小公司如何实施信息安全防护?

2020-10-09 14:08:51 +08:00
 ahill

小公司意味着低成本。 首先是代码安全,如何防止代码泄漏?聊聊你们公司是什么做的呢 举个反例: http://210.76.0.104/explore/projects

4687 次点击
所在节点    信息安全
25 条回复
zjgsamuel
2020-10-09 14:17:01 +08:00
额 想到了党妹的工作室 刚上线了新的 NAS 被黑掉~
低成本 未必 意味着没有安全意识
bmos
2020-10-09 14:24:17 +08:00
小板凳做好,看看有没有能人回复
beyondsoft
2020-10-09 14:26:41 +08:00
公网不暴露任何系统或者加 IP 白名单, wire guard 接入内网, 内网 dns 解析访问各个服务。
smallpython
2020-10-09 14:26:58 +08:00
公网 IP 不对外开放端口(除了 22), 所有的操作都应该通过命令行而不是开放端口然后用可视化软件连接, 公司内网电脑上别装来路不明的软件
janxin
2020-10-09 14:30:32 +08:00
低成本:买其他人的现成方案服务
ccming
2020-10-09 14:34:17 +08:00
请好律师?
DRcoding
2020-10-09 14:38:57 +08:00
前阵子刚好做了 27001 和等保,和审核老师核对翻了几遍国标,具体 LZ 可以网上看看信息安全认证的国标文档。要注意的事情太多了,建议任何地方都可能是风险。
小公司的话,只是代码安全的话做好访问控制、行为审计、容灾备份,定期巡检等就行了吧,具体可以考虑上 VPN 、堡垒机装一些网络监控软件等等。
clino
2020-10-09 14:43:18 +08:00
帮忙现搜一本书:《企业安全建设入门:基于开源软件打造企业网络安全 (网络空间安全技术丛书) 》
https://www.amazon.cn/dp/B07CCKW2QD
FaXiaoKe
2020-10-09 15:05:28 +08:00
我公司特么连路由器密码都能猜到。

所以你说的安全,大概不存在。
ZXCDFGTYU
2020-10-09 16:45:34 +08:00
日志审计,防火墙都搞上,有特殊业务需求的直接上桌面云全管控起来。
ZXCDFGTYU
2020-10-09 16:46:33 +08:00
安全规则配置好,不要在公网暴露端口,无死角监控覆盖
clf
2020-10-09 16:52:03 +08:00
做好人员权限和账号绑定,人员离职时确保账号同时失效,重要的操作设置短信验证。

测试与生产环境隔离,公司内部 gitlab 禁止管理员外角色对仓库代码回滚,生产环境部署 /升级 /备份过程尽可能自动化,通过代码合并到指定仓库后触发生产环境的自动化流程,减少人员直接访问服务器。
能够访问生产服务器和合并代码 review 的人员要可靠,但要有他突然删库跑路的预案,让备份恢复机制能够最大的减少损失。
入职新员工进行安全培训。(这个很重要)
whorusq
2020-10-09 17:29:24 +08:00
感觉小公司的话,把阿里云里的东西玩儿 6 就可以了
wongskay
2020-10-09 17:31:38 +08:00
DiamondYuan
2020-10-09 17:37:44 +08:00
@smallpython ni k
zarte
2020-10-09 17:44:10 +08:00
远程办公的才难弄。普通的有固定场所的网络入口监控下,pc 强制装杀毒软件。代码泄露不可能封住吧,除非不用外网。
shuimugan
2020-10-09 17:56:04 +08:00
可以看下这本书 《互联网企业安全高级指南》 https://weread.qq.com/web/bookReview/list?bookId=1da32dc05cc79e1da49ea9c
基本上是从企业安全负责人视角带你一步一步建设
zzzain46
2020-10-09 17:58:15 +08:00
找专业的信息安全公司。专业的事交给专业的人。
sweeperssl
2020-10-09 18:15:00 +08:00
同 13L,把阿里云玩溜就行了
ahill
2020-10-10 15:35:33 +08:00
我来说下大厂会是怎么做的吧
首先是内网环境,所有内部系统通过域账号登陆,屏蔽非必要出流量,自建的 DNS 解析内部域名
2 办公电脑安全,根证书,预装杀毒及监控软件,监控 U 盘插入,非法软件安全
3 代码泄露扫描,通过 github 的 search openAPI 搜索内部关键字,搜到关键字 clone 仓库进一步分析
4 安全红线培训
5 组织建设,审计团队,安全生产,合规团队...
6 流程制度,权限控制,内部审核流程

这个安全问题个人感觉可能会被办公云桌面彻底解决。除了脑子用笔记下来

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/713313

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX