小公司如何实施信息安全防护?

小公司意味着低成本。
首先是代码安全,如何防止代码泄漏?聊聊你们公司是什么做的呢
举个反例: http://210.76.0.104/explore/projects

相关文章

21 thoughts on “小公司如何实施信息安全防护?

  1. 公网不暴露任何系统或者加 IP 白名单, wire guard 接入内网, 内网 dns 解析访问各个服务。

  2. 公网 IP 不对外开放端口(除了 22), 所有的操作都应该通过命令行而不是开放端口然后用可视化软件连接, 公司内网电脑上别装来路不明的软件

  3. 前阵子刚好做了 27001 和等保,和审核老师核对翻了几遍国标,具体 LZ 可以网上看看信息安全认证的国标文档。要注意的事情太多了,建议任何地方都可能是风险。
    小公司的话,只是代码安全的话做好访问控制、行为审计、容灾备份,定期巡检等就行了吧,具体可以考虑上 VPN 、堡垒机装一些网络监控软件等等。

  4. 做好人员权限和账号绑定,人员离职时确保账号同时失效,重要的操作设置短信验证。

    测试与生产环境隔离,公司内部 gitlab 禁止管理员外角色对仓库代码回滚,生产环境部署 /升级 /备份过程尽可能自动化,通过代码合并到指定仓库后触发生产环境的自动化流程,减少人员直接访问服务器。
    能够访问生产服务器和合并代码 review 的人员要可靠,但要有他突然删库跑路的预案,让备份恢复机制能够最大的减少损失。
    入职新员工进行安全培训。(这个很重要)

  5. 远程办公的才难弄。普通的有固定场所的网络入口监控下,pc 强制装杀毒软件。代码泄露不可能封住吧,除非不用外网。

  6. 我来说下大厂会是怎么做的吧
    首先是内网环境,所有内部系统通过域账号登陆,屏蔽非必要出流量,自建的 DNS 解析内部域名
    2 办公电脑安全,根证书,预装杀毒及监控软件,监控 U 盘插入,非法软件安全
    3 代码泄露扫描,通过 github 的 search openAPI 搜索内部关键字,搜到关键字 clone 仓库进一步分析
    4 安全红线培训
    5 组织建设,审计团队,安全生产,合规团队…
    6 流程制度,权限控制,内部审核流程

    这个安全问题个人感觉可能会被办公云桌面彻底解决。除了脑子用笔记下来

  7. 杀毒软件还是很有必要的,互联网电脑要保证日常升级,双十一促销的时候可以批发一些。
    弄半吊子的“堡垒机”,很多操作 VNC 操作这个堡垒机,在远程操作内部服务器。
    数据库做好专网隔离,弄个入门的防火墙做好访问控制
    公共 wifi 与内部 wifi 物理隔离。如果没有条件,也要做三层隔离。内网 wifi 做好访问控制

  8. 我们行业开发都在总部,主要需要保护的是用户信息和内部防黑防毒,所以安全性上要求并不是特别高,不同行业可能有所不同

发表评论

电子邮件地址不会被公开。 必填项已用*标注