群话题 | 同一主体不同业务的合规要求、企业微信监控员工合法吗？SDLC安全检查的关键点，shiro最新漏洞…… - 新鲜讯息

金融业企业安全建设实践群

第114期0920-0926

上周群里共有177 位群友参与讨论

15 个话题分为以下6类

安全管理：1个

安全技术：5个

求文档：5个

甲方乙方：2个

法规解读：2个

行业思考：0个

【安全管理】

1、请教一下，公司的A业务希望B业务（有大量c端用户数）给予某类用户，然后向用户推销A产品，那么A是不是就获得了B用户隐私呢？这种是合规的吗？（A和B都属于一家公司）？

不合规。如果要合规，必须要更新隐私协议。因为一般来说隐私政策应清晰说明各项业务功能及所收集个人信息的类型，所以新业务的情况必须声明。同一主体，不同业务也要声明清楚，才能满足个保法以告知同意为核心的规则。哪项业务、功能，用到什么信息，为什么用，怎么用，都要说清楚。

因此，无论企业集团内部公司之间存在多么紧密的互相依赖的关系，从个人信息共享合规的角度，App的个人信息处理者向关联方共享个人信息的，关联方也应视为第三方，与向外部的合作伙伴或供应商共享个人信息并无二致。同时，个人信息处理者向关联方共享个人信息的，同样需要遵循向非关联方共享个人信息所适用的标准，确保符合合法、正当和必要的原则。

【安全技术】

1、请教个问题，例如企业微信管理后台这种外部平台，登录源没有限制，认证方式也是扫码，要操作留痕的话是否有思路或方法？

企业微信有地方存操作日志，颗粒度一般。操作或登录日志没有api，只有手工导。同时企业微信暂时没被定义成重要系统，所以暂时没看管理员操作日志。不过要看的话，我也是土办法，导出然后一条条和服务请求或者变更来对。不过员工的聊天内容审计是有api和系统去审计的。

2、企业微信都部署在腾讯这边，如何对员工的聊天内容进行审计呢？另外监控员工聊天内容和个人信息保护法有冲突吗？

企业微信可开启会话内容存档功能，管理成员内部沟通、外部服务和监管合规了：1. 支持将成员的内部、外部客户服务沟通内容存档保存 2. 企业可设置需要存档的成员范围、功能说明，企业可设置服务会话内容存档的员工范围，开启后，经告知员工，企业可获取员工的沟通内容。在与外部联系人会话中，经外部联系人同意后，企业可获取外部联系人的沟通内容。这种都是公司服务，合法啊。就像callcenter所有通话都有录音留存。

3、想咨询一下各位大佬，之前GE的那个事情（就是最近医疗设备的那个），实际上就是因为设备直接可以连到互联网导致的吗？还是说GE在那些设备装了什么3/4G的通信模块然后直接外发数据？

4、请教下大家，在数据中心，服务器侧是按照大的业务属性分大区？还是每个业务服务器之间做隔离？大的业务属性，比如同属核心业务，放一起，与其他一般业务隔离。

传统网络架构用防火墙做隔离，只能按大的业务属性分。如果是sdn或者是上云的，按照应用系统来做甚至做主机微隔离。隔离越细，工作量越大，要求的人手越多。最好是能够跟审批流程结合，自动的去配。

4、各位大佬，咨询一个问题：devops在将制品从测试环境推送到生产环境的过程中，根据监管生产和测试隔离的要求，有哪些方式呢？

【求文档】

1、《多方安全计算金融应用技术规范》（JR/T 0196-2020）《人工智能算法金融应用评价规范》（JR/T 0221-2021），请问哪位大佬有这两份规范吗？

2、OWASP API安全Top10，哪位有下载？官网上的404了。

3、大家有《中国银保监会金融专网安全管理办法》这个文件吗?

4、谁有运维安全人员培训体系目录啊？

【甲方乙方】

1、“你作为安服外包人员，用我们单位的微波炉热饭吃不合适吧”有没有遇到这样的情况，都是怎么解决的？

小概率事件。外包怎么7×24，怎么吃饭，交通管制晚了30分钟接班怎么报备有无罚则，提前说清楚规则有规则，不缺人，不许下楼拿外卖都可以立。没有规矩发生后凭个人喜好评头论足就是耍流氓。

2、咨询一下大家，安全服务商是否有相关国家或者行业资质要求的？

我们一般要求这个“具备中国网络安全审查技术与认证中心或者中国信息安全测评颁布的信息安全风险评估资质”。

【法规解读】

1、各位大佬，金融等保或者其他制度有没有要求必须要建同城或者异地备份中心？

等保在数据备份恢复那一项里面有要求的，有数据备份就可以了，不影响通过等保。

2、[文件:个人信息保护法-产权司法保护研究会.pdf]，这是我听过最好的解读了。

【行业思考】

无。

--------------------------------------------------------------------------------------------

企业安全建设实践群

第39期0920-0926

上周群里共有 56位群友参与讨论

8 个话题分为以下6类

安全管理：1个

安全技术：1个

求文档：4个

甲方乙方：1个

法规解读：1个

行业思考：0个

【安全管理】

1、求问各位大佬，有没有应用系统上线前的检查流程？或者相关制度可以参考的，包括存档材料、安全审查内容等的。比如，对于成品软件查什么？对于自研的都查什么之类？也包含外购系统上线前的检查。

A1：应用复测通过后，经过和供方约定，生成哈希值，在上线实施前做完整性校验，如果和复测时候版不一致，需要写说明保证无安全方面修改。

A2：你有一个很完善的CI/CD流程，安全想做什么事都嵌在这个流程里，吹的devsecops一体化就靠它了，有需求评审有威胁建模有功能测试有安全集成测试，代码很完美，一切都好，但是没有包检验，让开发自己上机器去发布，那前面做的一切都是摆设，开发完全可以为了过检删东西变更时再夹带，甚至搞点小后门。

A3：安全没办法直接控制版本变更，只能通过流程中放进校验值来控制发布版本，这才想出来是否有必要留校验值的想法，也不知道这个弊端实际上大不大，或者利弊如何。

【安全技术】

1、Apache Shiro身份验证绕过漏洞安全风险通告请问谁有细节？

https://github.com/Firebasky/Java/blob/e04372f8da1f7cb0924f16dcebfd934fa14cc637/Shiro/Shiro%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87/Readme.md

【求文档】

1、各位大佬好，我想求一份可对企业做数据安全风险检查或评估的列表，类似于信息安全的风险检查列表，想请有经验的大佬分享一下，或者至少说说收集检查标准的思路啥的？

[文件:24_1_5_《银行业金融机构信息科技风险监管现场检查手册》.pdf]科技风险检查我认为可以作为数据安全通用检查项，我更希望根据数据安全生命周期或使用场景编制一套检查列表。对标《数据安全法》合规。

2、求文档《硬件升级规范》。

3、问下：有没有边界安全建设初期的方案参考？

4、各位大佬，是否有《基础电信企业数据分类分级方法》《基础电信企业重要数据识别指南》原文或者checklist？标准网上未公开下载。

【甲方乙方】

1、请教下各位大佬：有没有供应商外包商的管理的制度规则可以参考一下啊？