近年来,由于数据泄露、勒索软件攻击以及网络攻击带来的严峻挑战,使企业管理层不断提升对网络安全的重视度,逐步建立起严密的安全防护网。朗新各部门及员工闻令而动,聚识聚力,共同推动各项安全工作持续向前,树立了许多先进的榜样,做出了很多瞩目的贡献。
测试交付中心团队自2022年成立以来,作为新起之秀不甘落后,联合公司安全管理部「搞事情」,火力全开推出「网安筑墙」三步曲,旨在助力朗新同学们在网络安全意识和防护技能层面再「跳一跳」、「拔一拔」。
「网安筑墙」一步曲
安全宣贯与安全问答有机结合
加强「人防」不放松
2022年伊始,安全管理部组织各部门安全代表召开安全防控专题会议,回顾、反思、总结过往发生的安全事故和安防经验。
其间,针对近年来的典型案例进行深入分析后发现:在历届安全演习和安全检查工作中,普遍存在内部成员因安全意识不足,被邮件钓鱼、社会工程学等攻击方式利用,导致内部信息泄露的问题,对此测试交付中心给与了高度重视,未雨绸缪,开始着力在「人防」上下功夫。
2月末,部门确立内部安全专员岗位责任制,落实网络安全保护责任,牵头制定并推广支部安全宣贯制度,每月定期组织九大支部成员轮换交替线上公开宣讲,将宣贯培训工作网格化、常态化、碎片化。
--2022年第8场安全宣贯PPT内容概览--
宣贯直播会上,培训讲师们舌灿莲花循循善诱,一次次针对鲜活安全事故抽丝剥茧深度解读,一遍遍强调安全红线严守底线思维,迅速有效地帮助部门小伙伴们把心思聚焦到安全防控工作上来,完成从「要我安全」向「我要安全」的思维转变,在头脑中筑起安全「防火墙」。
此外,宣贯后期追加安全知识问答互动环节,从安全考试题库中随机抽取题库邀请2-3名幸运观众作答,回答优异者酌情给与安全积分奖励,寓教于乐,取得了较好的反响。
「测试交付中心部门今年在内部安全宣贯工作方面表现可圈可点,网格化铺开式宣讲模式实现以点带面的辐射,有奖问答环节的设置增加了安全教育的趣味性,成效不错,值得大家借鉴学习!」上述种种举措,安全管理部在年终工作总结会上作为宣贯优秀范例广而告之,「人防」安全策略成功出圈了!
年关将至,各大支部担任过内部宣传重任的安全小卫士们也陆续收到了来自部门发放的暖心小礼品。
--安全宣贯员礼物合照--
「好cute的机器猫抱枕啊,宣贯礼品太nice了,别拦我,来年安全宣讲我还要报名!」
「爱了爱了,这个萌系粉熊手机支架太击中老夫的少女心,以后看剧可以彻底解放双手了。」
礼轻心意重,合照留念见证了大家在安全建设发展方面的点滴贡献,发挥的每一分光与热都有迹可循,有奖可依。
「网安筑墙」二步曲
安全工具纳新实践学以致用
「技防」守牢安防关
古语有云:工欲善其事,必先利其器。测试交付中心在持续推进网络信息安全建设工作过程中逐渐意识到,除了需要加强「人防」来确保大家安全意识与防护信念一直在线,更要辅以「技防」措施来提高网安防控能力和水平。
2022年7月盛夏,国家级护网行动如期开启,出于高度防范网络安全风险事件考虑,特别是项目设计文档、程序源码、客户信息等敏感内容涉及商业机密尤为关键,测试交付中心对症下药展开行动,当即指派安全专员每月度向各支部项目组收集整理客户关键字和项目特征敏感词汇,然后现学现用开源工具码小六建立自动扫描任务开展定时巡检,相关排查搜索结果同步到系统的可视化界面,再由人工分析排查确认,最终锁定项目及人员;
借助「自动+人工」双驱动模式机动性监控下,及时发现并扫除安全隐患达2次;在这个重要时段和敏感节点,成功达成部门安全建设"三无"目标:无安全事故、无安全通报、无安全隐患。
「安全工具不嫌多,技到用时方恨少,大家学起来,练起来,争做安全一把手。」
工作之余,测试交付中心自上而下督促全员日常工作之余自主学习多款轻量级、延展性强的安全工具使用方法并予以实践,包括:主机网络扫描侧工具Namp、静态源码扫描侧工具Fortify、SQL注入漏洞检测工具Sqlmap等,持续丰富安全防御「武器库」,以「技防」为抓手稳步推进安全建设。
是什么让安全管理部为测试交付团队疯狂打call?不用猜不用想,自然是我们推陈出新、行之有效的安全「技防」手段!
码小六敏感词汇扫描任务页面&
OWASP ZAP站点扫描流量监控页面
「网安筑墙」三步曲
安全考评树新规
「法防」承诺重千金
正所谓,没有制度,不成方圆。无论是在任何时候,规约制度对于企业的长远发展都起到了至关重要的作用,为此,测试交付中心内部下半年开始策划在「法防」上攒劲发力。
8月底,部门经理动员安全专员率先带头编写个人安全承诺书模板,普及给全体成员签字盖戳,确保防控责任落实到个人;继而趁热打铁追加制定部门安全考评制度,全员考核安全绩效,纳入评优硬指标,奖罚分明。
后经钉钉群内发布的关于安全考评制度满意度调查结果显示:80余名参与问卷打分的同学中,给出五星好评的超过了八成,其中考评制度中热度最高、点赞最多的一条便是:
对于主动请缨担任月度安全宣贯讲师、安全问答互动参与度高、安全技术有创新的员工等行为给与一定绩点激励;
而对于安全违规,躲避飞检审查,安装违规软件,拒不配合安全工作开展的人,直接取消当年的评优。
该套考评制度在部门内部一经出台,关注度居高不下,防控有术,监督有道,有章可循,促使大家管好自己的「安全责任区」,种好自己的「安全责任田」。
总而言之,网络信息安全是1,没有前面的1,公司企业后面做再多还是0。
测试交付中心积极践行「网安筑墙」三步曲,「人防」、「技防」和「法防」三管齐下,让部门小伙伴们在安全防控层面上迅速紧起来、动起来、严起来,从源头治起、从细处抓起、从短板补起,不轻易放过任何一个漏洞和隐患,确保部门全年无重大安全事故,圆满通过了安全考验,过程中沉淀的宝贵经验也值得其他部门同事复制和践行。
放眼未来,测试交付中心在注重提升团队测试、交付、数据迁移的中台能力同时,对于安全性、可靠性的要求也将提供强有力的保障!
稿件来源 | 测试交付中心王重祁同学
.End.
