3.6 套路搭建后需立项要钱要人

3.6.1 看宏观威胁

通过云上安全建设标准以及运维安全基线、设计安全要点后，就需要写计划，立项目，才能要钱要人。

写计划，就按照战略规划的套路来。

根据云安全联盟发布的云计算威胁报告，安全风险集中在以下几个方面：

●数据泄露；

●网络攻击；

●安全漏洞；

●账户劫持等方面；

●特别是物联网的风险逐步新兴。

3.6.2 看云端业务

对所有的云服务进行统计：

内部网站，测试网站，有 150 个以上，占据了 60%以上的网站数量，这里面可能还有大量的僵尸云端，而比较重要的平台或网站，支持业务的系统，大概有几十个，占了 20%以上，这是比较重要的云端。关键的平台大约就只有二十个，份额占据 10%左右，这是业务和数据的核心平台。金融类的平台只有几个，主要集中在金融、资金管理、外汇管理、招商管理等方面。

3.6.3 看现有风险

收集云端遇到的安全问题，对风险进行评估，有利于采用分级安全方案。

可以把风险大概从影响从低到高分为：

●一般数据泄露：比如测试资料、学习资料等。

●数字资产泄露：代码、设计资料等。

●被薅羊毛：比如活动被刷积分、优惠卡等。

●少量用户泄露：员工信息，或少于 1K的用户的信息等。

●影响业务但不影响品牌：比如视频投放、升级。

●品牌影响：比如导致终端出现质量问题，如多屏互动用不了，相册用不了等。

●重要数据泄露：比如泄露出厂价、物流信息等。

●大量信息泄露：超过 1K的用户信息。

●终端产品被控：比如远程批量开锁，批量启动空调，这已经是公众安全了。

●财产信息损失：金融门户里面的数额被转移等。

为了图示不会太混乱，假如出现高一级的风险影响，就不画出低风险的影响。这些风险看起来比宏观出现的数据泄露、网络攻击、安全漏洞、账户劫持大。

3.6.4 分类定级别

通过对业务进行分类，对风险进行评估，就可以对业务的安全进行定级。

●不关注

大量的测试云端基本是不需要安全，位于内网，天生具有内网防火墙，可以进行基线的一些安全设置，平时是不需要关注安全的，被动处理安全问题甚至可以放慢处理。

●对内级

一般的内部网站，比如OA、文档管理、考勤管理等，是可以通过VPN、堡垒机可以访问到的云服务，使用一级的安全方案，只需要要求关口防护，具有基本的主动防御机制。

●对外级

比如广告系统、品牌网站、相册平台等，有互联网的公网IP的网站，使用二级的安全方案，就需要对关口加强管控，保护重点的数据，具有一般的主动防御机制。

●核心级

大数据、物联网、智能化、账户中心这些平台都是现代企业的核心网站，不仅有公网IP，还时常受到关注，使用三级的安全方案，需要进行全面的保护。

●金融级

假如有金融服务，就需要更高的保护措施。

3.6.5 看资源投入

可以统计各个级别到底需要投入的人力和费用（费用估算只是示例不代表实际情况）。

●不关注

只需要配置一下文件就行，提前进行安全培训，开启新平台的时候进行一次配置就行，

也需要定期清理僵尸云端。虽开启日记，但不做巡检的，有问题的时候去看一下就行，

人力投入极少、不需要工具费用。

●对内级

需要部署防火墙、VPN、堡垒机，这些可以使用开源但需要消耗人力，商用的也不贵，几万块就可以搞定。需要少量的定期巡检，人力投入少，需要少量工具费用，假如有 50 个，那么费用大概 250W，考虑到工具复用等情况，应该 150W可以搞定。

●对外级

增加日记审计、漏洞扫描等功能，日记需要人力定时去查看，漏洞需要去分析修复管理，人力需求较大，费用来到了 10W左右。假如有 30 个平台，费用接近 300W，考虑到复用情况，应该 200W可以搞定。

●核心级

这已经是等保三级优秀级别的要求了，需要增加杀毒、数据审计、临时DDOS、KMS可信加密等服务，人力投入会比较高，主要体现在定时的巡检、漏洞的分析修复管理、数据的审计、设计审计等方面，费用来到了 20 多W以上。假如有 15 个平台，那么费用是 300W左右，考虑到复用情况，应该 200W可以搞定。

●金融级

需要增加态势感知、全面的DDOS、数据安全中心等，费用来到了 50W左右。假如是 5个，那么费用是 250W左右，复用的平台数少了，应该需要 200W，安全总投入为 750W。

3.6.6 抓重点建设

有太多的平台需要安全治理，所有平台一起治理，不止人力跟部署不上，一次性投入也会很高（750W）（费用估算只是示例不代表实际情况），所以需要从中选择几个作为典型优先处理。

选择账号中心、物联网云、人工智能云、大数据中心云作为治理的重点，理由如下：

●账号平台一般对一个公司的所有用户进行管理，这是现代公司的核心资产，包括用户管理、第三方登录（微信登录）、对外授权（别的云来使用）、用户运营等功能；

●物联网平台是设备管控核心，一般管控着几千万上亿台设备的状态、业务、信息、使用场景等；

●智能化平台是现代化的核心，包括情景分析、话术分析、运营分析、语音管理、其他传感数据管控等；

●大数据中心平台是提供给所有业务的数据处理、存储中心，视频、埋点数据、用户语音数据、业务数据等都会在这里管控与分析；

这几个平台数据量都比较大。

3.6.7 长短期计划

需要制定一个长期和短期的计划。

●第一期：已经基本完成

制定内部安全建设标准；

制定内部安全运维基线；

制定云端应用设计标准；

提炼云平台设计要点；

以上进行发布和培训。

●第二期：抓重点，本次计划

对重点平台进行核心级的安全建设，选择两三个进行等保认证来检验安全建设效果，其他重点平台也进行全方位的评估。

●第三期：防黑产

对接产业，寻找黑产手段；

对薅羊毛，包括活动奖励、会员费等做防范；

对盗链在线影视链接做防盗链机制；

增加对核心级平台进行等保认证或相当于核心级安全建设。

●远期：进入云端安全数字化建设

数字化中心；

数据数字化；

资产数字化；

威胁数字化；

产业数字化；

对所有平台按照套路标准进行安全建设。

3.6.8 评测来验收

根据上面的计划进行安全建设后，需要进行验收以检测安全情况落地的情况，而最好的验收就是进行等保认证：见下节。 pvo8VZGrSvSWlfspq1dy1NWNHRcWFhDnDw5ljS+3SWRAdVytK17uhrvr6MK2n3Yc