随着数字经济的快速发展,数据安全、云安全、个人隐私保护、工业互联网安全、物联网安全、AI场景下的安全需求、智慧城市中的各种智能场景的安全需求等,都成为了支撑网络安全市场规模扩容并高速增长的新板块。从今年国内的总体安全趋势来看,数据安全治理依旧是数字经济的基石,同样在数字中国建设中,构建数字安全屏障则是关键能力之一,所以各行各业都要切实维护网络安全,完善网络安全法律法规和政策体系,增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
为此,对于这一年来的收获和总结,12月16日,诸子云上海分会举办了“安全年终总结”沙龙活动。
本次研讨会活动,邀请到了时代天使、阿维塔、GMI、Deckers 、维景、东航、上海广电、交通银行、SMT、RSM、信也科技、BASF、浦发银行、中通快递、中润长弘、ZTO等安全专家参与。
诸子云上海会长赵锐、某金融基础设施企业孙夏威、某快递企业安全专家陈圣分别进行了分享。
在党的十八大,以及在2012年成立网信办以后,国家对于网络安全的工作是越来越重视了。而从近几年网络安全事件频发的趋势中,我们也可以看到网络安全工作的重要性,以及安全人员正面临着怎样的挑战。所以,在经济下行的背景下,网络安全人员要做好年终总结,这样才能让管理层、业务部门,以及各利益相关者知道网络安全工作的意义和必要性,才能确保网络安全工作的资源和优先级。
赵锐表示,想要做好年终总结,首先要明确年终总结的目标。其分为三个部分,第一部分是介绍今年这一年的工作情况,内容不要过于详细,占35%就好;其次是要介绍这一年相比之前有哪些进步的地方,占比10%;最后的55%是要把所有工作的成果、亮点、成绩,特别是对于业务的支持情况都可以量化。
关于如何将和业务指标相关的工作内容量化出来,赵锐指出,在内容方面,可以说明内外部环境对于网络安全工作的各种挑战和应对,比方在安全运营上,安全部门拦截了多少的攻击,比如在法律法规方面,安全部门又是如何将法律法规通过政策流程落实下去的。同时,对于公司的重点业务和项目,安全负责人也可以量化安全部门在其中的投入,比如面对各种事件风险,安全部门规避了多少、防范了多少,如果按照历史事件的损失情况,可能造成的潜在损失是多少,这都是可以量化的内容。
赵锐表示,作为安全负责人,在和很多非技术领域的同事,包括领导层沟通工作成果时,一定要改变自己在顶层设计和日常工作上的思想和观念,同时要结合业务部门的战略规划。在做总结时,安全负责人不要只局限于自己的工作内容,而是要更多参考部门在“组织的长期、中期、短期目标方面”做了哪些安全工作,这样才能让领导层知道安全的工作成果是怎么样的,也就是说要和高层领导的目标保持一致。
对管理层和股东而言,他们最关注的是公司的营收、利润、市场份额和亮点。所以安全负责人在介绍工作成果时,可以将安全职能和重点业务重点项目关联,比如在零售领域,安全负责人可以说明自己在公司营销活动中,用了何种安全策略模型和手段防范了羊毛党,防范的效果如何,规避了多少资金风险,这部分资金风险能转换成多少利润,等等。
除了在等保、安全标准改进、安全漏洞减少、安全事件响应率方面做出量化外,安全工作还可以从工作时间、工作强度、工作难度等方面进行说明。其中,工作难度可以和公司的重点项目挂钩。
赵锐指出,在对来年的计划和目标做出展望时,要将立意提高,安全目标要和公司的顶层设计相关,同时在和业务战略规划进行匹配时,要为所支持的业务指明方向,让组织整个数字化转型和网络安全有一条清晰的路径。
在做计划时,则要对标业内的标杆企业,要将这些标杆企业的网络安全工作放到自己的安全计划里,这样决策层才会提供更多的资源。同时也要梳理清对业务的支持流程,做好对整体网络安全全面推进的建设。
人才培养方面,赵锐表示,企业可以和高校、科研院进行合作,也可以让员工参加更多的安全研讨会和沙龙活动,同时相应的考证和培训不能少,这对安全从业者,包括对管理层和利益相关者而言都是必要的,组织内部若能交流学习网络安全相关的知识,就可以让技术、管理、运营得到全方位的发展。
由于集团里各个清算机构、交易机构和相关的货币经纪机构相互之间都是独立、割裂的状态,所以集团提出了金融基础设施集中化转型的战略。孙夏威表示,就当前的建设进度而言,所在的安全部门主要以推动和保障为主,负责的是集中研发的任务、偏研发类的运营和对数据资产的管控。
孙夏威指出,对防守方而言,包括DevSecOps,包括所有安全建设的本质,实际上就是在做持续不断的信息收集,因为只有掌握全面充分的信息,才能准确的开展工作。安全建设主要收集的是三方面的信息:人、财、物。关于人,主要是了解其组织架构,而由于开发、测试、运维对于安全的态度各不相同,所以也要提前准备好与之对应的方针和策略;关于财,关键是紧密围绕公司的业务模式,看安全方面能得到多少预算;关于物,就是去了解需要建立健全哪些和安全相关的基础设施,以满足组织对于安全建设的需求。
为什么要选择DevSecOps?孙夏威指出,比起传统的研发安全(比如SDLC),DevSecOps更为灵活,也更加适用于组织,算是对组织的一种量身定制。由于DevSecOps体系非常复杂,所以需要对其进行调研和分析,然后从组织架构、管理体系和工具选型这几个方面,结合内部的一些项目运作流程,对DevSecOps体系进行必要的梳理和优化。
在建设初期,孙夏威表示,组织可以先将Sec融入,比如立项、需求、设计、编码、测试、交付、运行、迭代等。立项就是对项目进行安全定级,定完级之后在项目建设运行的过程中会提出需求,比如看其中有哪些威胁和风险,与之对应的则是进行必要的沟通培训。之后在设计阶段会有架构设计,比如把存在漏洞的组件找出来,然后进行归档和留存,并且对敏感数据进行管控。
到了编码阶段,主要是进行代码扫描和代码保护;之后是测试阶段,主要是用灰盒的IAST进行测试,当然也包括了API审计,到了这一步,相当于解决了90%的安全问题;然后到了交互阶段,主要是黑盒的漏扫,以及定期的渗透测试;到系统交付运行之后,要看它是否放在公网,如果是在公网,就要对其进行重点监控,包括漏洞预警、防护覆盖和攻防演练;迭代阶段会产生变更,变更同样需要纳入相关的管理体系。孙夏威表示,以上各阶段如果暂时没有条件建立推广相应的DevSecOps平台,就只能借助当前已有的平台对其进行功能上的添加和改造。
此外,孙夏威指出,从攻击者的角度来看,攻击的主要手段就是利用安全盲区,因此安全人员要尽量缩小组织盲区。当然,发现安全问题之后,在规章制度不明确的状态下,还会出现推诿扯皮的情况,这是非常头疼的问题。关于制度建设,首先先要明确的是,组织之所以会转型是由于政策导向,包括国际形势、行业标准、市场趋势等,会制定一系列的标准法规,各个机构也会为了满足认证等要求而制定的制度,因此组织需要按照这些制度进行转型。
同时相应的制度建设里,需要把以上这些都结合起来进行取长补短,而孙夏威所在企业就为此做了一个框架性的管理制度,其可以根据形势和政策的变化而灵活变化。在建立完制度之后,就可以去建设相关的平台了,组织不具备DevSecOps平台时,可以对既有平台进行改造,以降低成本。
运营方面,在安全专岗人少的情况下可以对项目参与人员进行培训,培训内容可以结合历史上发现的实际问题和相关的业务场景,来向众人传授安全相关的基线知识。当然,对于配合积极的项目组,可以将其作为案例评选来让其他项目组进行学习和复用,这样可以避免不必要的沟通成本。沟通效率方面,可以在项目组设置一些安全对接人。
在当今社会,确实存在着一个不为人知的黑暗面,而这一面并不总是隐藏在互联网的暗角或是暗网之中。事实上,通过一些法律相关的网站,我们可以找到许多未被广泛报道的、但确实发生过的案件,它们反映了社会中的一些严重问题。以传销案件为例,这类犯罪活动往往会诱骗青少年和年轻人参与,他们在传销组织中通常会受到非人道的对待,即便犯罪分子最终受到法律的严惩,受害者的生活也可能因此遭受到无法挽回的影响。另外,有些历史悠久的组织流传至今,在民间传闻中甚至存在着“采生折割”的故事,包括拐卖儿童和其他非法活动,虽然这些传闻很多是未经证实的,但它们无时无刻提醒着我们,社会中确实存在着各种各样的不法行为。
针对见诸报端的泰国街头“毁容乞讨者”问题,陈老师介绍了一套较为实用的方法来应对孩子走失的情况,这就是所谓的“十人四追法”。这个办法的核心在于孩子走失或丢失后,第一时间组织和分配资源,以最大化搜索的效率和覆盖面,在12个小时内取得最优化的结果。以下是对这个方法的详细说明:
第一组(四人):负责在孩子失踪地点周围2公里半径内进行快速搜寻。每个人选择一个方向(东、南、西、北),快速地在街上搜寻孩子的踪迹。
第二组(四人):负责在重要的交通枢纽和人流聚集地进行详细搜索,如车站、公园等。同样,每个人分配一个方向进行搜索。
第三组(一人):负责与警方联系。这个人需带着孩子的照片尽快去报案,以便警方能够协助并利用公共资源加入搜索行动。
第四组(一人):留在孩子失踪的原地等待。以防孩子自己回来而找不到任何等候的人。
至于摄像头偷拍问题,这确实是当今社会安全隐患之一。陈老师例举了多个照片实例,展示了多种隐藏式摄像设备,例如纽扣型、打火机型、酒店房间内的摄像头、纸篓型和烟杆型摄像头,它们都可能被用于非法监视和侵犯隐私。为此,尤其是女性在公共场所(如浴室、酒店和民宿)需要格外警惕,更有甚者,还有女装大汉伪装后进入公厕、浴室、温泉泡汤等场所偷拍,媒体还过女性“色狼”为牟利进行偷拍的曝光报道……在夏天,更要注意那些可能隐藏在生活用品中的摄像设备,如拐棍、长柄伞或鞋面。偷拍等侵犯个人隐私的不法行为已然成为了产业链,有人会付费购买偷拍视频,甚至直播偷拍的情况也大有人在,相关数据显示,十分钟左右的偷拍视频甚至被叫价到了上千元左右,建议大家可以关注一下“全频带阻塞干扰”公众号,里面有许多专业保护公民隐私的措施供大家参考,现场听众互动时也表示,在行业董事会等关键会议上,确实也会请专业的团队对会议现场进行勘查和排除遭窃听的情况,在很多商业领域都有应用的场景。
针对社交媒体和在线平台上的个人信息安全,陈老师总结了相关经验,建议大家谨慎分享个人信息,避免敏感信息(如姓名、地址、电话号码)泄露在这些公共平台上,以减少被滥用的风险。在人群拥挤的公共场所,保持警觉,注意周围是否有可疑的人或行为。再次强调,无论我们位于社会的每个角落,都需要对家人及自身的隐私及安全保持高度警觉,以保护自身和家人免受伤害。在这个充满不确定性的世界中,增强安全意识和采取预防措施是至关重要的。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...