小公司如何实施信息安全防护？

额 想到了党妹的工作室 刚上线了新的 NAS 被黑掉~
低成本 未必 意味着没有安全意识

小板凳做好，看看有没有能人回复

公网不暴露任何系统或者加 IP 白名单, wire guard 接入内网, 内网 dns 解析访问各个服务。

公网 IP 不对外开放端口(除了 22), 所有的操作都应该通过命令行而不是开放端口然后用可视化软件连接, 公司内网电脑上别装来路不明的软件

低成本：买其他人的现成方案服务

请好律师？

前阵子刚好做了 27001 和等保，和审核老师核对翻了几遍国标，具体 LZ 可以网上看看信息安全认证的国标文档。要注意的事情太多了，建议任何地方都可能是风险。
小公司的话，只是代码安全的话做好访问控制、行为审计、容灾备份，定期巡检等就行了吧，具体可以考虑上 VPN 、堡垒机装一些网络监控软件等等。

帮忙现搜一本书：《企业安全建设入门：基于开源软件打造企业网络安全 (网络空间安全技术丛书) 》
https://www.amazon.cn/dp/B07CCKW2QD

我公司特么连路由器密码都能猜到。

所以你说的安全，大概不存在。

日志审计，防火墙都搞上，有特殊业务需求的直接上桌面云全管控起来。

安全规则配置好，不要在公网暴露端口，无死角监控覆盖

做好人员权限和账号绑定，人员离职时确保账号同时失效，重要的操作设置短信验证。

测试与生产环境隔离，公司内部 gitlab 禁止管理员外角色对仓库代码回滚，生产环境部署 /升级 /备份过程尽可能自动化，通过代码合并到指定仓库后触发生产环境的自动化流程，减少人员直接访问服务器。
能够访问生产服务器和合并代码 review 的人员要可靠，但要有他突然删库跑路的预案，让备份恢复机制能够最大的减少损失。
入职新员工进行安全培训。（这个很重要）

感觉小公司的话，把阿里云里的东西玩儿 6 就可以了

@smallpython nik

远程办公的才难弄。普通的有固定场所的网络入口监控下，pc 强制装杀毒软件。代码泄露不可能封住吧，除非不用外网。

可以看下这本书 《互联网企业安全高级指南》 https://weread.qq.com/web/bookReview/list?bookId=1da32dc05cc79e1da49ea9c
基本上是从企业安全负责人视角带你一步一步建设

找专业的信息安全公司。专业的事交给专业的人。

同 13L，把阿里云玩溜就行了

我来说下大厂会是怎么做的吧
首先是内网环境，所有内部系统通过域账号登陆，屏蔽非必要出流量，自建的 DNS 解析内部域名
2 办公电脑安全，根证书，预装杀毒及监控软件，监控 U 盘插入，非法软件安全
3 代码泄露扫描，通过 github 的 search openAPI 搜索内部关键字，搜到关键字 clone 仓库进一步分析
4 安全红线培训
5 组织建设，审计团队，安全生产，合规团队...
6 流程制度，权限控制，内部审核流程

这个安全问题个人感觉可能会被办公云桌面彻底解决。除了脑子用笔记下来

我们行业开发都在总部，主要需要保护的是用户信息和内部防黑防毒，所以安全性上要求并不是特别高，不同行业可能有所不同

把员工的用的鸡阉一下，操作系统的权限控制好，物理主机的 usb 口封掉。路由器交换机锁好，别被放了蜜罐。
机器好管，难管的是人。
员工的嘴和手要管好，加强培训以及制定惩罚红线。

很好的思路 谢谢

@godblessumilk 过多的限制，死板的限制未必是好事，限制过多过死，影响员工在实际工作中的实际需求。