当前位置：首页 > news >正文

企业建设——控制措施类型

news 来源：原创 2025/6/9 8:53:14

0x00 前言

一般我们常见的都是出现问题之后进行的补救措施，但这往往是不够的，我们需要从多个方面进行防护和预防，这涉及到攻击者通常是通过点进行攻击，而防护这需要通过面来进行防护，所以这就导致，防护的成本会特别的高。本篇会介绍一些常见的安全措施的内容。

主要是：

预防性控制措施
检测性控制措施
纠正性控制措施
威慑性控制措施
恢复性控制措施
补偿性控制措施

0x01 控制措施

简单的说，就是在风险发生前，可以做的事情有哪些，这些事情仅作为参考，必须要根据当前公司所在的场景进行调整。

策略和工作程序有效的招聘实践
聘用前的背景调查(Background Check)
受控的解聘流程
数据分类分级和标签
安全意识宣贯(Security Awareness)
预防性技术控制措施
口令、生物识别技术和智能卡
加密技术、安全协议、回拨系统、数据库视图(View)和受限用户界面防恶意代码软件、访问控制列表、防火墙和入侵防御系统

具体例子

一、策略和工作程序有效的招聘实践

明确岗位需求与胜任力模型构建
- 一家科技公司招聘软件工程师。他们首先与技术部门主管和资深软件工程师合作，确定该岗位需要具备的技能（如熟练掌握 Java、Python 等编程语言）、工作经验（至少 3 年相关项目经验）以及软技能（良好的团队协作能力和问题解决能力）。然后，根据这些要求构建胜任力模型，用于指导招聘过程中的简历筛选、面试环节设计等。
多渠道招聘与雇主品牌建设
- 一家大型金融机构为了招聘优秀的金融分析师。一方面，他们在专业的招聘网站（如 LinkedIn、智联招聘等）发布详细的职位描述，突出公司的优势（如行业领先地位、良好的职业发展路径等）。另一方面，他们积极参与校园招聘，在知名财经院校举办宣讲会，展示公司的企业文化和成功案例，吸引优秀应届毕业生。同时，公司还通过社交媒体平台（如微信公众号、微博）分享员工的工作体验和职业成长故事，提升雇主品牌形象，吸引更多潜在候选人。
结构化面试与评估中心
- 一家制造企业在招聘生产主管时，采用结构化面试。面试官会提前准备好一系列标准化的问题，如 “请举例说明你是如何解决生产过程中出现的质量问题的？”“你如何领导和激励你的生产团队？” 等。这些问题都与岗位的关键职责和能力要求相关。同时，企业还设立了评估中心，通过小组讨论、案例分析、角色扮演等多种方式，全面评估候选人的管理能力、沟通能力、决策能力等综合素质。

二、聘用前的背景调查（Background Check）

教育背景核实
- 一家互联网公司在招聘高级产品经理岗位时，对候选人声称的学历进行核实。他们通过联系候选人毕业院校的教务部门或学信网等官方渠道，确认候选人是否获得了其所声称的学位（如硕士学位），以及毕业院校是否真实存在，专业是否与岗位要求相符等信息。
工作经历调查
- 一家金融机构在招聘客户经理时，对候选人提供的工作经历进行调查。他们联系候选人之前工作的公司，核实其任职时间、职位名称、工作职责以及离职原因等信息。例如，如果候选人声称在前一家公司担任高级客户经理，负责重要客户的维护和业务拓展，并取得了良好的业绩，公司会向其前雇主确认这些情况是否属实。
犯罪记录查询
- 一家学校在招聘教师时，为了保障学生安全，会对候选人进行犯罪记录查询。他们会通过当地公安机关或相关权威机构，查询候选人是否有违法犯罪记录，如涉及性犯罪、暴力犯罪等。如果发现候选人有相关犯罪记录，学校将不会聘用该候选人。

三、受控的解聘流程

绩效改进计划与沟通
- 一家销售公司在发现某销售员工连续两个季度业绩不达标后，没有立即解聘该员工。而是首先与员工进行沟通，了解其业绩不佳的原因（如市场变化、个人能力不足等）。然后，为员工制定绩效改进计划，明确在接下来的一个季度内需要达到的销售目标和改进措施（如参加销售技巧培训、调整销售策略等）。如果员工在绩效改进计划期满后仍无法达到要求，公司才会考虑解聘。
法律合规与手续办理
- 一家制造企业在解聘一名因违反安全操作规程而导致重大事故的员工时，严格遵循法律程序。公司首先收集充分的证据（如事故报告、现场监控录像等），证明员工的违规行为。然后，向员工发送正式的解聘通知，通知中详细说明了解聘的原因、依据（如劳动合同中的相关条款、公司安全规章制度等）以及员工享有的权益（如经济补偿、失业保险等）。同时，公司按照法律规定为员工办理离职手续，包括结算工资、转移社保等。
知识与工作交接
- 一家软件公司在解聘一名资深程序员时，注重知识和工作的交接。公司安排该程序员与接手其工作的同事进行详细的交接，包括正在开发的项目进度、代码结构、技术文档等内容。程序员需要向新同事介绍项目的重点和难点，确保新同事能够顺利接手工作，避免因人员离职对项目的进度和质量产生负面影响。

四、数据分类分级和标签

金融行业数据分类分级
- 一家银行将客户数据分为不同类别和级别。例如，客户基本信息（如姓名、身份证号、联系方式等）被归为一级数据，这些数据对于客户身份识别和基本服务提供至关重要。客户账户余额、交易记录等财务数据被归为二级数据，这些数据涉及客户的财务状况和交易行为。而对于高净值客户的投资偏好、资产配置方案等敏感数据则被归为三级数据，这些数据需要更高的安全保护级别。银行会根据数据的类别和级别，采取不同的安全措施，如加密存储、访问控制等。
电商行业数据分类分级
- 一家电商公司将商品数据分为不同类别。商品基本信息（如名称、品牌、规格等）属于公开数据类别，这些数据可以在商品页面上展示给所有用户。用户订单数据（包括购买商品信息、收货地址、支付方式等）被归为内部数据类别，只有经过授权的客服人员和物流人员可以访问。而用户的支付密码、信用卡信息等敏感数据则被归为高度机密数据类别，只有极少数安全管理人员在特定情况下才能访问，并且这些数据会进行严格的加密处理和多重身份验证。
医疗行业数据分类分级
- 一家医院将患者数据进行分类分级。患者的基本信息（如姓名、年龄、性别等）属于一般数据类别，用于患者身份识别和基本医疗记录。患者的病历数据（包括诊断结果、治疗方案、检查报告等）属于重要数据类别，这些数据对于患者的医疗治疗和医疗质量评估非常重要。而对于患者的基因检测数据、传染病相关信息等高度敏感数据则被归为关键数据类别，这些数据需要严格保密，只有经过授权的医护人员在特定的医疗场景下才能访问。

五、安全意识宣贯（Security Awareness）

企业内部安全培训活动
- 一家科技公司定期组织安全培训课程。每个月都会邀请安全专家为员工讲解网络安全知识，如如何识别和防范网络钓鱼邮件。培训中会通过实际案例展示网络钓鱼邮件的特征（如发件人地址可疑、邮件内容包含紧急要求或诱导性链接等），并教授员工正确的应对方法（如不点击可疑链接、不回复陌生邮件等）。同时，公司还会开展模拟网络攻击演练，让员工在实践中提高安全意识。
安全宣传海报与标语
- 一家金融机构在办公区域张贴安全宣传海报和标语。在电梯间、走廊等显眼位置，海报内容包括数据安全的重要性、密码保护技巧（如设置复杂密码、定期更换密码等）、办公设备安全使用规范（如下班后关闭电脑、妥善保管移动存储设备等）。这些海报和标语时刻提醒员工注意安全，营造了良好的安全文化氛围。
安全意识竞赛与奖励机制
- 一家制造企业为了提高员工的安全意识，举办了安全意识竞赛。竞赛内容包括安全知识问答、安全风险识别场景模拟等。员工以部门为单位参加竞赛，获胜的部门会获得丰厚的奖励，如团队旅游、奖金等。这种竞赛和奖励机制激发了员工学习安全知识的积极性，有效提升了员工的安全意识。

六、预防性技术控制措施

网络访问控制
- 一家互联网公司在其网络边界部署了防火墙和入侵防御系统（IPS）。防火墙根据预设的安全策略，只允许授权的用户和设备访问公司的内部网络。例如，只有公司内部员工的办公电脑在通过身份验证后才能访问公司的文件服务器和数据库。而 IPS 则实时监测网络流量，一旦发现异常流量（如来自外部的恶意扫描、攻击行为等），会立即采取措施进行阻止，如封锁攻击源 IP 地址，从而防止外部威胁进入公司网络。
数据加密存储
- 一家金融机构对客户的敏感数据（如账户密码、交易记录等）进行加密存储。当这些数据存储在数据库中时，采用高级加密标准（AES）等加密算法对数据进行加密。只有在用户进行合法的登录或交易操作，并通过身份验证后，系统才会使用解密密钥对数据进行解密，提供给用户查看或使用。这样即使数据库存储的数据被非法获取，攻击者也无法直接获取明文的敏感信息。
软件更新与漏洞管理
- 一家软件公司建立了严格的软件更新和漏洞管理流程。公司会定期检查其软件产品是否存在安全漏洞，一旦发现漏洞，会立即组织开发团队进行修复，并及时发布软件更新。同时，公司会通过各种渠道（如官方网站、用户邮件通知等）提醒用户及时更新软件。对于一些关键的软件漏洞，公司还会提供临时的安全补丁，以防止用户在等待软件更新期间受到安全威胁。

七、口令、生物识别技术和智能卡

口令技术应用
- 一家企业要求员工设置复杂的登录口令。口令必须包含大小写字母、数字和特殊字符，并且长度不得少于 8 位。例如，员工的登录口令可能是 “Aa123@bc”。同时，公司规定员工每三个月必须更换一次口令，以防止口令被长期破解的风险。在员工登录公司内部系统（如办公自动化系统、财务系统等）时，需要输入正确的口令才能进入系统。
生物识别技术应用
- 一家金融机构在部分高端业务场景中采用指纹识别技术。例如，客户在进行大额资金转账操作时，除了需要输入账户密码外，还需要通过指纹识别设备进行身份验证。银行将客户的指纹信息存储在安全的数据库中，并与客户的账户信息进行绑定。只有当指纹识别成功且账户密码正确时，资金转账操作才能完成，这种生物识别技术大大提高了交易的安全性。
智能卡技术应用
- 一家政府部门为员工发放智能卡作为身份凭证。员工的智能卡中存储了其身份信息、权限信息等。当员工进入办公大楼时，需要将智能卡插入门禁读卡器中，读卡器读取智能卡中的信息，验证员工的身份和权限后，才会打开门禁。同时，在访问一些内部敏感系统时，员工也需要使用智能卡进行身份认证，智能卡与系统中的身份验证服务器进行通信，确保只有合法的员工才能访问系统。

八、加密技术、安全协议、回拨系统、数据库视图（View）和受限用户界面

加密技术应用
- 一家电商公司在用户与服务器之间传输数据时采用 SSL/TLS 加密技术。当用户在网站上进行购物操作，如浏览商品、下单、支付等，用户的浏览器和电商公司的服务器之间会建立一个加密的通信通道。所有的数据（如用户信息、商品信息、支付信息等）在这个通道中传输时都会被加密，即使数据在传输过程中被截获，攻击者也无法获取明文信息。例如，用户在支付页面输入的信用卡信息会被加密后发送到服务器，服务器解密后进行支付处理。
安全协议应用
- 一家金融机构在与合作伙伴进行数据交换时采用安全文件传输协议（SFTP）。SFTP 协议基于 SSH 协议，提供了安全的文件传输通道。金融机构和合作伙伴在进行数据交换（如客户信息共享、交易数据同步等）时，通过 SFTP 服务器进行文件的上传和下载。在这个过程中，数据会被加密传输，并且双方的身份也会通过 SSH 密钥进行验证，确保数据的安全性和完整性。
回拨系统应用
- 一家金融机构在用户进行远程银行操作（如电话银行转账）时采用回拨系统。当用户拨打银行的客服电话并请求进行转账操作时，银行系统会先挂断用户的电话，然后主动回拨用户预先登记的手机号码。在回拨过程中，系统会再次验证用户的身份（如通过密码、语音识别等），然后才能进行转账操作。这种回拨系统可以防止中间人攻击，确保用户是在安全的通信环境下进行操作。
数据库视图（View）应用
- 一家企业为了保护数据库中的敏感数据，使用数据库视图。例如，在员工信息数据库中，有一个包含员工工资等敏感信息的表。为了限制普通员工访问这些敏感信息，数据库管理员创建了一个视图，该视图只显示员工的基本信息（如姓名、部门、职位等），而不包含工资信息。当普通员工查询员工信息时，只能通过这个视图获取数据，从而实现了对敏感数据的保护。
受限用户界面应用
- 一家软件公司在其软件产品中为不同权限的用户提供了受限用户界面。例如，在一款企业资源规划（ERP）软件中，普通员工只能看到与自己工作相关的功能模块（如考勤管理、任务分配等），而财务人员可以看到财务报表、成本核算等功能模块。管理员可以通过后台设置用户的权限，根据用户的权限级别动态显示相应的用户界面，防止用户访问未经授权的功能和数据。

九、防恶意代码软件、访问控制列表、防火墙和入侵防御系统

防恶意代码软件应用
- 一家企业安装了专业的防病毒软件和反恶意代码软件。这些软件会实时监控计算机系统中的文件和进程。例如，当用户从互联网下载一个可疑的软件安装包时，防病毒软件会对其进行扫描，检测是否包含病毒、木马等恶意代码。如果发现恶意代码，软件会立即阻止安装过程，并提示用户进行处理（如删除文件、隔离文件等）。同时，这些软件还会定期更新病毒库和恶意代码特征库，以应对不断出现的新威胁。
访问控制列表（ACL）应用
- 一家金融机构在其网络设备（如交换机、路由器）上配置访问控制列表。例如，在公司的财务部门网络中，ACL 被设置为只允许财务部门的 IP 地址范围内的设备访问财务服务器。其他部门的设备即使在同一网络中，也无法访问财务服务器。ACL 可以根据源 IP 地址、目的 IP 地址、端口号等多种条件进行设置，从而精确控制网络访问权限，防止未经授权的访问。
防火墙应用
- 一家互联网公司在其数据中心的网络边界部署了防火墙。防火墙根据预设的安全策略，对进出数据中心的网络流量进行过滤。例如，防火墙只允许来自特定 IP 地址范围（如公司内部办公网络、合作伙伴网络等）的合法流量进入数据中心，而阻止来自其他未知或恶意 IP 地址的流量。同时，防火墙还可以根据应用层协议（如 HTTP、FTP 等）进行控制，只允许特定的业务流量通过，如只允许公司的网站服务器接收 HTTP 请求，而阻止其他非授权的协议流量。
入侵防御系统（IPS）应用
- 一家电商公司在其网络中部署了入侵防御系统。IPS 会实时监测网络流量，通过分析流量的行为特征、签名等来检测潜在的入侵行为。例如，当检测到有大量来自同一 IP 地址的异常登录请求（如短时间内多次尝试使用不同的密码登录同一账户），IPS 会判断这可能是一次暴力破解攻击。然后，IPS 会自动采取措施，如暂时封锁该 IP 地址的访问权限，同时向安全管理人员发送警报，以便及时采取进一步的应对措施。