“甲方”是安在新媒体为诸子云专家会员开设的全新专栏,旨在帮助专家会员及时准确掌握社群动态,了解行业动向,收集最新观点,挖掘最佳实践。“甲方”将围绕诸子云甲方社群动态、甲方话题、甲方活动、甲方项目等方面全面展现甲方风采,为甲方业者传递积极能量,实现安全产业的共驻共建。
本期为“甲方”2024第六期,统计了3.22-3.29期间的社群动态、甲方话题等。
目前,诸子云认证会员已超过3000人,包括上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛、苏州、天津、佛山、济南、珠海、台州共16个分会。在3.22-3.29期间,各地分会共计新增了4位甲方专家。
关键词:应用系统、跨公司、多租户、Web安全、二进制安全、应届生、数据安全、IP代理
话题一:多法人业务场景,应用系统设计有哪些具体标准?
Q1:请问下,针对多法人的业务场景,应用系统的设计有没有具体的标准?简单的权限隔离、数据隔离太抽象了。
“嗯,多公司。其实就是集团和独立法人的子公司共同使用的系统。”
“这个没听说具体的标准,因为多法人主体下,各自的要求不一样。根据不同法人的所在行业、企业的标准、监管要求等制定相应的标准,但基本原则就是权限隔离、数据隔离。所以你的困难是什么?是不会做,还是遇到了其他法人、部门的挑战和质疑?”
“想细化一下管理要求,出一套管理标准,不然应用方总是来问能不能给子公司提供服务。
个人的思路可能根据应用的安全级别,明确不同级别系统在多法人主体场景下的安全要求。如果有一些标准就好了,不用自己瞎定。”
“这里会不会涉及一个数据分级分类的问题。哪些级别可以共享,哪些级别只能在子公司里面利用,这样只要把数据/功能模块设置好权限等级,你想问的是数据分级分类的标准吧?这个是不是根据自己组织和所在的监管来定?”
“一般公司没有人管你,但是如果是A股上市公司,那证监会有要求上市公司财务及运营系统要独立,如果只是权限隔离就不够。”
“嗯,这个我们清楚,人事、财务系统这些肯定都是不共享的。”
“如果只是为子公司提供服务,你参考下SaaS服务的概念,每个法人一个实例,系统底层还是一套,运维运营是一体化的,可否?”
“那你分为:集团总部内部使用,子公司内部使用,第三方合作使用,还有公开。根据数据不同的属性划分不同的访问权限。”
“需要考虑多租户概念吧,包括底层数据怎么加密存储,系统分多级管理员基于法人单位做系统管理。”
“一人一目标 + 一组一目标。参照早期BBS建设就可以了。平行多对多,结合组织架构做绑定。”
“是,其实就是多租户系统必须支持的功能。某蝶这些厂家应该都成熟的标准了。我感觉存量系统的改造,不是很容易,不仅涉及功能架构还涉及数据改造。”
“在生产侧基础架构做逻辑隔离,数据基于业务主体做隔离存储和下游使用的分主体授权审批,目前应该是没有商业化产品能支持这块能力,我们是自研做的,管理标准也是基于数据分主体隔离后、权限管理、角色分离、审批流等动作后才能抽象出来的,只用管理标准落不下去的。”
Q2:应届初入安全技术,二进制安全和Web安全?哪个优先学?为什么?
“个人观点:二进制。现在人少,只要学得好,找工作不愁。Web安全竞争太激烈。”
“数据安全数据传输这些。分析未知或恶意的二进制文件,了解其行为,主要打交道对象涵盖二进制文件、操作系统等进行安全分析、漏洞挖掘、恶意代码分析,逆向等。”
“二进制的门槛高一点,入门难;Web安全入门容易,精通难。”
“现在的数据安全是厂家的数据安全,真正的数据安全是面向业务的安全,也就是数据安全治理。”
“安全的方向太多了,只看二进制或Web,有点局限了。”
“最近实际参与了几个比较大的数据安全项目,发现如果真正落地确实面临不少问题。”
“这就相当于搞java开发还是搞C开发,其实在软件或IT行业,要做好,不能只懂java或C,数据库、网络这些都不能少。”
“保护数据安全、满足安全合规是企业安全建设的几个目标,不代表数据安全是安全的全部,保障it基础设施的安全稳健、可用性,业务安全反欺诈一样是安全组成。”
“数字中国,数字经济,国家数据局,各地政府陆续成立大数据局,信息安全部以后也可能要跟着改名字,以前都是做网络安全,前两年改成网络安全和数据安全,以后可能数据安全要排在网络安全前面了。”
“未来汽车安全也挺火的,智能化,网联化,25强标,汽车出口。”
“数据安全一直讨论比较多,也是一个方向,包括物联网安全。”
“某恒出的一本数据安全和隐私计算的书,我觉得还可以,有兴趣可以看看。缺点是少了些实操。“
“基础架构安全其实已经饱和了,物联网安全更重要的是原生安全和数据的保护。”
“数据安全是一个领域,保护数据安全需要各种手段的组合:基础安全,开发安全等等。”
“数据安全很早就有全生命周期方案,现在一方面是新业务形态,个别数据要素要拿出来流动。”
“造成的影响;一方面是物联网、零信任与多网络融合的推广,数据交互场景异常复杂,安全管理目标的迭代。”
“现在唯一的痛点是厂家劫持甲方,虽然有十年历史,但是都是乙方引导。甲方的这两年才开始,没啥案例,主要巨贵,人力投入高。咨询加产品没有几百万搞不定。”
“客户现场环境复杂,很多需要定制开发。现有的数安产品很难马上适配。而且没有相关咨询服务进入整体串起来,效果就达不到预期。”
“这里面在前期跟客户层面规划和交流的时候一方面不充分,还有售前人员对客户业务没有充分调研以及对数安产品不熟悉(产品变化快)等原因,也导致前期和后面落地有偏差。这都是通病,客户期望值太高也是一方面原因。”
Q3:求教,我们想在互联网上自动地去收集一些公开的数据,不过经常会被对方封IP,请问有什么好的方案去解决这个事情吗?
“限制频率我们有在做,但是一些数据对于时效性要求比较高就很麻烦。”
![诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?]( "诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?")
![诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?]( "诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?")
“因为都是打一枪换一个地方,我目前没有一个用超过一个月的,就一个国外的平台用的时间稍微久点。”
“如果实在没有稳定可靠的供应商,那只能打一枪换一个地方。”
其他甲方话题,请扫码加入诸子云知识星球。
![诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?]( "诸子云 | 甲方 :多法人业务场景怎么设计应用系统?Web安全和二进制安全怎么选?")
专家会员是诸子云的立身之本,甲方专家的一举一动都能反映出当下的行业趋势、市场脉络、用户需求及应用实践等等。安在新媒体将继续关注专家会员的实时动态,一如既往地向外界输送诸子云甲方社群的最新成果,期望以此来推动更多人关注网络安全,关注甲方专家。
评论