中小企业网络安全刻不容缓，应该怎样来防守

　　关于网络安全的问题，已经不是一个企业能避免的问题了。信息泄露，系统漏洞，黑客攻击等，面对各种网络威胁，企业应该建立一个自己的安全体系，那么该如何实现呢？

　　小编觉得企业应该从一下三个维度进行不断提升自己的安全防御能力。

　　1. 基础安全方面

　　对于基础安全我们可以从四个方面做。

　　(1) 数据安全体系：数据集中化、访问权限管理、数据防泄漏(DLP、USB控制)、敏感信息泄露(GIthub scan)、数据备份、数据安全审计、内部文件加水印等，做到数据的安全监控，从让攻击者进不来、拿不走、看不懂、能溯源方面制定不同安全策略。

　　(2) 安全技术体系：办公内网(网络隔离、补丁管理、文件共享管理、上网行为管理AC、多层防火墙部署方式以及ACL策略制定、终端防病毒软件防护、防病毒网关、防钓鱼邮件解决方案基于恶意链接和可执行程序特征、WIFI接入点以及强度覆盖安全)、主机安全(堡垒机、主机漏扫、web漏扫、HIDS、ids基于全流量检测产品、高交互蜜罐、虚拟专用网、基线不同应用、系统标准制定、中间件安全加固、补丁升级测试主机、主机定时备份、內部DNS建立、埋点目录监控、webshell监控体系建立)、身份认证、日志管理可视化分析展示、安全审计。

　　(3)安全管理体系：管理制度(针对不同部门制定不同安全制度)、施行责任制、合规、安全意识培训(很重要)、安全开发SDL( 在代码开发前进行全程跟踪,从开发前的不同部门个人的安全培训到上线前的静态审计、动态测试、黑盒测试、最后进行安全部署上线)、安全运营(资产巡检、安全产品日产运维、防泄漏监控githubScan、安全事件分析研判、0day规则制定)、第三方产品安全监控

　　(4)应急响应体系：不同安全事件响应、BCP团队建立、灾难恢复计划。

　　2. 安全体系

　　GDPR数据保护条例(数据客体义务)、ISO27000、等保

　　3. 业务安全

　　反诈骗监控方案(基于手机短信特征监控)、撸羊毛、批量注册

　　攻击方向分析

　　对于攻击方向，最常见的就是通过黑盒测试，因为最近几年HW越来越火，也成为了检验系统是否安全的一种评判标准，我这里大概说说攻击常用的渗透方式，同时作为一名公司的信息安全工程师也应该定期对各业务系统进行模拟hacker进行渗透测试。

　　1）. Web安全渗透：框架漏洞、中间件漏洞、文件上传、主机端信息泄露、跨站xss、sql注入、web安全基础、劫持攻击、业务逻辑漏洞、代码执行、命令执行、文件包含、解析漏洞、系统服务组件漏洞。

　　2）. 后渗透：权限提升、权限维持、内网漫游、横向渗透、域渗透

　　3）. 代码审计：命令执行、url跳转、任意文件上传、目录穿越、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代码审计环境、软件安全开发、XXE漏洞、SSRF漏洞

　　综上，要让企业系统免受攻击的风险，需要先了解攻击方式。企业要做好防御，要有针对性的防御，掌握攻击方式和常见漏洞以及合规的管理方式，才能更好的做好防御。以上就是关于中小企业建立一个自己的安全体系的建议，仅供参考。