一、信息安全挑戰越來越大，監管越來越嚴格

近期，國家計算機病毒應急處理中心發布了關于西北工業大學遭受境外網絡攻擊的調查報告，調查發現了西北工業大學于2022年6月遭遇的網絡攻擊行為，黑客使用了分布在境外的跳板機和代理服務機，向西工大師生發布釣魚郵件，引誘師生點擊，從而入侵其內部系統。

8月上旬，網絡上傳聞美的集團已經遭遇勒索攻擊，工廠多處電腦中了勒索病毒，導致內網系統連不上，所有文件都無法打開。對于被勒索，美的方面對此進行了否認，事實真相，筆者不得而知。

十一前后，有幾家知名企業因為安全事件找到新鈦云服，有中勒索病毒、有發生了數據泄露，需要協助進行安全應急處置。

最近這些年，網絡安全事件頻發，已經逐漸成為常態了，知名企業往往是黑客關注的重點，如果自身的網絡安全在技術、管理、運營三個層面，任何一個地方存在薄弱點，一旦被不良組織盯上，基本上都難道厄運，對企業造成重大損失。

除了安全事件頻發之外，安全監管層面也是越來越嚴格了，這幾年我們國家陸陸續續出臺了一系列和網絡安全相關的法律法規、和標準規范。

· 2017年6月1日《網絡安全法》開始實施，今年9月14日，國家互聯網信息辦公室發布了《關于修改中華人民共和國網絡安全法的決定（征求意見稿）》· 2019年12月1日等級保護2.0開始實施· 去年下半年《數據安全法》、《個人信息保護法》實施，《網絡數據安全管理條例(征求意見稿）》的發布· 今年的《網絡安全審查辦法》、和《數據出境安全評估辦法》實施

發生網絡安全事件，對企業來說，除了可能會造成經濟損失之外，還存在相關法律合規方面的風險。

網絡安全已經成為企業管理者、特別是企業IT負責人越來越頭疼的問題了，對于網絡安全建設，很多企業不知道從何處著手，有的企業在安全建設上雖然投入了很多錢，但是效果卻不明顯，經常發生安全事件，感覺防不勝防。

那么，網絡安全建設，到底如何做？如何做才能以最小的投入產生最大的價值？

二、安全建設，必須統一規劃，咨詢先行

網絡安全建設，通常的做法是先進行系統性的、整體的網絡安全體系規劃設計，之后按照規劃設計的路線圖分步進行實施，對于網絡安全，建設一定要堅持技術與管理并重、并秉承持續運營的安全理念。

參考ISO27001、等級保護2.0三級要求、并結合業界最佳安全實踐，網絡安全體系建設框架一般包括：安全管理體系、安全組織體系、安全技術體系、和安全運營體系四個方面，具體內容。

很多企業，在網絡建設初期，由于沒有做好系統性的整體的安全規劃設計，導致后期安全建設比較混亂，頭痛醫頭，腳痛醫腳，最后發現，買了一堆安全產品，錢花了不少，卻還是安全問題頻出。

對于這種境況的企業，業界的最佳實踐是先做安全咨詢，通過咨詢，先客觀了解當前安全現狀，找出安全薄弱點，并根據咨詢結果下一步有針對性的進行系統性的安全規劃設計，簡單來說，咨詢工作是安全規劃成功的基礎和前提。

三、安全咨詢應該如何做，如何選擇適合自己的安全咨詢服務商？

目前，國內市場上做安全咨詢的公司主要有三類：

• 傳統安全設備廠家：

安全咨詢是副業，咨詢側重產品層面，后期規劃實施時一般會推銷自己的安全產品，咨詢結果的中立性不足。

• 咨詢公司：

知名度高，咨詢費用較高，安全咨詢主要側重管理層面，經常發生規劃方案技術上難以落地的情況。

• 中立安全服務商：

安全實戰經驗豐富，熟悉常見安全產品，咨詢結果相對中立，咨詢方案能夠落地。

對于傳統企業來說，選擇中立安全服務商做安全咨詢，然后分階段分步驟進行安全建設是比較穩健的方案。

新鈦云服就是中立安全服務商，新鈦云服的安全咨詢的方法和過程如下：

1、 安全咨詢工作的思路和價值

安全咨詢，主要通過技術、管理兩方面來進行實施。技術方面采用的方式：現有安全措施溝通、配置核查、滲透測試、漏洞掃描等；管理方面采用的方式：用戶訪談、文檔分析、記錄調閱等。

安全咨詢的主要價值：

• 評估安全管理制度的完備性、適用性
• 評估安全操作的規范性、遵從性
• 評估安全措施的合理性、有效性
• 發現企業安全防御工作的短板
•  為安全加固和安全規劃提供依據

2、安全咨詢工作的重點

• 安全運維的制度流程、運維操作的安全管控、特權賬號和權限的管理
• 數據備份的制度流程、數據備份的日常操作、備份數據的驗證和保護
•  應用系統的安全管控
• 數據全生命周期安全管控

3、安全咨詢依據的主要標準規范

• 《GB/T 22080-2016 信息安全技術 信息安全管理體系要求》
• 《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》
• 《GB/T 20984-2007 信息安全技術 信息安全風險評估規范》
• ISO/IEC 27001/27002/27005
• 《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》
• 《GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南》
• 《GB/T 35273-2020 信息安全技術 個人信息安全規范》

4、安全咨詢一般流程

5、安全咨詢輸出物

安全咨詢的輸出物一般包括：《項目啟動說明》,《安全現狀調研及相關風險分析報告》,《風險處置建議》,《安全規劃方案》等。