网络安全三套防线及数据安全杂谈，中小型金融企业年度安全规划及采购探讨，访问云上对象存储OSS的最佳实践？

0x1 本周话题TOP3

话题1：各位都有内部建cuckoo吗？或者用毕方二开沙盒？或者商业版的本地沙箱？亦或是还是用云沙箱？

A1：自动化后不能所有文件都扔云沙箱。用过cuckoo和云沙箱，最后还是云沙箱好用。

A2：我们是告警的文件自动下载扔云沙箱。毕竟病毒文件里没有自己的数据，cuckoo是最好用的开源沙箱。apache可以启用模块就行了，不一定要squid。

A3：apache漏扫被关注太多了，我们能不碰就不碰。对领导和运维解释起来太麻烦。

Q：安全设备做带外管理，不会离互联网太远吧。但我觉得安全设备的风险没那么大，需要控制那么严格吗？

A4：按照攻防演习的情况来看，安全设备风险更大，属于关键设备。安全设备的风险不在于自动更新上，带外管理+acl，禁止公网远程管理。

A5：理论上更新没啥风险但是怕有投毒啥的风险，领导不会放心的，一刀切。而且说个事，目前nds解释权美国占优势吧，要是某些国家行为。

A7：我记得上次有个什么设备，就是被投毒了吧。

A8：Vpn？ Solarwind？某个ip地址管理工具？

Q：插播咨询一个细节问题，网络安全三道防线是哪三道？

A9：事前，事中，事后？某网的三道防线是协议密码防火墙。

A9：提问的背景，一个说法是政治上的，也就是习大大说的构筑三道防线，安全基建，安全处理机制和安全意识教育，加大网络安全基础建设，完善网络安全管理和处理机制，加强网络安全意识培训和教育。具体学习强国有：

A10：一道日常科技运营管理，二道科技合规和风险控制，三道就是科技审计，这是银行三道防线。科技在单位应该是充当其他部门的乙方是吧。讲实话，网络安全这种细分领域，写报告材料最麻烦，一个是不同场景下的不同说法不一样，二是为了写报告好看，不同细分场景也是不一样数据。领导一看立马头大。

A11：安全是乙方的乙方，而且收敛效应很明显，真正驱动安全行业发展的是黑客。

A12：也没有太难写，工作几年和监管机构、网信办、上级机构等类型报告写完以后就是在材料库上修修改改的事情了，就是形成套路后会好很多。

Q：接着这个话题问一个事啊，我马上要给今年新上任的总裁汇报下今年的工作情况。今天和CIO过报告的时候，他提出来一个很尖锐的建议，用一页概述说明两点：

怎么让领导一眼看清楚安全在干什么？
怎么让领导认识到我是一个管理者而不仅仅是技术专业者。有那么一丝丝灵光，就是抓不住，想问问群里的大佬。

A13：这种就应该用总结提炼的话术吸引眼球，比如啥1234，其中1表示一个战略目标，2表示两种能力，3表示三个平台，4表示四个方向等等。这不就是典型的做管理而非技术语言的描述吗？

A14：这种东西我们总裁会感觉到虚，抓不到点，他很务实，之前就具体专项沟通的时候，他会说听不懂，我得给他讲具体业务案例，他就秒懂。从一线老大升上来的，汇报的时候老难了。

我们刚结束0-1的过程，覆盖面有余，科技内部畅通无阻，刚建立和总分业务的合作，下一步就是完善和管理精细化。

A15：看你们是哪种模型的实践。pcda还是其他？用模型讲，如画环形图标识安全内容，管理者讲人不讲事，讲项目不讲技术。

其实以大的体系，穿插不同阶段的目标，是常用的一个方法。主要是看你们实践更多是用的哪种模型，然后往上套。更多去讲实现了哪些，不要讲怎么实现的。老板不关心你怎么实现。我抽一张我准备年终汇报的图，我们目前的水准也就是左边的，下一步的目标就是右边的，合规为导向是我们目前这些机构的水位线。

A16：不一定都是虚的，这个只是总结提炼，但是都会具体到一年中的某个具体工作项，比如战略目标，也就是近期、中期乃至远期规划，一定是你接个自己公司的现状、特点，讲出你准备干安全的，这正好是体现你作为管理者的思路，而非你的具体细节。画环形图标识安全内容，管理者讲人不讲事，讲项目不讲技术

Q：不知道你们有没有做安全体系？比如依次从应用安全、网络安全、数据安全、系统安全等方面入手，做全面的规划？

A17：我们大佬喜欢用PPT:People Process Tool。我们和集团总部有分工，他们基础设施多，我们业务风险和研发安全，现在都是围绕监管合规和应用安全在做。前CIO今年刚退，他是美籍华人，他跟我讲这个逻辑。监管合规，业务安全，应用安全，开发安全，数据安全。

A18：对，所以你应该结合自身的工作思考，体现出你对公司安全的规划以及落地的实施路径，这样我觉得更能体现你的管理者角色。既然只有一张PPT，就只能先抓眼球，然后汇报就凭你的口才结合能力来展开，比如合规，可以具体结合国家法律法规、监管规定，从客户信息安全保护等入手进行，应用安全就从SDL的流程、制度体系、工具入手。

A19：我们是两个人的安全部门，大部分事情都需要我们自己来，有一部分可以扔给集团来。终极目标就是根据风险需求动态调整当前的防御水位，肯定要做的。这是NSA做的IATF模型。

A20：嗯，现在我的情况是做了一大堆工作，CIO觉得挺认可，但是觉得没讲出系统性。但是现在的这个阶段，套大体系我又脸上臊的慌，哈哈哈。看来汇报的时候还是要脸皮厚一点。

A21：自己的经验，头几次的汇报少讲专业词汇，不然会造成短时间给领导的灌输很多内容，理解不畅。您那里外包或者第三方人员有多少？领导不关心技术细节，只关心你做到什么水平，然后自己心里有数没有。我们安全没有外包和外部厂商驻场。

A22：内控这个看你们是合规部门牵头不，如果是合规部门牵头，你们只需要提供技术线条的支持就行了。技术和监控本身就是一条线的。我协调兼管理，一个安全内控审计，一个技术兼架构，一个运营，一个桌面兼安全，每个人都写各自领域的制度。有些职责可以拆分出去的。

A23：安全条线的内控部分少不了，专职内控部门一大堆材料都需要安全的人去汇报。主要是和哪个岗位合并的问题。安全内控审计的最出彩，干的活领导能听懂，我们合规都想挖走。

A24：科技运营经理只要懂安全内控可以交过去的，合规同理，我们两个人其实分工很简单，技术线条和合规管理线条。人少的情况下，其实就是按人设职，谁能干啥就怎么分，多出来的相互统筹下，完事。

Q：顺便请教下，现在大家数据安全的那些，都做到什么程度了？内部都是什么部门在牵头数据安全。

A25：我们之前是安全部门，现在是大数据在牵头了，但是因为安全和大数据都是科技条线的，所以其实也就是科技在牵头。

A26：数据安全是我们指定规则，DBA去执行。

A27：不止DBA吧？我们这和合规配合，他们做原则，业务分析和处罚，我们做技防，制度，检查，宣导。刚成立数据基建部，但是他们更偏向基建，不想接安全。肯定不止，但是剩下的具体他们怎么去搞对接那些人基本不怎么操心。因为数据在dba手里。数据现在怎么样。他心里比我们安全有数的。数据基建指负责数据治理的部门，从整个数仓体系上建立出来的部门。

A28：数据安全评估这个事情是合规来去解读政策要求我们执行的点。我们来执行提供数据和科技线条的解释口径，管理就是让专业的人做专业的事情，我觉得我们安全可能在合规解读上面没有合规部门敏感。

意思数据安评也是合规来主导，他们根据要求拆分要点，我们只负责科技线条。羡慕你们，我这里还兼任消保委个人信息保护体质机制的事情，所以数据安全已经被我们合规部门在我脑袋上按的死死的了，要不是和我们合规老大关系好，他经常帮我在上面说话，早撂挑子了。

A29：感觉我们这边处在了最艰难的情况，合规专职部门基本不管科技，我在的部门既是科技风险部门又是安全部门，数据运维那边又是强势部门。告诉老板这个事情的风险和收益，他会知道咋做的，主要是我们大部门是安全运维部门，我们安全和其他运维的利益是在一起的。包括网工SREDBA这些，大家的利益一致，才好做事情。

话题2:咨询一下，中小型金融行业有什么采购方向推荐吗？某公司网络团队重点完成了这些任务：

①终端安全项目，涉及准入控制、软件管理、数据防泄漏、桌面管控

②杀毒项目，更换为国产杀毒厂商

③采购一套新的邮件网关，加强了公司邮件安全

④网络架构整改，网络标准化、统一化。

现在做明年计划，我跟领导说大方向是采购等保评测服务，不合规项大规模、分三个阶段性整改，领导说找些咱们能做的，想问问大家有什么方向推荐哈（这边是中小型金融行业滴，准确说是保险行业哈）。

我所能想到就是大主题，无非就是 ①往网络安全靠 ②往降本靠 ③日常运维

A1：安全运营，各种态势感知，NDR产品搞起来。讲建设的话，新技术新应用要评估，业务或者风控部门要有相应的模型，客服要联动，运维部门要是实时检测，等等。如果讲追责，逻辑就不一样了，没法讨论。先保证边界防护能力，重点系统的渗透测试，资产管理、等保测评这些搞定。

A2：基础阶段，强烈建议先把漏洞、边界管理先做了，态势感知的东西，可以先建，当做一个日志汇总记录用，运营往后放。资产这东西，难做难维护。在安全团队没有成熟之前，不要也不应过多考虑安全方向，先做好基本的安全运营再谈其他。

A3：这边做了终端层面的安全，边界管理可以展开讲下吗？顺便再补充下，我们实施的终端安全产品包含了资产梳理、软件管理、商业软件授权、漏洞软件批量升级哈。就是边界防护，简单说就是边界的网络结构、边界入侵防护、访问控制等等。设备全了没，策略都开了且有效没，隔离有没有管理好。

A4：这边已经是国产防火墙，IPS、URL过滤、云沙箱license也都购买了，策略都是对业务的访问控制，调用上面这些license功能，使用默认的库，并无进一步优化成企业自身的。就是现在明年的计划，总要采购产品滴，必须有一个大项目哈。

A5：这已经跟基本了，就像这位大佬说的，保证进不来再说，或者加大进来的难度，这才是第一需求。找漏洞也是一样的原因。对于正常团队而言是很基本了，但是，听这位朋友的意思，他应该是连基础都没有。所以，还是太难了点。如果我选择，终端安全我把杀毒、漏洞修复和介质管控搞了就行了，然后花大力气搞网络。然后一步步来。资产梳理、漏洞修复、人员安全意识。

A6：在我看来，别想太多，就做这3个东西就行了

账号密码的安全，保证全上2FA，尽量解决弱密码问题，已经可以解决50%的问题。
服务器主机终端安全，漏洞补丁闭环，流程处置的问题
外网服务收敛控制，该关的关，该停的停。不一定要上高大上的项目，不一定要上新特奇概念，从0到1，从1到10，不容易，一步步走吧。

A7：嗯，短期找重点来做，合规，长远考虑，起码，没有特别要求的话，先放一放，先把目前的重点做好，就如所说，1年内能把这些做好就已经很不错了，新项目可以挂着，年底再上也没问题。

A8：全部杜绝。这个很难，需要很大力气，包括行政命令才有机会。弱口令已经杜绝了。唉，也不算杜绝。

A9：基本考虑能上2FA就上2FA，这样钓鱼邮件口令丢失的问题也解决了。弱口令如果涉及第三方。比较难搞。尤其部署在内网的系统，不让用弱口令很难，还有上了年纪的大老板尤其喜欢弱密码。其实搞了统一登录统一认证，策略在一个地方收紧，弱密码就比较好管控。一天登七八个系统，每个都要登陆，我都不愿意设置复杂的密码。

话题3:咨询一下大佬们，OSS这种对象存储，实际应用场景里，一般是从公网通过web代理直接访问，还是隔多一层APP再访问？

A1：很多场景都是客户端直接访问oss里的数据。oss里存了很多公开的图片信息，都走app转发，会增加app的性能损耗。但是现在很多客户证件和照片、合同等也会存oss。

A2：这个你们一般怎么走的，都是app过一遍检验吗，涉及敏感信息的。

A3：我想了一下，最佳实践应该是弄两个oss，但是涉及到业务端改造和数据迁移，推动难度较大。只用了oss云上和云下做了打通？

A4：敏感数据我觉得应该过一下，要不然可能被遍历，虽然一般都做了文件名随机化，遍历比较难。一般oss比较随机而且有有效期。

A5：有效期是什么意思，oss存储的文件有效期吗？感觉直接APP通过公网访问，数据中心这边就直接在web层转发到OSS 风险会有点高啊。

A6：OSS不仅提供单个业务使用，有些场景可能不敏感有些可能敏感。所以我觉得应该是两个oss，一个公开的，一个敏感的。敏感的只能app后端访问。OSS外面加一个七层网关，和IAM平台打通，根据bucket是public还是private以及具体的应用场景，结合使用OSS的应用联动实施访问控制策略以及按需提供一些小功能如加密、裁剪、水印之类。

A7：很多都用的公有云的oss。没法加网关吧。有点零信任的意思，不过目前还不具备条件。自己的网关后面只是封装了具体的oss，甚至可以搞混合云的资源调度，敏感的自己搭存储，不敏感的扔公有云上。是的，我们之前在中通是这么干的，而且通过这种方法可以提供通用服务给集团内的所有应用，彻底解决文件上传漏洞。

A8：互联网oss密钥一旦外泄风险还是很高的。

A9：oss不敏感文件存public bucket，敏感文件存private bucket，private bucket的文件访问需要带签名参数的URL，签名参数可以设置有效期，不用担心文件名遍历。需要二次加密存储的文件比如用户身份证、照片，可以做一个加解密服务，加密后put到桶里，好处是ak/sk泄漏黑客拿不到密钥也解不开文件内容，缺点是增加计算成本。不需要二次加密的敏感文件，上传下载都可以不经过自己的应用，自己的应用负责生成签名url即可。而且可以绑定object key（文件路径+文件名）和用户的关系，做鉴权，只有有权限的用户才能拉到签名后的URL。还需要注意的就是生成上传签名url时，把content-type也签进去，防止xss漏洞。

0x2 本周精粹

休刊

0x3 群友分享

【安全资讯】

【安全技术】

--------------------------------------------------------------------------------

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：