金融业企业安全建设实践群
第88期0308-0314
上周群里共有 127 位群友参与讨论
20 个话题分为以下5类
安全管理:7 个
安全技术:2 个
求文档:3 个
产品推荐:5 个
行业思考:3 个
【安全管理】
1、请教下,大家知道在海外信息安全管控做的比较好的国内企业么(指国内企业,在海外有业务,在海外的机构和业务这块在安全方面管的比较好)。目前企业在国内机构做了很多监控措施,但在推广到国外时,都会比较担心合规的问题,这块有哪些企业做的比较好?先问个具体的,监控工具在国外怎么确保合规?第一步首先就是评估所在地的法规和政策要求。在这之前还有第0步,就是适不适合在那里放业务以及适合放什么业务,业务形态上,一般办公场景和数据中心和后台业务和研发环境也是天差地别,是独立运作实体还是业务分部还是简单职能办公室也是天差地别,所以需要体系化梳理,最好有当地法务参与。
2、请教一下大佬 怎么以业务视角看待HW ?(需求点是希望跟领导以业务视角汇报HW重要性必要性),但没有业务经验,不知从何入手
3、《CTO 写的低级 Bug 再致网站被黑,CEO 的号都被盗了!》我的看法:
(1)当务之急找个靠谱的CSO,专业的事交给专业的人干
(2)比特币是有用的,没有实力之前先低头
(3)这样的代码割了吧,重写。
分析Gab两次被黑:
(1)起因是Gab程序应用安全问题。这反应出虽然Gab CTO是大厂FB的程序员,但这些大厂程序员相比啥都要干的小厂程序员,可能更不清楚安全细节,因为大厂安全目标就是让程序员更少的参与安全细节。
(2)其次是Gab的研发和安全团队在第一次被黑后的应急响应中,并没有完全识别出全部漏洞点,以及溯源还原攻击者路径,很可能是因为应用日志和安全监测点不足,导致用户密码是否泄露这样最关键的问题都没搞清楚。
(3)Gab CTO删除存在bug的代码的操作也很让人困惑,他不知道网站会被缓存吗?看来CTO不仅是安全细节不清楚...
4、做2035年规划和做3年规划没有本质区别,务虚要匹配公司战略,朝着那个方向发展。公司如果2035年目标是提高营业额到省内第一,那安全就没必要追新,还是保障促发展。部门战略就是公司层面战略的分解,部门战略要融入公司的治理结构和运行体系,明确符合公司特色的信息安全实施路径,设计阶段性的目标。
5、讨论下数据安全治理的规划方向吧?制度、规范、标准、流程等落地运行可借助什么推动?安全技术上如何匹配、有效管控?目标是所有密级的数据对外流动可见、可审批等;内部流动可审计追溯等。实现无死角。关于数据安全,目前有做一下基础性工作:
(1)终端数据U口全部禁用,按需开放(提起申请包含用户、开放原因、起始时间,留记录)
(2)对数据进行了初级分类分级定义和要求规范,对不同级别数据取数定义了不同审批层次;
(3)定期数据安全审计平台分析流向,形成月度用户行为活跃和可疑排行榜。以上都是相对被动方式,目前面临的问题是数据比较分散,且相关措施覆盖不全。
各位大佬,这个话题可能有点大,做法形式不一,你们是怎么做的?
6、你们有没有哪家,把态势感知或者防病毒网关,和邮箱联动,自动发中病毒的通知给那个人和部门管理员?
7、大家对公安发函,要求手工拷贝同步用户敏感数据是如何处理的?
【安全技术】
1、请教一下大家,在 FW 上 block IoC IP communication, 应该双向都 block 吧?inbound+outbound. 有人说只 block outbound ,我有点费解,所以请教一下大家
2、对于在dmz部署反向代理的应用架构,系统被攻破后攻击者可以直接在内网,这块的问题大家是咋解决的,有标准的架构可以参考不?
【求文档】
1、各位大佬,跪求信创方面的相关资料
2、请教各位大佬,SDL建设前后的评价指标可以从哪些维度考虑?
3、请教下各位总,国内金融业对SOC的SaaS服务或者说MSSP这种机构外部托管式的安全服务有什么文件要求吗?
【产品推荐】
1、好多信息程序员喜欢在“码云”上上传东西,大家怎么及时监测发现?
2、最近遇到测pos机的需求,想知道腾讯 src 这篇文章中提到的工具是自研发的嘛?
3、请问下各位大佬,国内有没有模拟邮件钓鱼的SaaS服务,马上能用那种
4、各位大佬,有没有开源的弱密码扫描工具,支持agent部署,支持主机,DB,服务端管理的功能
5、请教各位大佬,对于图片类型的个人数据防泄漏各位有什么推荐的产品吗?场景主要是纸质文件手写个人信息后扫描或拍照留存在各人电脑上。
【行业思考】
1、请教下,大家都有加入国内的哪些安全协会或组织?公司层面的加入
2、请教下各位群里各位大佬和同仁,产品的对外安全宣传以什么形式去做比较好?安全需要去PR吗?
3、广东省通信管理局APP监管平台正式发布。
------------------------------------------------------------------------------
企业安全建设实践群
第13期0308-0314
上周群里共有 160 位群友参与讨论
17 个话题分为以下5类
安全管理:3 个
安全技术:5 个
求文档:7 个
产品推荐:1 个
行业思考:1 个
【安全管理】
1、开发脚本监控github,但是发现了又如何处置呢?
2、个人感觉最好的安全应该像空气一样。谁也感受不到,但谁也离不开。做安全的我们也是需要一点小说中的侠客精神 。事了拂衣去,深藏身与名
3、请教各位如何向上沟通的技巧啊,在IT资源紧张,人力有限的背景下,我们提出几个hw前自查方案,比如:外网黑盒、测试环境灰盒、内网等等,如何帮助管理层去决策使用哪种方案呢?我能想的比如:预期排名?公司受关注程度?
【安全技术】
1、关于源代码防泄露,除了dlp,虚拟机,还有什么好的解决方案吗?
2、各位,在集团与子公司的网络访问和规划方面,是怎么考虑的?一般有哪些参考原则?从哪些点去分析?
3、大家对于员工在办公内网私开热点的情况是怎么解决的?看了下除了安装agent,似乎没有特别好的解决方案。
4、各位大佬,关于物联网使用的sim卡有了解的吗?一个物联网设备黑盒,现在想建个伪基站来监听它的流量,看看到底有哪些数据流向哪些地址。听说运营商对对不同物联网卡有不同的限制除了短信和语音以外,还会有专门的虚拟网。比如说我是个生产物联网的设备厂商,只有我申请的物联网卡可以通过运营商连到我的服务器端。那么运营商是否有特别的设置,才能确保完成上面类似虚拟网的功能?如果有,建伪基站是否因为没有特别的设置造成物联网设备识别出来,而不发送或者不发送全部的数据包?
5、请教下各位专家,我有一个业务如果放在云上,安全会从哪些方面考虑,请给些指导,谢谢!
【求文档】
1、有没有 类似于 安全交付标准 这样的文档
2、请教各位大佬,如果用零信任SDP来覆盖终端准入,是否可行?是否满足等保的对非授权设备私自联到内部网络的控制要求?
3、各位大佬,谁有《国家电子政务外网标准-政务云安全要求GW0013-2017》、《国家电子政务外网标准-国家电子政务外网跨网数据安全交换技术要求与实施指南 GW0205-2014》两个标准啊?
4、大佬们,【现状】 我AB两个机房已经实现热备功能了;A还做了冷备,保存在A机房。B只有热备功能。【问题】我是否满足了合规的 异地备份需求?B还需要做冷备么?
5、请教各位大佬,有做过 系统安全画像 的吗?主要从哪些维度,怎么统计落地呢?就是对各个系统做全面的安全风险机制的评估、画像、打分之类的
6、哪位大佬有个人信息跨境传输征求意见稿pdf版啊,多谢
7、请教一下,群内大佬有没有安全风险评估的框架,或者方法论相关的资源?
【产品推荐】
1、请教各位,哪个商业源代码扫描系统是误报率相对低一点的啊?
【行业思考】
1、今年感觉是个人信息保护的重点啊,昨天那个人脸识别,简直就是个经典案例,1、收集未经许可采集;2、采集后的数据供应商竟然可以使用查看;3、采集后竟然是为了后面其他分店的报价做准备,这营销也是逆天了。采集个人信息,例如人脸信息,需要当事人授权同意主要指的是主动授权。35273里定义了授权的两种方式,一个叫明示同意,一个叫授权同意,不一样的级别,个人敏感信息必须要明示同意,授权同意不行。
---------------------------------------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……
群话题 | 本期关键词:供应链安全管控,运营商流量清洗服务,安装准入和桌管的阻力,企业SRC的搭建托管……
群话题 | 本期关键词:关注信创安全,Google部分服务宕机,SolarWinds,标准解读,安全合规工作……
如何进群?
如何下载群周报完整版?
请见下图:
本文始发于微信公众号(君哥的体历):群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论