金融业企业安全建设实践群
第90期0322-0328
上周群里共有 140 位群友参与讨论
15 个话题分为以下6类
安全管理:3 个
安全技术:3 个
求文档:1 个
产品推荐:0 个
法规解读:4个
行业思考:4 个
【安全管理】
1、各位大佬,请教下各位,在企业内部你们是如何制定相关的信息安全奖罚制度并落地的,请各位指教并借阅一些制度资料。
2、很多公司法务对隐私政策不是太懂,尤其是技术性条款,那就只能安全上了。目前只能期望法务在文字条款上把关就可以,要他们了解业务场景,监管和行业要求,以及实际业务发展矛盾怎么平衡,暂时很难。
3、请问各位大佬,有没有支持允许甲方进行代码审计的DLP合作方?或者领导们对于黑盒的DLP软件有顾虑,有何方式让他们放下这些顾虑?已经表达过了如下信息:1、有公安颁发销售许可证;2、搜集了其它企业用户反馈、省网安总队的建议,都是正向的意见;
【安全技术】
1、问下各位有统一启用http basic authentication 或者统一通过代理做一层认证的吗?这样做应用上会不会有问题,是否可以做到统一配置不需要应用做修改?考虑在互联网访问测试环境的时候加一层认证,不知道各位有没有试过的?
2、有没有大佬了解短信拦截如何实现的?
3、请教大家一个问题,关于用户头像上传的场景,用户可以自定义上传头像,有啥好方法可以保证用户上传头像的内容安全,比如涉黄、不合法?
【求文档】
【产品推荐】
无。
【法规解读】
1、“对于消费者的行为是否为恶意‘薅羊毛’行为,商家很难举证,其调查取证对司法部门来说存在很大困难。” 杭州市下城区第二检察部主任吴冠军说:“不过,对于那些采用犯罪手段(比如收买公民个人信息、买卖国家机关证件等)获取大量会员账号的‘薅羊毛’群体,或者通过篡改数据等技术手段获取优惠的‘薅羊毛’行为,要坚决予以刑事打击。” 杭州市检察院第三检察部副主任张海峰表示,如果违背平台规则,非法篡改积分数据,直接可以定罪;如果是利用平台的活动规则套现,很难定义为犯罪,但其手段行为比如获得批量的实名认证账号,就可能构罪。——如果是批量进行“薅羊毛”行为,很容易和非法使用公民个人信息这方面关联起来。但是如果是单个或少数账户就能进行了“薅羊毛”活动,估计司法认定会有点困难,所以还是看具体的业务漏洞场景。
2、关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知,本规定自2021年5月1日起施行。
3、各位大佬请问一下,5月1号实行《常见类型移动互联网应用程序必要个人信息范围规定》,是不是客户不选活体检测也必须给他提供服务?
4、隐私权、管理权和主管权。都是由哪个法律来定义的呀?有没有定义的冲突呢?有冲突听哪个法律的?
【行业思考】
1、情报(intelligence)和威胁(threat)和威胁猎手(threat hunter)的关系,哪位大佬给讲讲?
2、如果不是这段时间恰好国民的隐私意识上一个台阶,万店掌这么搞,怕不是下一个独角兽,上市公司,手握大量数据。在风口,猪也能飞;在枪口,牛也得死。边缘创新最大的风险就是政策。
3、早些年觉得同态加密算法的理念非常牛逼,现在觉得没有解决核心问题,信任你的用差分隐私或多方计算或其他方法也能解决相关问题,不信任的实现全同态也没用。
4、看见群秘发的问题很多和数据安全有关,强答一波:
1)用人脸做人的所有行为轨迹,都可以被追踪。当人脸识别+无所不在的视频组合在一起的时候,就意味着不是店小二认熟人这么简单,而是一个店小二始终跟随着您。另外就是我们大量用人脸认证后,人脸数据就成为生物识别数据,对数据识别数据的采集,存储,保护是高于密码的,因为一旦泄露攻击者可以伪冒用户身份且用户是无能为力的(密码还可以改,总不成用户换脸),所以人脸这些生物识别数据,一般是不允许直接采集回来并存储的,而是必须加一定盐的散列化采集存储,国内这些做人脸识别的公司,基本没有一家做到这样,其实隐私和安全隐患是非常大的。
2)个人行为产生的数据被商业机构采集后,如果这些数据能标记出主体来或跟主体关联起来,就是归属于个人。如果做到了匿名化无法还原到个人主体则可以归属于商业公司。
3)隐私是个人的权益。随社会发展,个人会越来越重视。隐私意味着对你深切的了解,你可以愿意给你的爱人分享秘密,未必愿意人人都知道你的秘密。知道这些秘密,意味着知道你的弱点,骗子用这些弱点来欺诈,厂商用这些弱点来推销,强势单位用这些弱点让你屈从,看客用这些弱点对你讥讽。隐私属于被尊重和安全的这个层次里,随着中国逐步解决了贫穷问题走上小康社会,隐私就越来越被关注。其实观察下我们的父母,我们,我们的子女,他们对隐私的态度,就能看到这个趋势。
------------------------------------------------------------------------------
企业安全建设实践群
第15期0322-0328
上周群里共有 157 位群友参与讨论
15 个话题分为以下6类
安全管理:3 个
安全技术:4 个
求文档:4 个
产品推荐:3 个
法规解读:1 个
行业思考:0 个
【安全管理】
1、结合自身的工作,CMDB是一直都是我的难点,CMDB其实是个基础资源平台,不应该是安全的活儿,但所有的防御措施和策略其实都是围绕资产来展开的,不搞这个还真不行。我的难点有三:一是资产信息的梳理和收集不太好开展,难以保证全面和准确,二是资产之间的关联也是个费劲的事情,较难以“系统”为单位视角去看待资产的归属,不能较好评价资产属性跟安全策略控制粒度的映射关系,三是在安全日志分析过程中,对资产信息的引用和查询,也比较费劲,缺乏良好的管理工具。关于资产管理的好工具、好方法、好经验,还期待大佬进一步分享。
2、面对国家和全球对个人隐私保护的趋严,各位大佬有没有什么好的应对策略?有哪些管控工具可以分享吗?比如对个人隐私数据梳理分类的工具,对特定隐私数据跨平台加密防护或管理的工具,或者有什么方法论,可以较好的实现管控目的?面对GDPR迎检需要注意哪些事项?希望有经验的大佬,无私分享,共同提高!
3、问个问题,安全部门会对 应用层操作日志进行定期的审阅吗?审阅的话是什么形式?审阅结果是什么形式?
【安全技术】
1、哪位对docker网络比较熟悉,今天遇到一个奇葩问题:docker容器里能与宿主机网络内外都是通的,就是无法访问外网,访问不了百度,宿主机网络正常,默认桥接
2、各位大佬,下午好,请教个容器相关的问题: 容器以root账号启动,有什么风险?线上使用容器,是否必须禁用root账号启动容器?如果以root账号启动容器,有哪些补偿控制措施?
3、请教各位大佬,对于HVV期间的钓鱼邮件,在邮件网关和邮件沙箱中可以定义哪些强化规则?类似邮件正文中的关键字、附件等?
4、请问,一些终端安全软件封禁u盘接入是不是阻止不了badusb这种模拟键盘鼠标操作的攻击,除非是攻击行为或恶意样本程序触发了终端防护软件的检测?
【求文档】
1、大家好,大家有这份“网络安全众测实施指南JR/T 021402021”文档吗?非影印版的。
2、请教大家,有没有hw相关的加强员工信息安全意识宣贯文档?
3、哪位大佬有全点的安全基线文档啊?cis的对于国产设备和安全设备貌似不太多
4、各位银行的大佬,请教一下关于《商业银行互联网贷款管理暂行办法》中,商业银行每年应对与合作机构的数据交互进行信息科技风险评估。这个有做过的吗?这个评估的具体内容是什么?
【产品推荐】
1、想问一下各位大佬 公司内部信息安全宣传周的海报都是招公司设计部门做的吗 有没有那种插画式的素材库 有人知道嘛?
2、请问下大家,有哪家app安全厂商可以做:渠道监测仿冒app、仿冒app强制下线、手机安全环境检测并后台显示吗?
3、请教大家一个问题,对于钓鱼邮件有没有好的防护工具?
【法规解读】
1、请教下各位大佬,四部委发了《常见类型移动互联网应用程序必要个人信息范围规定》,像金融类APP收集人脸活体和LBS等信息,超出了必要范围,该如何应对啊?一般这些规定类文件和要求,都会有“法律、行政法规、部门规章和规范性文件【另有规定的,依照其规定】”这一句。
【行业思考】
无。
---------------------------------------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……
群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……
群话题 | 本期关键词:供应链安全管控,运营商流量清洗服务,安装准入和桌管的阻力,企业SRC的搭建托管……
如何进群?
如何下载群周报完整版?
请见下图:
本文始发于微信公众号(君哥的体历):群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论