在互联网行业挣扎了几年，碰见了许多行业的客户，但发现其实很多人都会购买网络安全设备，WAF之类，但其实他们对这些设备起到的作用并不了解，仿佛只是因为别人买了这些，于是自己也要买上一套。

经常听到老大调侃，之前遇到了一个客户是卖菜的，但是网安要求他需要做等保，于是卖菜的懵圈了，听到这个事情的人也懵圈了，一个卖菜的需要做啥等保？
其实如果这个卖菜的业务只是做线下的业务，那么信息安全等级保护工作肯定和他挨不上边，但是这位商家已经把业务扩展到了线上，到了线上就涉及到了用户基础信息、支付等隐私安全问题，这些安全问题小到会对店家信息安全造成威胁，大到会对社会公共安全造成威胁。所以网安部才会要求开展等保工作。

这样一看，连个卖菜的小贩用上互联网后都需要做好安全工作，更不用说企业了。那要如何做好企业安全呢？我们要找寻方法和套路，有效的针对问题，解决问题。

一、确定目标：
实现业务的安全可视、可控和可管，并最大化保证业务的效率。

二、发现问题
每个企业在安全问题上都会存在合规问题、源自企业内外部的威胁和业务系统本身的脆弱性，这些问题都是需要我们去重视的。
合规问题：对与企业业务的相关合规和法律不了解或者了解不全面；
技术层面：源自于虚拟设备、物理设备的安全问题；
管理层面：企业员工对于网络安全意识的缺乏，企业对于安全相关的标准化的管理制度、流程规范等的缺乏。

三、规划方案：
1、合规监管
国家法律、法规，行业监管要求、规范，国际法律、法规、规范；
2、技术
资产安全：主机安全、Web安全、Doker安全、网络设备安全、安全设备安全、终端安全、数据库安全、应用安全、物理安全
数据安全：数据产生和采集、数据存储、数据访问和应用、数据传输、数据备份、数据销毁
第三方检测：威胁情报、***测试、风险评估、监管检测、安全认证（iOS27001、等保等）

安全建设规划

阶段一：安全建设初期
外部威胁防御需要高于内部威胁防御（这是当然的），首先应对外部安全威胁，给网站部署WAF进行防御，如果是非运营性网，可以部署软WAF，如常见的ShareWAF、ModSecurity等。


阶段二：安全建设中期
对外部威胁防御进行补充完善，重点对内部安全和数据安全进行防御，主要是防内鬼。


第三阶段：安全运营期，重在维护，安全意识不可松懈。网络安全从来都是防患于未然的事。


总结：
企业的安全建设工作可以根据本身的业务需求对流程进行灵活调整，安全问题不是一次性能解决的问题，需要将良好的安全意识贯彻到每一天的工作中。安全问题做到最后会发现还是归根于是人的问题，安全意识的提升才是提升公司整体安全水平的最佳手段。