诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

  • A+
所属分类:云安全
诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
 ☝戳上方查看往期“诸子云话题”

诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

戳这里查看更多话题精彩内容




两年间,安在采编“诸子云”社群日常交流(各会员群内脑力碰撞)之精华,出品“微话题”栏目,两年多时间里,先后整理上千次讨论,汇整数百个热点话题,发布数十期文章,涉及企业网络安全最佳实践方方面面、角角落落。与此同时,我们还以月为单位,把所有经过整理的讨论内容归档到诸子云知识星球,让微话题可沉淀、能检索,成为可持续输出价值的甲方“新鲜事儿”。


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?


我们诚挚欢迎更多朋友进入到诸子星球,参与话题讨论。


本期“微话题”,我们从“诸子云”社群里选取了两个引发热议的小话题为读者们予以呈现,分别为“有对关键岗位是否有赌博等行为,进行定期背景调查的方案吗?”和“生产网通过proxy直连外网相比走DMZ传统架构还有什么隐患?”。


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
话题一
有对关键岗位(比如数据库管理员、网络安全员)是否有赌博等行为,进行定期背景调查的方案吗?

来源:诸子云上海分会

时间:5月14日


观点一:

每年提交征信报告,这个简单,还不违法。我老单位这样做,我觉得还是有点用处的必须强制,我的除了贷款信用卡,没有别的信息了。入职就提供,材料说明限定用途。不是很难的问题,设计下就行了,顺便看一下加班费有多少没发。在中国雇员雇主之前的隐私问题往往都是倒数第一的,不重要。入职签一个协议应该可以回避法律问题。


观点二:

企业没资格没权利调取保存征信类金融类信息。入职协议是你跟个体之间的,法务帮忙处理也么用,员工真要有证据说明自己没提供,企业就要自证清白。协议有没有法律效力另说,光入职是不够的,要在背调时候就授权。协议在员工搞事情的时候发挥不了法律效力,合同都不一定有用。一个是在职期间每年背调 一个是入职前背调,不同阶段都要。我最近找了好几个律所,很多条款只能起到威慑作用,法律上站不住脚,都是建议员工自己处理,不建议企业介入,搞得好尴尬。


观点三:

完整背调授权最少是三份,与现行法律法规冲突的条款 很可能会被判定无效,一不小心违法了,公司推责任很好推。没有个人授权就是侵权。别说企业,连着银行一起罚。个人征信数据归属于个人数据,如果违规获取,可能会因为涉嫌非法获取个人数据,承担刑事责任。征信数据算敏感个人信息,征信系统里每次查询都有记录的。


观点四:

之前监管不严的时候,很多金融机构内鬼,会倒卖征信数据。根据刑法规定,侵犯公民个人信息罪的入罪要件为"情节严重",解释中明确对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算"情节严重"。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。


观点五:

背调,可以从个人身份信息,学历信息,工作经历方便入手,这样法律风险小。就算非金融公司需要入职提交员工个人征信信息,也基本上达到了背调的要求。你完全可以让他本人自己去拉,拉出来了看一眼就行了,跟公司要流水证明薪资没什么本质差别。上网行为管理记录员工上网内容不算侵犯隐私,但是更严谨的说,监控访客电脑,可能会有瑕疵,有些能记录到邮件内容。看流量正常,能监控聊天记录,邮件,按键。公司提供的设备可以,自带的不行,但是自带的不给准入,不能接入公司网络,上网有记录。


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
话题二
如果生产网通过proxy直连外网(云),只允许生产网到外网单向,再加ACL限制IP端口,相比走DMZ传统架构从风险角度还有什么隐患吗?

      

来源:诸子云上海分会

时间:5月6日


观点一:

肯定有,你不能保证用户主动访问外网的安全,场景是服务器文件外传。要求高点都用内外网隔离装置(网闸)了。我们生产网先过网闸到管理网,管理网的dmz区做代理服务器再出去。生产网联到互联网的网络安全防护还是要慎重再慎重。


观点二:

网闸有病毒防护功能 但是不好用。影响性能。有些管理网的dmz区还要上个网闸再出去,还有一种这两年GA推行的单向光闸。有一个说法,网闸并不像技术吹嘘的那样,属于物理隔离措施。也有说网闸确实是物理隔离,只是目前蹭名词和乱部署的情况有一些。标准网闸就是个单刀双置开关,功能多的就是蹭名词。所谓电子开关摆渡的说法,严重影响性能。


观点三:

10年前最传统的网闸就是网络物理选路器,现在各类的性能,逻辑隔离都是因为本来的网闸不值钱,拼命往上凑。影响性能是真的,千兆网闸实际传输只能有300M左右。网闸就是一台设备,两个系统,两个网卡。这种场景下,网闸和防火墙(网络或主机)在安全性上有本质区别,尤其对于有会话管理要求的互联网应用。


观点四:

对网闸的实践很少,但对于内部系统连接云,这个现在或未来应该是趋势吧,即使如互联网核心这种用部署云端系统去处理交易,但反欺诈,反洗钱,这种还是会回内部的,除非完全用三方的(不一定合规)。单向通信安不安全不讨论,至少不是绝对安全,因为受你配置,网络等的多重因素影响。


观点五:

除了网闸或大一统的解决方案,可以关注以下几点:1. 端到端加密,应用4-7层,通过二层代理或内部API截图核心路由2. 内部ngfw或fw加ips IDS进行检测3. 流量分析,如有。做好VLAN/VRF隔离,有条件物理隔离都可4. NAT5. 网络层加密,也可能是专线连接,接入,做acl 6. CSP管理,如VPC,DFW,尤其是可以管控跨VPC的路由,禁止互联网和三方连接。反洗钱反欺诈肯定不能上云,可考虑有内部路由出去,全用csp的当然也OK,你评估过他们的就可以。以金融为例,设定头寸后,至少对账,扣账,三方支付,数据备份都是有反向从云端传输的,也有从内部回传的。如果自建soc的还会收日志和实时告警。


观点六:

流量按照方向拆分是比较好的实践。不一定用网闸。对于生产外联流量,可以实现白名单,避免感染木马后的上线外联。大规模生产网络默认是无外联的,可以把短信、支付等服务流量单独开辟外联区域。可以更细(看ROI),三方,互联网outbound,无线,邮件,VPN,互联网web,远程访问等进行隔离管控。




诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?


如果你是甲方业者,还未加入诸子云,别犹豫,赶紧联系,诸子云作为国内目前最大也最为活跃的网络安全甲方社群,一定是你最佳选择。


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
加入诸子云
请洽Tina


更多话题在诸子云知识星球有归档,想了解甲方日常所想?想理解甲方工作之痛?想掌握甲方真实需求?赶紧加入这个开放的“宝藏”。


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?


另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。


如果你是厂商,想拥有更多传播和对接价值?赶紧加入安在企业服务计划,成为安在企业会员吧!


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?



推荐阅读





安在会员福利计划启动,快来牵手!


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?
诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

齐心抗疫 与你同在 诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?



诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

点【在看】的人最好看


诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

本文始发于微信公众号(安在):诸子云 | 话题:有对关键岗位定期背景调查的方案吗?生产网通过proxy直连有什么隐患?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: