IT入职/离职 · 密码管理 · 零信任 · 安全事件响应 · SOC2合规 —— 安全是信任的基础
入职确保"能工作",离职确保"不能访问"——离职安全比入职更重要
共享密码写在Slack/Google Doc里 = 迟早出事
| 工具 | 月费/人 | 适合 | 优势 | 劣势 |
|---|---|---|---|---|
| 1Password | $7.99 | 1-1000+ | 最成熟、企业功能全、Watchtower泄露检测 | 稍贵 |
| Bitwarden | $0-4 | 1-100+ | 开源、免费版够用、可自部署 | 企业功能不如1Password |
| Dashlane | $8.99 | 1-50 | VPN集成、暗网监控 | 贵、企业功能少 |
强制SSO:所有支持SSO的工具必须用SSO(Google/Okta)
禁止密码共享:共享凭证放在密码管理器的共享Vault里
MFA必须:所有关键系统强制MFA(硬件Key > TOTP > SMS)
密码策略:最小16位,不强制定期更换(NIST 2023指南)
API密钥管理:不硬编码,用环境变量或密钥管理服务
传统VPN正在被零信任取代——"永不信任,始终验证"
| 方案 | 类型 | 月费/人 | 适合 | 特点 |
|---|---|---|---|---|
| Tailscale | 零信任 | $0-10 | 1-100人 | WireGuard、最简单、P2P |
| Twingate | 零信任 | $0-15 | 1-50人 | 无公网IP暴露、浏览器接入 |
| Cloudflare Zero Trust | 零信任 | $0-7 | 1-50人 | 免费50人、WARP+Access |
| WireGuard | VPN | 免费 | 技术团队 | 最快、最轻、需手动配置 |
| OpenVPN | VPN | $0-7 | 传统企业 | 成熟但慢、配置复杂 |
当安全事件发生时,你没有时间思考流程——必须提前演练
| 步骤 | 行动 | 时限 | 负责人 |
|---|---|---|---|
| 1. 发现 | 确认是否为真实安全事件(排除误报) | 15分钟 | On-call工程师 |
| 2. 遏制 | 隔离受影响系统、撤销泄露凭证、阻断攻击路径 | 1小时 | 安全负责人 |
| 3. 通知 | 内部:CTO+CEO+法务;外部:如涉及用户数据,按法律要求通知 | 4小时 | CTO+法务 |
| 4. 根除 | 修复漏洞、清除后门、重建受影响系统 | 24-72小时 | 工程团队 |
| 5. 恢复 | 从备份恢复、验证系统安全、逐步上线 | 按事件严重性 | 工程团队 |
| 6. 复盘 | 事后报告:发生了什么、为什么、怎么防止、行动项 | 7天内 | 安全负责人 |
72小时:发现后72小时内通知监管机构(DPA)
无不当延迟:通知受影响个人(高风险时)
通知内容:事件性质、涉及数据、可能影响、已采取/将采取的措施
罚款:最高2000万欧元或全球营业额4%(取高者)
SOC2不是可选的——当企业客户要求时,没有它就签不了单
| 阶段 | 时长 | 关键任务 | 产出 |
|---|---|---|---|
| 1. 准备 | 1-2月 | 确定范围、选择审计师、差距分析 | 差距报告、项目计划 |
| 2. 实施 | 2-4月 | 建立策略、部署工具、修复差距 | 安全策略文档、工具配置 |
| 3. 证据收集 | 2-3月 | 运行控制、收集证据 | 证据库(3个月以上) |
| 4. 审计 | 1-2月 | 审计师现场审计、回答问题 | SOC2 Type I 报告 |
| 功能 | 推荐 | 替代 |
|---|---|---|
| 合规自动化 | Vanta / Drata | Secureframe |
| SSO | Okta | Google Workspace |
| 密码管理 | 1Password | Bitwarden |
| 端点管理 | Kandji / Jamf | Intune |
| 审计日志 | Datadog | Splunk |
审计师费用:$30,000-80,000(Type I)
合规平台:$1,000-3,000/月(Vanta/Drata)
安全工具:$500-2,000/月
内部人力:0.5-1 FTE × 6个月
总计:约 $50,000-150,000
💡 企业客户 ≥ $100K ACV 时,SOC2 的ROI为正