安全窘境：大厂ICT解决方案安全环节依然缺失

最近看了几个集成项目的安全方案，均是按照等保的要求做了二级、三级的定级，并采购部署了系统级的安全措施，一般而言，防火墙、入侵检测、安全域划分，再配备上互联网出口抗DDOOS、WAF，内部做好防病毒、主机加固、数据库网关/防火墙/审计，再做好4A，好像就万事大吉了。

从体系的角度来看，未做风险评估的定级和不分青红皂白的仅做了预防措施和点的防范，没有从业务延续性的角度做风险评估并针对性的从预防、检测、监测、预警、应急、恢复、反击的角度全面思考，可见安全解决方案环节的思考依然缺失业务运营思维和系统性。

具体到一个大厂的方案而言，安全部分按照等保三级做了网络与系统的安全预防、检测措施，数据主要集中在数据库的安全网关和安全审计，身份通过4A系统实现身份和权限管理。做到了信息安全体系核心的数据、身份、网络、系统的预防、检测、审计。

缺失的部分来看，对应用的安全关注不够，应用系统开发过程安全管理关注不足，对应用接口、协议中的信息机密性、完整性、可用性关注不足，对三层结构包括物联网和业务系统实体身份认证和校验关注不足，业务系统风险较高。

关注集成建设方案，对系统的安全运营与运维关注不足，安全设备和网络主机系统设备的日志统一的采集分析处理，关联分析预警和态势感知没有关注，不能及时对安全风险进行告警，未考虑应急服务的处置和故障的追溯与恢复。

整个安全体系上来看，基于原有的等保体系架构，缺乏业务延续性（BCP）的风险治理大局观，说实话，做安全方案的人水平还是值得商榷的。