小公司如何实施信息安全防护？

資深大佬 : ahill 8

小公司意味着低成本。首先是代码安全，如何防止代码泄漏？聊聊你们公司是什么做的呢举个反例： http://210.76.0.104/explore/projects

大佬有話說 (22)

資深大佬 : zjgsamuel

额想到了党妹的工作室刚上线了新的 NAS 被黑掉~
低成本未必意味着没有安全意识
資深大佬 : bmos

小板凳做好，看看有没有能人回复
資深大佬 : beyondsoft

公网不暴露任何系统或者加 IP 白名单, wire guard 接入内网, 内网 dns 解析访问各个服务。
資深大佬 : smallpython

公网 IP 不对外开放端口(除了 22), 所有的操作都应该通过命令行而不是开放端口然后用可视化软件连接, 公司内网电脑上别装来路不明的软件
資深大佬 : janxin

低成本：买其他人的现成方案服务
資深大佬 : ccming

请好律师？
資深大佬 : DRcoding

前阵子刚好做了 27001 和等保，和审核老师核对翻了几遍国标，具体 LZ 可以网上看看信息安全认证的国标文档。要注意的事情太多了，建议任何地方都可能是风险。
小公司的话，只是代码安全的话做好访问控制、行为审计、容灾备份，定期巡检等就行了吧，具体可以考虑上 VPN 、堡垒机装一些网络监控软件等等。
資深大佬 : clino

帮忙现搜一本书：《企业安全建设入门：基于开源软件打造企业网络安全 (网络空间安全技术丛书) 》
https://www.amazon.cn/dp/B07CCKW2QD
資深大佬 : FaXiaoKe

我公司特么连路由器密码都能猜到。

所以你说的安全，大概不存在。
資深大佬 : ZXCDFGTYU

日志审计，防火墙都搞上，有特殊业务需求的直接上桌面云全管控起来。
資深大佬 : ZXCDFGTYU

安全规则配置好，不要在公网暴露端口，无死角监控覆盖
資深大佬 : lychs1998

做好人员权限和账号绑定，人员离职时确保账号同时失效，重要的操作设置短信验证。

测试与生产环境隔离，公司内部 gitlab 禁止管理员外角色对仓库代码回滚，生产环境部署 /升级 /备份过程尽可能自动化，通过代码合并到指定仓库后触发生产环境的自动化流程，减少人员直接访问服务器。
能够访问生产服务器和合并代码 review 的人员要可靠，但要有他突然删库跑路的预案，让备份恢复机制能够最大的减少损失。
入职新员工进行安全培训。（这个很重要）
資深大佬 : whorusq

感觉小公司的话，把阿里云里的东西玩儿 6 就可以了
資深大佬 : wongskay

https://www.freebuf.com/articles/es/184078.html
資深大佬 : DiamondYuan

@smallpython ni k
資深大佬 : zarte

远程办公的才难弄。普通的有固定场所的网络入口监控下，pc 强制装杀毒软件。代码泄露不可能封住吧，除非不用外网。
資深大佬 : shuimugan

可以看下这本书《互联网企业安全高级指南》 https://weread.qq.com/web/bookReview/list?bookId=1da32dc05cc79e1da49ea9c
基本上是从企业安全负责人视角带你一步一步建设
資深大佬 : zzzain46

找专业的信息安全公司。专业的事交给专业的人。
資深大佬 : sweeperssl

同 13L，把阿里云玩溜就行了
主資深大佬 : ahill

我来说下大厂会是怎么做的吧
首先是内网环境，所有内部系统通过域账号登陆，屏蔽非必要出流量，自建的 DNS 解析内部域名
2 办公电脑安全，根证书，预装杀毒及监控软件，监控 U 盘插入，非法软件安全
3 代码泄露扫描，通过 github 的 search openAPI 搜索内部关键字，搜到关键字 clone 仓库进一步分析
4 安全红线培训
5 组织建设，审计团队，安全生产，合规团队…
6 流程制度，权限控制，内部审核流程

这个安全问题个人感觉可能会被办公云桌面彻底解决。除了脑子用笔记下来
資深大佬 : taobibi

杀毒软件还是很有必要的，互联网电脑要保证日常升级，双十一促销的时候可以批发一些。
弄半吊子的“堡垒机”，很多操作 VNC 操作这个堡垒机，在远程操作内部服务器。
数据库做好专网隔离，弄个入门的防火墙做好访问控制
公共 wifi 与内部 wifi 物理隔离。如果没有条件，也要做三层隔离。内网 wifi 做好访问控制
資深大佬 : taobibi

我们行业开发都在总部，主要需要保护的是用户信息和内部防黑防毒，所以安全性上要求并不是特别高，不同行业可能有所不同