企业安全建设，五分管理，五分技术。

企业安全建设说起来容易，但落地难度其实非常大。

国内应该没有几家大厂，是能够完全做到的。

要想落地好前提首先必须得有钱投入。

按行业区分，对安全建设要求比较高的行业有金融行业，互联网行业。

这两个行业一个是有钱，一个是有技术，而且数据都非常重要，直接影响组织生死存亡。

安全投入和组织要保护的资产价值有密切关系。

举个例子，比如家里没有稀有物品，黄金珠宝，古董等贵重物品，老板会花几百万去买一个保险箱吗？

企业安全建设必须是建立在人、技术、流程完备的情况下，持续运营才会卓有成效。所以企业安全建设的成熟度取决于公司的人，技术，流程互相配合，持续运营。

为什么要持续运营？

因为组织的对手是高级持续性威胁！

攻击方持续进行入侵渗透。

防守方也要持续进行安全运营，确保业务不中断，数据不被窃取或被勒索加密。

攻击入侵无外乎是漏洞，凭证，社工，水坑。

对应防守则是技术，流程，人。

最防不胜防是人性的弱点。

这次侧重谈谈安全技术相关。

企业安全建设初期（1-3人，一年）。

1，收缩暴露面排查组织已有资产

2，排查资产脆弱性

3，影子资产排查，网络拓扑梳理

4，网络层面安全加固，主机层面安全加固。

5，找乙方安全公司协助，补充完整安全设备，WAF，NIPS/NDR，HIDS/EDR/AV，SOC，零信任，邮件安全网关，数据库安全审计。

6，做一些简单的SDL，源码审计，渗透测试。

7，技术和流程，安全制度，安全运营团队等基本建立。

企业安全建设中期（3-8人，两年）。

1，释放部分压力，对公司常见的安全事件做到尽在掌握之中，优化设备安全策略，适配业务，做到不误判，精准生成安全事件工单，并推动闭环。常见的安全事件无非是一些后门木马连接，勒索挖矿病毒，网页篡改，webshell，ddos攻击，暴力破解，永恒之蓝，驱动人生挖矿等等。

2，按照目前安全圈的文章来看，经常是威胁情报产生一个安全事件，但缺乏上下文，很难分析研判。一般流程是找到运维同事拿到账号密码登录对应的主机服务器进行进程、文件、网络连接等关键位置排查。排查之后还要给出资产影响范围，入侵的源头，追溯主机责任人责任，给出一份应急处置报告，推动安全工作。趁机会给公司发文通知，让老板感知到安全部门的存在价值。

3，人员意识的培训，时不时模拟公司员工钓鱼，制定一些奖惩制度，最好能给出技术的解决方案。毕竟人比较难把控，落地效果有限。

企业安全建设后期(8人以上，三年)。

1，组织内没有中低级安全威胁。

2，人员管控严格，设备上网管控严格，非不要不连接互联网，使用虚拟机打开文档类软件，办公电脑默认Linux系统。

3，安全流程，安全制度完善

4，定期红蓝对抗，源码审计，渗透测试

5，量化安全运营指标，月报，季报，年报

6，内鬼敏感数据窃取行为监控

7，保证组织十年内没有重大安全事故

8，开发自动化运营平台，安全运营能力输出

9，引入SDL流程，提高0day挖掘门槛

对于不想费时费力建设安全运营团队的企业，也有解决方案，购买乙方安全公司的云端安全运营服务（MSS），低投入高回报，确保业务连续性不受影响。

最后，三言两语，难于说尽，看官若是感兴趣，建议读一读《企业安全建设指南》。