金融业企业安全建设实践群
第79期1221-1227
上周群里共有 115 位群友参与讨论
19 个话题分为以下5类
安全管理:5 个
安全技术:3 个
求文档:6 个
产品推荐:3 个
行业思考:2 个
【安全管理】
1、大家年底都怎么写工作总结的呀?有没有比较彩的模板可以发出来,怎么写才能让领导才会觉得钱木有白花,明年就不砍部门预算了
2、《回顾Solarwinds供应链攻击,我的一点思考》好文,不过有个问题:如何控制甲方的成本投入?
3、在向上管理,汇报这块,是安全从业人员普遍缺乏的能力,可惜无处可学,赵彦老师可否传授一二?如果你是一个安全负责人,除了专业领域,我想还应该有岗位默认的属性,管理基本功。向上管理我认为稍微片面,这个问题是所有岗位都会面临的问题,不是安全行业的特有问题。安全行业的技能不是对这个通用性管理问题的解。
4、要求:领导确定21年,有50%的同事使用笔记本办公 挑战:因公司的产品特殊,必须100%全力确保涉密人员的数据安全 目前的初步方案:1.启用ipg终端的加密功能,不能随便外发文件,同步启用IPG的部份桌控模块 2.笔记本的摄像头,后盖螺丝贴防拆贴, 3.笔记本资产贴授权进入涉密分区区域的标签,以备保安和部门领导查验, 4.外出办公,使用vpn拨回公司收发邮件,同时限制IP登录 5.与使用者签署数据安全与保密协议,加强安全意识教育 如有其它方法,请大佬们帮忙补充补充。
5、《爱奇艺SOAR探索与实践》今天刚交流过一波,个人感觉比零信任解决方案要好落地一些。
【安全技术】
1、火眼这个事,有说火眼怎么发现被黑的吗?
2、对于供应链安全有什么好的管控措施吗?
3、这种大规模攻击目前在国内怎么样?前几年比较多,近期听到的少了
【求文档】
1、谁有我国网络安全标准的合集?
2、[文件:等保2.0国标金标对比.xlsx] 最近准备等保整理了个对比表,有需要的同学自取
3、谁有CISSP第七版分章节的思维导图,麻烦分享下
4、上月求kubernetes安全方面的书,高人指点,拿到了2本,共享一下。
(1). Container Security_ Fundamental - Liz Rice;
(2). Learn Kubernetes Security - Kaizhe Huang
链接:https://pan.baidu.com/s/1HwWTJISs2r-KBFXcLp1ioA 提取码:plun
还有1本Operating kubernetes clusters and application safely还没有找到电子全文版,谁有?
5、请问下各位大佬,对于两地三中心,金融业有没有类似的规范或发文,如果谁有,帮忙提供参考下,谢谢。
6、请问这三份报告有人下载到吗?找了一圈下载不了
【产品推荐】
1、电子邮件安全这块有比较好的商业产品推荐么?
2、要测试哪家的DDOS防护产品,测过al、aws、网宿,推荐电信云堤,还有腾讯云上的高防服务。
3、各位大佬,安全评估以及安全发展规划咨询,哪家做得好点儿啊?
【行业思考】
1、请教下 大家数据分类分级中对个人数据,业务数据,经营管理数据中的后两种一般是怎么来划分的?
2、请问群里大佬,企业上市在信息安全方面有哪些要求吗?有没有什么标准可以参考?不同的行业在哪里上市上哪个板块,会有不同的要求吗?
------------------------------------------------------------------------------
企业安全建设实践群
第6期1221-1227
上周群里共有 115 位群友参与讨论
17 个话题分为以下5类
安全管理:3 个
安全技术:3 个
求文档:7 个
产品推荐:1 个
行业思考:3 个
【安全管理】
1、装准入和桌管的推动不是很容易,业务和开发的反对声音总是很大,准入和桌管一装,电脑出了问题或者卡死就往安全这推,遇到过很多次了。
2、大佬们对于资产管理这块有什么推荐的好的管理方式,现在资产的来源太多,没有一个准确的,资产核查耗费精力太大。自研方案吧,资产梳理是个坑,而且普适性很低,有一些开源的代码可以做部分资产管理,想集中管控只能自己搞。而且要对老板讲清楚,这是基础建设,成效要看以后。
3、除了互联网系统和一些重要系统 必须走SDL流程外,其他内部系统 如何做SDL流程管控更合适呢?
【安全技术】
1、请教个隐私政策的问题:隐私政策变化时,根据监管要求,用户有权利拒绝新的隐私政策,并且App不能影响用户之前已经同意过的功能的正常使用,除非是这个功能下线或者替换。这个有实现的吗?
2、有一个问题求助大家,我们经常有员工会利用内网穿透工具自私映射一些本地端口到公网(主要是为了远程访问本地程序,用于开发),请问有什么好的办法可以发现或者限制这种情况?
3、有没有哪位所在公司是用赛门铁克dlp限制软件代码上传的?我们公司的赛门铁克版本完全没法限制通过chrom上传文件到github
【求文档】
1、请问哪位有这个资料啊?
2、请问,物联网设备安全,有相关的文档么?我们仓库有一些物联网设备,需要评估下安全风险。
3、请问有没有Saas服务的信息安全管理要求或相关规范?
4、哪个老哥玩过tpm?求推荐相关材料,现在市面上的好像都不咋好用了
5、请问下大佬们,对于敏感数据的传输和存储,目前有什么安全标准或方案吗?
6、小程序目前有类似APP检查的要求和checklist吗?还是小程序参考后者的合适部分即可?
7、各位巨佬,请教个问题:有没有办公安全的成熟度评估模型或者checklist。明年想提升下这块的能力,但是团队没有搞办公安全的专家(都是做业务安全的),请教下群内的专家,找一找明年的方向先。
【产品推荐】
1、大家知道有没有好用的威胁狩猎平台?有没有一体化的 包括监控处置、蜜罐和溯源等等。现在厂商一般拿溯源做蜜罐的卖点,监控处置感觉有点复杂
【行业思考】
1、请教下,app版本号管理控制有没有通用规则?
2、经常有销售来公司推荐态势感知,这是未来的趋势吗?做为一家企业,有没有最佳安全实践路径?
3、咨询下意见,对于企业src,是自建,还是采购第三方服务,大家什么看法?
---------------------------------------------------------------------------------------------------------------
新栏目#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版,每周会上传知识星球,方便大家查阅。
往期:
群话题 | 本期关键词:关注信创安全,Google部分服务宕机,SolarWinds,标准解读,安全合规工作……
群话题 | 本期关键词:防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……
如何进群?
如何下载群周报完整版?
请见下图:
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论