诸子云 | 活动：12.16上海安全年终总结沙龙

本次研讨会活动，邀请到了时代天使、阿维塔、GMI、Deckers 、维景、东航、上海广电、交通银行、SMT、RSM、信也科技、BASF、浦发银行、中通快递、中润长弘、ZTO等安全专家参与。

诸子云上海会长赵锐、某金融基础设施企业孙夏威、某快递企业安全专家陈圣分别进行了分享。

在党的十八大，以及在2012年成立网信办以后，国家对于网络安全的工作是越来越重视了。而从近几年网络安全事件频发的趋势中，我们也可以看到网络安全工作的重要性，以及安全人员正面临着怎样的挑战。所以，在经济下行的背景下，网络安全人员要做好年终总结，这样才能让管理层、业务部门，以及各利益相关者知道网络安全工作的意义和必要性，才能确保网络安全工作的资源和优先级。

赵锐表示，想要做好年终总结，首先要明确年终总结的目标。其分为三个部分，第一部分是介绍今年这一年的工作情况，内容不要过于详细，占35%就好；其次是要介绍这一年相比之前有哪些进步的地方，占比10%；最后的55%是要把所有工作的成果、亮点、成绩，特别是对于业务的支持情况都可以量化。

关于如何将和业务指标相关的工作内容量化出来，赵锐指出，在内容方面，可以说明内外部环境对于网络安全工作的各种挑战和应对，比方在安全运营上，安全部门拦截了多少的攻击，比如在法律法规方面，安全部门又是如何将法律法规通过政策流程落实下去的。同时，对于公司的重点业务和项目，安全负责人也可以量化安全部门在其中的投入，比如面对各种事件风险，安全部门规避了多少、防范了多少，如果按照历史事件的损失情况，可能造成的潜在损失是多少，这都是可以量化的内容。

赵锐表示，作为安全负责人，在和很多非技术领域的同事，包括领导层沟通工作成果时，一定要改变自己在顶层设计和日常工作上的思想和观念，同时要结合业务部门的战略规划。在做总结时，安全负责人不要只局限于自己的工作内容，而是要更多参考部门在“组织的长期、中期、短期目标方面”做了哪些安全工作，这样才能让领导层知道安全的工作成果是怎么样的，也就是说要和高层领导的目标保持一致。

对管理层和股东而言，他们最关注的是公司的营收、利润、市场份额和亮点。所以安全负责人在介绍工作成果时，可以将安全职能和重点业务重点项目关联，比如在零售领域，安全负责人可以说明自己在公司营销活动中，用了何种安全策略模型和手段防范了羊毛党，防范的效果如何，规避了多少资金风险，这部分资金风险能转换成多少利润，等等。

除了在等保、安全标准改进、安全漏洞减少、安全事件响应率方面做出量化外，安全工作还可以从工作时间、工作强度、工作难度等方面进行说明。其中，工作难度可以和公司的重点项目挂钩。

赵锐指出，在对来年的计划和目标做出展望时，要将立意提高，安全目标要和公司的顶层设计相关，同时在和业务战略规划进行匹配时，要为所支持的业务指明方向，让组织整个数字化转型和网络安全有一条清晰的路径。

在做计划时，则要对标业内的标杆企业，要将这些标杆企业的网络安全工作放到自己的安全计划里，这样决策层才会提供更多的资源。同时也要梳理清对业务的支持流程，做好对整体网络安全全面推进的建设。

人才培养方面，赵锐表示，企业可以和高校、科研院进行合作，也可以让员工参加更多的安全研讨会和沙龙活动，同时相应的考证和培训不能少，这对安全从业者，包括对管理层和利益相关者而言都是必要的，组织内部若能交流学习网络安全相关的知识，就可以让技术、管理、运营得到全方位的发展。

由于集团里各个清算机构、交易机构和相关的货币经纪机构相互之间都是独立、割裂的状态，所以集团提出了金融基础设施集中化转型的战略。孙夏威表示，就当前的建设进度而言，所在的安全部门主要以推动和保障为主，负责的是集中研发的任务、偏研发类的运营和对数据资产的管控。

孙夏威指出，对防守方而言，包括DevSecOps，包括所有安全建设的本质，实际上就是在做持续不断的信息收集，因为只有掌握全面充分的信息，才能准确的开展工作。安全建设主要收集的是三方面的信息：人、财、物。关于人，主要是了解其组织架构，而由于开发、测试、运维对于安全的态度各不相同，所以也要提前准备好与之对应的方针和策略；关于财，关键是紧密围绕公司的业务模式，看安全方面能得到多少预算；关于物，就是去了解需要建立健全哪些和安全相关的基础设施，以满足组织对于安全建设的需求。

为什么要选择DevSecOps？孙夏威指出，比起传统的研发安全（比如SDLC），DevSecOps更为灵活，也更加适用于组织，算是对组织的一种量身定制。由于DevSecOps体系非常复杂，所以需要对其进行调研和分析，然后从组织架构、管理体系和工具选型这几个方面，结合内部的一些项目运作流程，对DevSecOps体系进行必要的梳理和优化。

在建设初期，孙夏威表示，组织可以先将Sec融入，比如立项、需求、设计、编码、测试、交付、运行、迭代等。立项就是对项目进行安全定级，定完级之后在项目建设运行的过程中会提出需求，比如看其中有哪些威胁和风险，与之对应的则是进行必要的沟通培训。之后在设计阶段会有架构设计，比如把存在漏洞的组件找出来，然后进行归档和留存，并且对敏感数据进行管控。

到了编码阶段，主要是进行代码扫描和代码保护；之后是测试阶段，主要是用灰盒的IAST进行测试，当然也包括了API审计，到了这一步，相当于解决了90%的安全问题；然后到了交互阶段，主要是黑盒的漏扫，以及定期的渗透测试；到系统交付运行之后，要看它是否放在公网，如果是在公网，就要对其进行重点监控，包括漏洞预警、防护覆盖和攻防演练；迭代阶段会产生变更，变更同样需要纳入相关的管理体系。孙夏威表示，以上各阶段如果暂时没有条件建立推广相应的DevSecOps平台，就只能借助当前已有的平台对其进行功能上的添加和改造。

此外，孙夏威指出，从攻击者的角度来看，攻击的主要手段就是利用安全盲区，因此安全人员要尽量缩小组织盲区。当然，发现安全问题之后，在规章制度不明确的状态下，还会出现推诿扯皮的情况，这是非常头疼的问题。关于制度建设，首先先要明确的是，组织之所以会转型是由于政策导向，包括国际形势、行业标准、市场趋势等，会制定一系列的标准法规，各个机构也会为了满足认证等要求而制定的制度，因此组织需要按照这些制度进行转型。

同时相应的制度建设里，需要把以上这些都结合起来进行取长补短，而孙夏威所在企业就为此做了一个框架性的管理制度，其可以根据形势和政策的变化而灵活变化。在建立完制度之后，就可以去建设相关的平台了，组织不具备DevSecOps平台时，可以对既有平台进行改造，以降低成本。

运营方面，在安全专岗人少的情况下可以对项目参与人员进行培训，培训内容可以结合历史上发现的实际问题和相关的业务场景，来向众人传授安全相关的基线知识。当然，对于配合积极的项目组，可以将其作为案例评选来让其他项目组进行学习和复用，这样可以避免不必要的沟通成本。沟通效率方面，可以在项目组设置一些安全对接人。

在当今社会，确实存在着一个不为人知的黑暗面，而这一面并不总是隐藏在互联网的暗角或是暗网之中。事实上，通过一些法律相关的网站，我们可以找到许多未被广泛报道的、但确实发生过的案件，它们反映了社会中的一些严重问题。以传销案件为例，这类犯罪活动往往会诱骗青少年和年轻人参与，他们在传销组织中通常会受到非人道的对待，即便犯罪分子最终受到法律的严惩，受害者的生活也可能因此遭受到无法挽回的影响。另外，有些历史悠久的组织流传至今，在民间传闻中甚至存在着“采生折割”的故事，包括拐卖儿童和其他非法活动，虽然这些传闻很多是未经证实的，但它们无时无刻提醒着我们，社会中确实存在着各种各样的不法行为。

针对见诸报端的泰国街头“毁容乞讨者”问题，陈老师介绍了一套较为实用的方法来应对孩子走失的情况，这就是所谓的“十人四追法”。这个办法的核心在于孩子走失或丢失后，第一时间组织和分配资源，以最大化搜索的效率和覆盖面，在12个小时内取得最优化的结果。以下是对这个方法的详细说明：

第一组（四人）：负责在孩子失踪地点周围2公里半径内进行快速搜寻。每个人选择一个方向（东、南、西、北），快速地在街上搜寻孩子的踪迹。

第二组（四人）：负责在重要的交通枢纽和人流聚集地进行详细搜索，如车站、公园等。同样，每个人分配一个方向进行搜索。

第三组（一人）：负责与警方联系。这个人需带着孩子的照片尽快去报案，以便警方能够协助并利用公共资源加入搜索行动。

第四组（一人）：留在孩子失踪的原地等待。以防孩子自己回来而找不到任何等候的人。

至于摄像头偷拍问题，这确实是当今社会安全隐患之一。陈老师例举了多个照片实例，展示了多种隐藏式摄像设备，例如纽扣型、打火机型、酒店房间内的摄像头、纸篓型和烟杆型摄像头，它们都可能被用于非法监视和侵犯隐私。为此，尤其是女性在公共场所（如浴室、酒店和民宿）需要格外警惕，更有甚者，还有女装大汉伪装后进入公厕、浴室、温泉泡汤等场所偷拍，媒体还过女性“色狼”为牟利进行偷拍的曝光报道……在夏天，更要注意那些可能隐藏在生活用品中的摄像设备，如拐棍、长柄伞或鞋面。偷拍等侵犯个人隐私的不法行为已然成为了产业链，有人会付费购买偷拍视频，甚至直播偷拍的情况也大有人在，相关数据显示，十分钟左右的偷拍视频甚至被叫价到了上千元左右，建议大家可以关注一下“全频带阻塞干扰”公众号，里面有许多专业保护公民隐私的措施供大家参考，现场听众互动时也表示，在行业董事会等关键会议上，确实也会请专业的团队对会议现场进行勘查和排除遭窃听的情况，在很多商业领域都有应用的场景。

针对社交媒体和在线平台上的个人信息安全，陈老师总结了相关经验，建议大家谨慎分享个人信息，避免敏感信息（如姓名、地址、电话号码）泄露在这些公共平台上，以减少被滥用的风险。在人群拥挤的公共场所，保持警觉，注意周围是否有可疑的人或行为。再次强调，无论我们位于社会的每个角落，都需要对家人及自身的隐私及安全保持高度警觉，以保护自身和家人免受伤害。在这个充满不确定性的世界中，增强安全意识和采取预防措施是至关重要的。