,可以比黑客更早发现导致企业数据泄露、资产受损、数据被篡改等风险的漏洞。

  初创公司一般没有自己的安全团队,可以选择第三方专业安全公司提供的渗透测试服务,或者接入第三方安全众测。

  3.接入免费或者低费用的云安全产品

  云安全产品有天生的优势,方便、易用、门槛低,而且一般产品都是按需付费,对初期的创业公司来说,是控制成本的绝佳方式。

  创业公司如果已经接入了公有云厂商的云服务,可以选择云厂商提供的附带云安全产品,也可以选择专业云安全公司的产品。

  为应对复杂且多变网络环境,创业公司网站通常需要接入云WAF以抵御黑客的攻击。

  根据知道创宇云防御平台拦截的Web应用攻击数据显示,2019年攻击趋势呈现出高强度、持续性的特征。全年拦截网络攻击3321亿次,相比2018年上升12.3%。其中恶意网络爬虫攻击首次超过扫描器攻击拦截恶意爬虫超927亿次,占全年攻击总量的36%。

数据来源:知道创宇云防御平台除此之外,网站还可以选择接入CDN,安全加速业务系统的同时减少创业公司的带宽投入。既提高用户访问速度,又减少了成本开支。

  如果是高风险行业,如游戏、电商、金融等,DDoS防御也必不可少。这种流氓的攻击方式,让许多创业公司苦不堪言。由于攻击与防御成本严重倾斜,许多创业公司会面临没有资金防御攻击的尴尬境地。

  因此,在前期可以通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载流量,并通过接入第三方服务拦截恶意流量。这种防御思想更为“理智”,而且对抗效果良好。

  成长期——关键点:让业务稳定运行

  成长期的创业公司已经过跨过了初期不断迭代探索的鸿沟,开始有了较为稳定的业务模式。这个阶段是创业公司高速发展的时期,业务的稳定运行也自然成为了快速增长的保障。针对这个阶段的创业公司来说,对安全的投入需要更加用心。

  1·聘请专业的安全人员

  成长期的创业公司,对安全的需求更为迫切。这时,若发生安全事故,将会对快速发展的成长期创业公司带来致命打击。所以聘请专人负责公司安全,显得十分必要。

  专业的事交给专业的人做,可以减少公司不必要的人力成本投入。人才是公司安全发展的根本,创业公司在成长期可以开始引入安全工程师,人数不必过多,可以隶属于公司的信息部门。

  2.IPv6安全部署

  随着全球IPv4地址的耗尽,以IPv6为代表的下一代互联网技术应运而生。国家层面出台《推进互联网协议第六版(IPv6)规模部署行动计划》,全力推进互联网演进升级和健康创新发展。接入IPv6已然成为业务刚需,现目前不支持IPv6等于放弃市场。

  在发展的同时,IPv6的安全风险也开始显现,IPv6网络攻击数量剧增,攻击范围也在逐渐扩大。仅2019年,知道创宇云防御平台共拦截来自IPv6网络攻击9.2亿余次,总访问请求中有8.3%的请求为网络攻击。

  在大量攻击的背景下,成长期的创业公司需要重视IPv6的安全部署。

  3.严格管理内部业务权限

  据 国际咨询服务公司Willis Towers Watson的网络保险理赔数据显示,2/3的网络安全问题是由于员工疏忽和渎职而直接或间接造成的。相较之下,仅有18%的网络安全问题是由外部威胁直接引发的。

数据来源:Willis Towers Watson因此,成长期的创业公司必须重视内部权限管理,包括数据库、服务器、后台等各种关系公司核心资产的权限。

  必要时建议开始双重验证,这样可以 避免一个员工的误操作或恶意行为。

  今年2月微盟数据库被删事件,直接影响了300万商家。微盟受事故影响,市值一日内蒸发超12亿港元。一场人为的破坏导致了无法估量的损失,让成千上万的商家生意停摆。

  这次事件再次给业界同行敲响警钟:数据安全管理无小事。所以企业在进行数据管理需要做到两点:

  ● 实行严格的备份机制

  ● 管理权限分开

  成熟期——关键点:加强安全建设

  普华永道在报告《从初创到成熟,独角兽企业如何识别风险、迅速响应?》里提到:仅有39%的受访企业表示他们有危机应对计划并进行过测试,有44%的成熟独角兽企业尚没有危机应对计划及预案。

数据来源:《普华永道独角兽CEO调研2018》普华永道还提到:能否预测各种不确定性并适当的处理不确定性、建立有效的危机应对计划及预案,成为创业成功与否的决胜因素。

  越成熟的创业公司,越依赖数字化,更应该重视安全建设。

  1·打造强有力的安全团队

  成熟创业公司有必要打造自己的安全团队。处于此阶段的创业公司通常也在经历B-C轮融资,或筹备上市,安全问题不应该成为资本流失的隐患。

  安全团队可以帮助公司及时发现问题,他们可以全权负责公司内外部的安全建设。

  2.定期进行业务安全检测

  安全检测可以由自己的安全团队进行,也可以由安全公司协助完成。定期的安全检查,可以发现潜在隐患并及时修复,以确保业务系统安全性。

  3.选购贴合业务的商业安全产品

  安全团队与商业安全产品的加持下,可以让安全工作更易进行。专业人员与专业工具结合,可以 的提升公司安全能力。

  4.员工安全意识培训

  前面有提到:2/3的网络安全问题是由于员工疏忽和渎职而直接或间接造成的。所以在加强权限管理的同时,成熟的创业公司需要对员工做安全培训,这时公司有能力,也有必要去做这项安全措施。除此之外,为了帮助企业低成本提高抗风险能力,近期知道创宇发起了复苏季·安全助力活动,免费开放多款安全产品,让不同阶段的企业能低成本快速完成安全建设,避免安全问题造成致命打击。

   投稿邮箱:chuanbeiol@163.com   详情请访问川北在线:http://www.guangyuanol.cn

>>相关文章
川北在线-川北全搜索版权与免责声明
①凡注明"来源:XXX(非在线)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,本网不承担此类稿件侵权行为的连带责任。
②本站所载之信息仅为网民提供参考之用,不构成任何投资建议,文章观点不代表本站立场,其真实性由作者或稿源方负责,本站信息接受广大网民的监督、投诉、批评。
③本站转载纯粹出于为网民传递更多信息之目的,本站不原创、不存储视频,所有视频均分享自其他视频分享网站,如涉及到您的版权问题,请与本网联系,我站将及时进行删除处理。



图库
合作媒体
发型设计
一讯网
时尚女性
法律顾问:ITLAW-庄毅雄律师