金融业企业安全建设实践群
第95期0426-0509
上周群里共有 150 位群友参与讨论
13 个话题分为以下6类
安全管理:3 个
安全技术:4 个
求文档:0 个
产品推荐:2 个
法规解读:3 个
行业思考:1 个
【安全管理】
1、《某省联社IT员工修改系统数据 596万被盗毫不知情》负责省联社核心系统贷款模块技术研发、运行维护、数据修正、漏洞修复等工作,一人全包。能技术研发、漏洞修复正常,运行维护就涉嫌违反权责分离了,数据修正就离谱,开发顶多给sql,执行必定是dba执行 然后其实去年也有某大行开发二部经理给自己加钱,只不过在银行里钱还真就只是一个数字,没人恶意改他也有可能错,清算对账才是实打实的金钱,技术基本搞不定这个环节,有命改没命洗。
2、做个小调查~ 做安全培训的时候,如果人数过多或者分散的情况下。通过什么方式来保障培训质量或者应该接受培训的人员确实受到该有的培训(相对来说)?
3、请教一下各位大佬,知道如何获取整改报告吗,我们国家网信办第一次通报,也没有联系方式。建议如果找不到人,只能发文处公众号、官网或者红头文件查询相关信息了,这几年网信办,工信部、公安部,属地都在执法,确实有点乱。
【安全技术】
1、各位老大咨询一下各位公司邮箱,是直接内外网都可以访问的,还是说外网需要vpn登陆才可以访问的,如果不需要vpn限制,那么安全方面都做了哪些措施?
2、企业邮的密码和本地LDAP对接了吗?
3、《你家的创维电视正在监控你》第三方sdk偷偷对用户隐私采集上传。“根据爆料内容,创维电视的后台默认运行着“勾正数据服务”。对这项服务的分析发现,它每隔10分钟就会扫描一次家中所有联网设备,记录下设备的hostname、mac、ip等等信息。最后,信息被打包、传到一个叫gz-data.com的域名。”第三方sdk白名单机制.... 权限,高危api扫描... 沙箱,api hook... 供应链安全有点烦……
4、请教一个问题,在对全公司域名进行全栈HTTPS检测的时候,有没有一些比较好的方案?
【求文档】
无。
【产品推荐】
1、腾讯免费开放「可疑黑灰产微信帐号反馈入口」。
2、请问大佬们,渗透服务都是根据什么来报价的?hourly rate?(1)签订年度框架服务协议,根据实际情况从整体综合上衡量报价;(2)以发现风险或高危漏洞数量计价(众测);当然也包含乙方高,中,低不同级别工程师服务报价的。
【法规解读】
1、请教一个问题,支付场景中,手机算一个认证要素么?
2、我们近期在做省hvv前准备,发现前段时间国家hvv的时候,疑似有攻击队来对我们进行攻击,感觉是想通过我们对我们客户进行攻击,现在还允许对供应链进行攻击么?
3、去年参加一个行业的标准培训。当时老师介绍了国内标准组成,供参考。目前我国执行的标准由团、企、地、行、国五类组成。团体标准由社会团体自己制定;企业标准由企业自己制定;地方标准由省、自治区和直辖市标准化行政主管部门制定;行业标准由国务院有关行政主管部门制定;国家标准由国务院标准化行政主管部门制定。
【行业思考】
1、《美国防部大动作,或造成我国内网数据泄露》论ipv6规模部署的重要性,国家的ipv6推广战略还是很有远见的。国家战略有时候未必是正确的,比如量子通信基本就是骗钱的。普通人,普通企业,做好自己份的事就好了。国家全额拨款的单位,要支持好国家战略。普通企业支持,头部企业示范,这是基本担当。由于ipv4地址短缺,所广泛使用的NAT,其实避免了不少安全问题。而运维和安全人员对ipv6的不熟悉,加上安全设备对ipv6支持不好,其实回造成ipv6安全级别降低。短时间是这样,长期会很快回升的。
---------------------------------------------------------------------------------------
企业安全建设实践群
第20期0426-0509
上周群里共有 153 位群友参与讨论
21 个话题分为以下6类
安全管理:5 个
安全技术:6 个
求文档:3 个
产品推荐:3 个
法规解读:4 个
行业思考:0个
【安全管理】
1、顺便再问一下大佬,网络安全责任书,由谁签署?安全经理签署还是说必须总监或cto级别签署?
2、请问下各位大佬,有没有遇到过有些公司,如果应用了对方公司的字体,对方公司连个律师函都不发就搞你的这种公司,比如投诉苹果市场,让下线app。安全合规还需要管设计字体的知识产权问题?版权类问题规IP部门管,可用性规BCM管,安全部门不是大管家。
3、某成品软件没有防爆破功能,我们安全测试时证明了漏洞,让厂商修复,结果厂商说这是定制功能,需要加钱,我认为修复漏洞是厂商卖产品的义务,不应该收费,大家怎么看这种情况?
4、公司想请一家国外公司做员工满意度调查,数据可能出境做分析,各位大佬有什么建议?
5、大佬们,有在做100周年重保的嘛,方案大概从哪些方面制定啊?是不是可以参考护碗方案,先整个小组统筹协调负总责,然后按照顺序罗列事情,每个事情安排相关人员完成,前面或者后面再补充下总体要求啥的,比如高度重视压实责任。
【安全技术】
1、《美国防部大动作,或造成我国内网数据泄露》“这些地址范围,包括:6.0.0.0 - 6.255.255.255 7.0.0.0 - 7.255.255.255 11.0.0.0 - 11.255.255.255 21.0.0.0 - 21.255.255.255 22.0.0.0 - 22.255.255.255 26.0.0.0 - 26.255.255.255 28.0.0.0 - 28.255.255.255 29.0.0.0 - 29.255.255.255 30.0.0.0 - 30.255.255.255 33.0.0.0 - 33.255.255.255 55.0.0.0 - 55.255.255.255 214.0.0.0 - 214.255.255.255 215.0.0.0 - 215.255.255.255 如果你管理一个大中型网络,且内部使用了上述地址,请立即在网络边界阻断对这些地址的访问,详细步骤见后文。”“2.内部网络路由表中并没有对应的条目” --不明白为啥会出现这种场景,内部网络配置了这类地址段,但又没在内网发布对应路由,那这类地址段的用途是啥。。内网为啥会有访问这类目标地址的数据包?当私有地址没问题,就是想不通为啥会产生出现问题的场景?例如我内网分配了9.9.9.0/24作为服务器段给内部用户使用,那内网肯定要有该路由的。
2、咨询一个问题,如果在云上申请一个公网EIP,在没有使用的情况下,这个IP也相当于暴露在公网了吗?Eip没有附给实例使用的时候记得好像是没有激活的,没有公布到公网的。
3、大家对于应用报文加密的WEB业务,怎么做安全防护呢,比如利用SM4对HTTP报文数据加密,WAF/IPS等无法识别报文内容,这个时候如何检测加密报文中的攻击载荷呢?
4、想请教下大家,(1)对于加密套件的算法位数的选择,大家怎么设置?(如 AES128以上,SHA256以上?要考虑兼容性问题)(2)或哪里可以查到行业的标准?
5、咨询一下各位大佬,咱们APP客户端如果使用了指纹、人脸、手势登录这些方式后,是否在本地还要加密存一份用户的账号口令?用于在指纹等认证通过后,将账号口令从客户端发送给服务器进行APP应用的认证校验?
6、各位专家,请问针对mysql数据访问加密(包括应用访问数据库和人员通过工具运维数据库中的数据传输加密),这块通过什么技术来实现啊?
【求文档】
1、各位大佬,谁有《云计算技术金融应用规范 技术架构》(JR/T 0166-2020)、《云计算技术金融应用规范 安全技术要求》(JR/T 0167-2020)、《云计算技术金融应用规范 容灾》(JR/T 0168-2020)这三份文件呀,求分享。
2、各位大佬,求ISP(网络服务提供商)需要落实的网络安全合规要求或标准。
3、系统的需求开发迭代 纳入安全流程管控,这个大家有好的分类分级的 落地标准和策略吗?比如 互联网类、数据类、新建系统 这些肯定是要纳入安全流程的,内网系统怎么纳管呢,还有一些对外提供服务的等等,管的系统多了 精力不够,好多需求迭代 也不涉及安全需求,这个有没有好的规范标准?
【产品推荐】
1、求教靠本地终端(笔记本、台式机)资源实现虚拟桌面,两个桌面分别访问内外网,有投产使用还不错的么?
2、各位大佬,有认识做SDK安全和合规检测的企业吗?
3、有没有在公司大规模部署上线openedr?怎么样?个人觉得,不是有能力能把开源的项目自己都搞了,就不要去用开源产品,遇到问题把自己坑死在里面的。曾使用过开源postfix 用于企业邮箱、openvpn用于企业VPN,看上去免费实际对中小企业来说根本不划算,在用户体验,维护成本上。来源免费的方案适用于中小企业的,需要定制和内部系统结合的地方少,至于售后、用户体验都是可以靠人扛过去的,性价比高。
【法规解读】
1、各位好,请问三四级网络是怎么定义的呢?等保定级。
2、请教一个问题,金融业的业务应用系统的密码算法要求,有相关规定明确要求要使用SM2/SM3/SM4等算法吗?对于RSA2048、AES-256等能不能使用呢?
3、大佬们,等保三级的防火墙是要双机热备的吗?
4、请教个问题,我们的邮件目前放在第三方,我想把邮件迁回来本地部署,法务提出对于电子取证第三方的法律效力认可要高于本地取证的效力认可(认为你放在本地有被篡改的可能),大家邮件应该都是本地化部署,怎么解决这个问题?请教下。可以和法务再沟通一下,一般电子举证是通过归档系统来提供的。这个上面存档的是原始邮件。
【行业思考】
无。
-----------------------------------------------------------------------------------
群话题 | 关键词:IP封禁影响访问、Chrome 远程代码执行 0Day 、微信PC版0Day、提高安全在业务上的影响力……
群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……
群话题 | 本期关键词:权限管理、CVE漏洞管理、容器安全自研或外购、实战化渗透测试人才技能要求、敏捷合规安全三者找平衡点……
群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……
群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……
群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
本文始发于微信公众号(君哥的体历):群话题 | 关键词:安全培训质量如何保证,外网登录公司邮箱是否要VPN,第三方sdk偷偷采集用户隐私,mysql数据加密的实现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论