系统单页面提供互联网服务,如何最小化整体暴露?

admin 2025年1月22日09:17:51评论5 views字数 4346阅读14分29秒阅读模式

 

0x1本周话题

话题一国家金融监督管理总局发布《银行保险机构数据安全管理办法》

A1:这个归安全管吗?按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护。数据安全的职责应该很多企业还没理顺。

A2:第十四条 银行保险机构信息科技部门是数据安全的技术保护主责部门,其主要职责包括:

(一)建立数据安全技术保护体系,建立数据安全技术架构和保护控制基线,落实技术保护措施。

(二)制定数据安全技术标准规范制度,组织开展数据安全技术风险评。

(三)组织开展信息系统的生命周期安全管理,确保数据安全保护措施在需求、开发、测试、投产、监测等环节得到落实。

(四)建立数据安全技术应急管理机制,组织开展数据安全风险技术监测、预警、通报与处置,防范外部攻击、内外部破坏等危害数据安全活动。

A3:数据管理部应该跟管业务流程的部门在一起,业务流就是数据流。

A4:正式发文和公开征求意见稿变化不大,基本只是字词的调整。估计大家提了意见也没起到作用。我们最头疼的除了业务主责外,还有就是“第十条 银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任”。也没说党委(党组)和董(理)事会是二选一还是都要,本期待正式稿会更明确这个。

A5:党委书记兼理事长,就没问题了。

A6:每年1月15日前上报数据安全评估报告。第七十四条 银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。

A7:在本群这么久,我很迷惑大家为啥不敢不肯做牵头的工作,被别人牵头又说他们什么都不懂只牵个头活还是自己干,有机会自己组织牵头在领导面前报告了又想推给别人,好矛盾啊。

A8:谁牵头≈谁干活。

A9:应是授权和资源不足吧。业务部门资源足,与上层的链接机会更多。安全团队普遍较小,小个子很难牵大块头,有功被争,有锅被甩。

A10:跟科技部门在公司的地位有关,地位低了牵头也指挥不动,只能自己全干了,当然地位也是自己争取的。

A11:数据安全风险评估,要做好得多少资源,做好了有啥成绩?

A12:确实主要是怕承担责任,是好事的话根本轮不到科技,还用领导分吗。数据安全相对网络安全离业务更近,跟公司主营业务更近不管怎么说也是好事。

A13:很多时候科技牵头让业务干点活,那是非常难的,数据安全如果是科技牵头,可能面临三重困境,一是叫不动业务,二是多做多错,三是可能领导根本不care啥网络安全数据安全,完全是没有收益的一个事。

系统单页面提供互联网服务,如何最小化整体暴露?

A14:那就是没有去争取授权和资源嘛,还是牵头人做的不好。所以我们现在数据治理索性科技牵头搞,同步弄考核办法,不配合也学反洗钱开罚单。不牵头还可以和牵头部门battle一样,牵头出问题了连解释的机会都没有。

A15:那倒没关系,领导可以不理会这个发规,你也别多事提醒,领导安排了就是重视。我觉得,金监局下文,党委负责,要提交报告,这个文应该是签到一把手的,报告应该也要呈报一把手才能往上报的,谁来写,根本不是自己选的,都是高管安排的,自己执行就行了,该牵头牵头,该干活干活,自己能做的是给自己的分管领导提供好输入。

A16:这也有现实客观的原因:安全牵头,视角往往只有安全。业务牵头,可以很容易跟价值挂钩、至少是容易包装为价值。安全团队对相关工作兑现体现价值的理解与业务团队天然存在差距;即使有理解,没有业务团队的配合、背书也无法兑现。

在领导层面,安全牵头,领导容易看到投入的成本增加,担心安全做过头。业务牵头,容易给领导讲清楚收益、风险和成本的平衡。安全本身是保障性组织,安心做好保障,提供专业服务、风险预警。各方觉得必要安全牵头时,顺势而为也是一条路。

A17:数据安全风险评估,有方法论吗,有标准吗?

A18:安全牵头,不一定是视角只有安全。你可以多读书、多学习业务、多贴近业务,提升安全的视野和能力,反过来可以促进安全工作的提升。

A19:这个要看领导的认知了。如果这是个合规的事情,安全做一做这个报告交差没问题。如果是真的要借此机会深挖数据安全的风险,这个工作量可不少,工具也许都不具备。

A20:是的,业务牵头,他也不懂安全,怎么就能把这活干了,怎么就能把不懂的东西用逻辑呈报。真不想干也没问题,那就承认牵头厉害有价值,比如上头有人说牵头是主责,那也是价值。觉得牵头人只甩活的话,那自己也能牵 。

A21:有一个《金融数据安全数据安全评估规范》征求意见稿,还没有正式发文。

A22:数据风险评估这个事,其实我们提前一年就在准备了,还没有专门的国标,只有20984可以当方法论,一开始不会可以考虑买服务。

A23:买服务最后也得有个标准啊,到底这个怎么做呢,把所有数据资产识别出来,每个环节识别技术和管理风险?

A24:如果你们现在都没启动这个事,我感觉不如当今天没看群,这不是十几天能整完素材的事,更别说报告。逻辑是一样的,如果按照业务不让科技碰数据的逻辑,那业务的我不懂啊,你给我什么输入我信什么,这块有问题就是你的,我在这基础上评估。

我理解业务是牵不了头的,牵头要么是安全,要么就是风险。如果有数据专门管理部门,就应该这个部门来牵头,安全配合。

A25:按理来说银行应该成立了数据部门了,这样职责会非常清晰。

A26:他们是业主部门,牵头也是应该的。如果有数据部门的,不用吓自己。你想牵也不会给你,人家凭啥当处长,权责是划好的。

系统单页面提供互联网服务,如何最小化整体暴露?

A27:没启动,报告倒是也能出,对现状的描述也是一种评估,数据安全体系是逐步建立中,管控技术也可以是调研中规划中落地中,但这种应付差事的报告,报上去也心里发虚,尤其是现在监管力度加大的情况下。

A28:务实地说,能知道重要业务重要数据,要保护什么,理清现状,摸清底数,有个下一步投入和规划,就算做得不错的了,其它那些情况再牵头别人补充补充。

A29:这个是量化打分的,各标准项进行差距测评,然后最后计算得分。

A30:这周公司请叮咚买菜的老师来讲课,讲了淘宝、支付宝、饿了么、叮咚的多活架构。架构的逻辑是按照不同的业务特性进行分地域分片(单元化) ? 有的按用户id号划分,取模分配固定的单元 ? 有的按地理围栏划分 ? 有的只要考虑商家 ? 有的要考虑商家骑手用户三方匹配。

这个“逻辑”,是值得大家进一步思考的:

  •  工作逻辑,不是从技术出发,“装机”出产品、工具集、框架、体系。
  •  核心逻辑,是从业务特性、场景出发,取得业务效果。
  •  架构逻辑,影响了业务、数据、技术和基设部署。
  • 业技是强绑在一起的,极致耦合而不是解耦,甚至我觉得这些app没有并购整合的技术可行性。

A31:是的,不论是做网络安全还是数据安全,第一步都是理解业务,梳理链路,以及现在防0day从提取特征检黑向根据业务检白转变,不理解业务是做不到的。

A32:大家固定思维了,对于金融和多数行业,都是先有业务,再有技术,最后业务和技术一体化(第一类)。但对于新产业,新发明,也可以是先有技术,再有业务,最后达到技术与业务的一体化(第二类)。其实还有第三种、第四种模式。斗音就是典型的点技术后业务(用推荐技术取代了搜索技术,持续发产出直播带货的消费模式业务)。一家之言。

A33:国内乙方厂商产品的供应链安全,出现问题,应该打谁的板子呢?

A34:属于信息科技外包管理范围,主体责任不能外包。(六)建立和维护内部数据共享、外部数据引入、数据对外提供、数据出境的统筹管理机制,牵头对外部数据供应商进行安全管理,统筹大数据应用、数据共享项目的安全需求管理;这条要实现起来,非常不容易的,特别是要配套软件工具。

A35:是啊,要建立数据内部、跨公司主体和跨境流动的台账。数据资产台账、业务纬度的重要系统API台账、数据链路台账,路虽远行则将至。

A36:分类分级,如果数据分类分级涉及到核心数据,这事基本上就高规格了。

A37:保险中介机构,整体安全水平更拉胯了,有些连IT人员都是兼职的,等保都没做过呢。

A38:确实大部分公司活不下去,安全不重要,连岗位都没有,不过牌照公司一定不在此列,就不用考虑安全没必要的问题了,但当公司需要安全岗的时候,说安全不重要就不合时宜了。

A39:这里面有个劣币驱逐良币的问题,当市场充斥着过把瘾就死的公司,而且大部分时间也没什么事,原来做的比较好的公司基于成本压力也会逆向参考。

A40:这里面也不能完全怪甲方不投入,安全产品自身能力不及预期也是一个原因,企业买来产品效果完全不达逾期。

乙方的解释也有一定的道理,安全风险多种多样,没有银弹,没有特效药,所以要建风险防控体系,体系防控,说到体系防控那又是一个投入问题了。

系统单页面提供互联网服务,如何最小化整体暴露?

话题二:想咨询下各位大佬:一个系统的一个页面要提供互联网服务接收外部互联网用户提交的数据,但是不想把整个系统都作成互联网系统(整个系统有登录、鉴权和各种业务功能)。这种情况下,怎么配置这个系统可以满足最小化互联网暴露呢?P.S:不想用waf来做收敛,想让应用系统自身通过开发、配置来实现最小化暴露?目前应用系统已开发结束,比如是否可Apache或边界防火墙通过端口来控制。这方面大家有什么可落地的比较好实现的最优解决方案吗?

A1:用apache或者nginx的反向代理来做。

A2:是在Apache location上写正则表达式?

A3:只暴露一个接口出去,但是你怎么做用户的身份验证啥的。

A4:是,我也想过用单独一个端口暴露这个接口,但是怎么做身份鉴别呢。难道还要单独再开发个身份鉴别才可以么?主要你用户群体是啥?带上微信登录的token啥的这种也可以。

A5:比如通过短信受邀请的一些用户。对外提供的API接口不是已经有鉴权了么?怎么还需要再做一次?他们是一整个内部系统,其中有少部分业务要收集互联网外部用户的一些数据。

A6:nginx 就可以控制了,其他接口重定向到404页面。项目没用到Nginx……有Apache。一样的,或者只代理某个接口出去,策略写法不一样而已。外网单独一个域名到那个location吧。

A7:我是在想只代理某个接口出去,这个接口怎么做身份鉴别呢?比如通过短信受邀请的一些用户,是让他们再用手机号登录?还是说在短信里写点类似token的东西做鉴权?

A8:短信写token的话,入口主要是在手机短信侧,如果要用PC或者其他东西操作就比较麻烦。

A9:带有校验token这种方式吧,或者你公网有一套单点兼容校验。你标记受邀用户应该是要带token的。

0x2

原文始发于微信公众号(君哥的体历):系统单页面提供互联网服务,如何最小化整体暴露?|总第277周

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日09:17:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   系统单页面提供互联网服务,如何最小化整体暴露?https://cn-sec.com/archives/3653462.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息