互聯(lián)網(wǎng)企業(yè)信息安全建設(shè)落地實踐

1、互聯(lián)網(wǎng)企業(yè)信息安全建設(shè)落地實踐技術(shù)創(chuàng)新，變革未來互聯(lián)網(wǎng)企業(yè)需要什么樣的安全安全工作的“天時、地利、人和”安全建設(shè)落地經(jīng)驗分享CONTENTS互聯(lián)網(wǎng)企業(yè)安全主體責任責權(quán)一致：主體責任彰顯企業(yè)擔當2018年4月20日至21日，習近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議上提出：要堅定不移支持網(wǎng)信企業(yè)做大做強，加強規(guī)范引導，促進 其健康有序發(fā)展。企業(yè)發(fā)展要堅持經(jīng)濟效益和社會效益相 統(tǒng)一，更好承擔起社會責任和道德責任。要落實關(guān)鍵信息基礎(chǔ)設(shè)施防護責任，行業(yè)、企業(yè)作為關(guān)鍵 信息基礎(chǔ)設(shè)施運營者承擔主體防護責任，主管部門履行好 監(jiān)管責任。要壓實互聯(lián)網(wǎng)企業(yè)的主體責任，決不能讓互聯(lián)網(wǎng)成為傳播 有害信息、造謠生事的平

2、臺。要加強互聯(lián)網(wǎng)行業(yè)自律，調(diào) 動網(wǎng)民積極性，動員各方面力量參與治理。要依法嚴厲打擊網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個人 隱私等違法犯罪行為，切斷網(wǎng)絡(luò)犯罪利益鏈條，持續(xù)形成 高壓態(tài)勢，維護人民群眾合法權(quán)益。服務(wù)、便利安全、可靠社會責任互聯(lián)網(wǎng)企業(yè)安全工作的特點傳統(tǒng)安全手段失效，變化帶來更大風險安全解決方案復雜，難以推動和落地安全、可用性、易用性/便利、成本/收益業(yè)務(wù)優(yōu)先，BG/BU制，話語權(quán)安全實用主義，最小成本最大收益 自建團隊，研發(fā)能力和影響力人員招聘、影響力、成長空間、穩(wěn)定性安全很重要，但是流量大，變化快，開發(fā)上線迭代快是動態(tài) 的是持續(xù)的需要持續(xù)投入需要高 層支持不只是 安全部是相對 的安全

3、互聯(lián)網(wǎng)企業(yè)安全架構(gòu)樹立正確的安全觀高層支持安全投入建立專業(yè)團隊對業(yè)務(wù)的賦能互聯(lián)網(wǎng)企業(yè)安全架構(gòu)安全能力演進4對抗3防御2感知1救火安全體系分布推進安全能力逐步提升互聯(lián)網(wǎng)企業(yè)安全架構(gòu)安全建設(shè)安全組織安全團隊：團隊規(guī)模；角色構(gòu)成；內(nèi)部安全組織安全能力識別和處置能力；感知和響應(yīng)能力；安全自動化平臺化 安全建設(shè)和運營能力；研究和學習能力安全體系安全規(guī)劃；安全體系完整性；安全管理和技術(shù)體系結(jié)合安全運營持續(xù)運營；精細化運營；運營可量化可視化；安全運營落地安全意識明確信息安全方面的職責和義務(wù) 安全意識教育和文化建設(shè)互聯(lián)網(wǎng)企業(yè)安全架構(gòu)團隊方向一支專業(yè)的安全團隊+匹配專業(yè)能力互聯(lián)網(wǎng)企業(yè)安全架構(gòu)總體設(shè)計線上數(shù)據(jù)風險

4、數(shù)據(jù)安全數(shù)據(jù)地圖數(shù)據(jù)識 別分級分 類敏感標 記數(shù)據(jù) 目錄數(shù)據(jù)流關(guān)聯(lián)數(shù)據(jù)血 緣所有者工單應(yīng)用接口數(shù)據(jù)監(jiān) 控數(shù)據(jù)庫審計隱私數(shù)據(jù)加密基礎(chǔ)安全漏洞檢測漏洞檢測平臺代碼審計平臺防御能力應(yīng)用防火墻感知能力態(tài)勢感知主機入侵檢測控制能力AAAA制度、策略、流程資產(chǎn)管理持續(xù)改進等保測評行業(yè)安全認證業(yè)務(wù)安全會員安全系統(tǒng)會員加固機器識別持續(xù)認證指紋庫安全平臺預警SDL風險整改跟進安全門戶安全演練安全運營安全影響力預警&檢測應(yīng)急響應(yīng)安全事件應(yīng)急SRC平臺安全宣傳&培訓安全事件復盤安全體系安全管理體系安全意識培訓合規(guī)建設(shè)國家法律、標準監(jiān)管和重大保障 國際標準和認證管理層重要崗位、IT持續(xù)驗證線下數(shù)據(jù)風險終端&網(wǎng)絡(luò)DLP

5、 可信計算 EMM大數(shù)據(jù)在線分析 權(quán)限控制隱私數(shù)據(jù)脫敏第三方數(shù)據(jù)風險數(shù)據(jù)接口監(jiān)控水印染色可信計算安全審計密鑰管理權(quán)限管理身份認證安全加固互聯(lián)網(wǎng)企業(yè)需要什么樣的安全安全工作的“天時、地利、人和”安全建設(shè)落地經(jīng)驗分享CONTENTS天時公安、網(wǎng)信、工信合規(guī)vs合法下架、永久關(guān)停、 新聞報道國家要求 合規(guī)要求監(jiān)管趨嚴業(yè)務(wù)方的共鳴和重視地利01事件驅(qū)動：正確“利用”安全問題02內(nèi)部運營：應(yīng)急、監(jiān)控感知、風險治理03安全組織：安全共贏，內(nèi)部生態(tài)建立04安全文化：安全獎懲，影響力建設(shè)人和內(nèi)部團隊建設(shè)快速搭建團隊，團隊文化，責任心，靠譜外部行業(yè)關(guān)系朋友圈很重要，白帽子、同行、第三方、社區(qū)、監(jiān)管層對接公安、網(wǎng)

6、信、工信、行業(yè)監(jiān)管機構(gòu)行業(yè)生態(tài)建立上下游（供應(yīng)商、分銷商、保險公司、代理機構(gòu)）互聯(lián)網(wǎng)企業(yè)需要什么樣的安全安全工作的“天時、地利、人和”安全建設(shè)落地經(jīng)驗分享CONTENTS安全建設(shè)落地經(jīng)驗分享Part1基礎(chǔ)安全Part2數(shù)據(jù)安全Part3業(yè)務(wù)安全Part4安全合規(guī)Part5安全生態(tài)01基礎(chǔ)安全能力Part OneA、風險治理能力技術(shù)運營管理 技術(shù)風險發(fā)現(xiàn)能力，風險管理平臺，安全工單 運營風險管理制度，安全接口人 管理定量運營指標，可視化，風險跟進機制SDL/DEVSECOPS/三同步TrainingRequirementsDesignImplementationVerificationRelea

7、seresponse安全意識培訓代碼安全規(guī)范安全需求分析黑盒檢測服務(wù)QA檢測流程白盒代碼審計黑盒漏洞檢測代碼規(guī)范培訓安全測試規(guī)范安全功能白盒檢測服務(wù)黑盒檢測插件上線卡點資產(chǎn)日常宣傳關(guān)鍵崗位考核漏洞管理規(guī)范組件版本安全策略人工檢測服務(wù)流量爬蟲風險跟進風險工單安全團隊業(yè)務(wù)團隊要求、賦能配合、執(zhí)行關(guān)鍵詞：流程、工具、培訓分布式安全掃描平臺業(yè)務(wù)資產(chǎn)識別（自適應(yīng)資產(chǎn)變化）CMDB+端口掃描+流量+爬蟲分布式掃描（自適應(yīng)任務(wù)調(diào)度）調(diào)度引擎+單業(yè)務(wù)控制+限速機制漏洞檢測規(guī)則（自適應(yīng)漏洞規(guī)則）通用組件+通用漏洞+邏輯問題+0day安全風險發(fā)現(xiàn)敏感后臺對外，風險服務(wù)，接口，弱口令等賦能業(yè)務(wù)研發(fā)和QA使用安全檢測

8、工具，安全風險發(fā)現(xiàn)前移代碼審計平臺審計 報告代碼庫系統(tǒng) 上線 平臺生成報告上線卡點監(jiān)測通知下載代碼代碼審計系統(tǒng)代碼掃描引擎批量任務(wù)下發(fā)檢測任務(wù)引擎上線平臺對接系統(tǒng)上線觸發(fā)掃描任務(wù)根據(jù)掃描結(jié)果執(zhí)行上線動作批量自動化掃描任務(wù)調(diào)度，批量掃描效率最大化代碼庫自動下載代碼漏洞檢測規(guī)則通用組件+通用漏洞+邏輯問題+0day定制掃描規(guī)則系統(tǒng)上線和迭代，自動檢測，卡點B、監(jiān)控感知能力A內(nèi)部B外部態(tài)勢感知 NIDS HIDS暗網(wǎng)監(jiān)控 網(wǎng)盤監(jiān)控 GitHub監(jiān)控 威脅情報流量爬蟲情報日志Agent網(wǎng)絡(luò)側(cè)入侵檢測平臺主機入侵檢測平臺IP、MAC、操作系統(tǒng)，系統(tǒng)賬號，軟件，進程，web框架資產(chǎn)識別AWebShell、

9、系統(tǒng)后門、本地提權(quán)、爆破、內(nèi)網(wǎng)探測、 系統(tǒng)漏洞、弱口令、文件篡改風險發(fā)現(xiàn)B應(yīng)急工具、批量執(zhí)行腳本、同類系統(tǒng)定位應(yīng)急響應(yīng)CC、綜合防控體系WAF邊界實時攔截 通用漏洞應(yīng)急 攻擊監(jiān)控內(nèi)網(wǎng)權(quán)限身份認證鑒權(quán) 操作命令審計 密碼保護02數(shù)據(jù)安全能力Part Two數(shù)據(jù)安全體系建設(shè)：全生命周期防護，結(jié)合業(yè)務(wù)場景落地數(shù)據(jù)安全架構(gòu)用戶數(shù)據(jù)安全：日志審計風險告警對重要系統(tǒng)后臺實現(xiàn)異常行為風險告警人工規(guī)則+機器學習取證溯源多種事件關(guān)聯(lián)，還原整個事件保存原始日志和證據(jù)應(yīng)用數(shù)據(jù)網(wǎng)關(guān)應(yīng)用接口調(diào)用審計數(shù)據(jù)訪問使用審計用戶數(shù)據(jù)安全：加解密/密鑰管理加解密和密鑰管理：加解密服務(wù)密鑰申請，存儲，分發(fā) 日志敏感信息加密自研加解密

10、服務(wù)（SDK），業(yè)務(wù)集成。密鑰統(tǒng)一申請和分發(fā)，跨業(yè)務(wù)解密通過平臺統(tǒng)一授權(quán)，與工單系統(tǒng)結(jié)合。日志平臺集成加解密服務(wù)，日常查詢敏感字段被加密，查詢 需申請。用戶數(shù)據(jù)安全：脫敏/去標識化數(shù)據(jù)接口 脫敏APIA生產(chǎn)-測試 脫敏B顯示脫敏C數(shù)據(jù)脫敏辦公網(wǎng)數(shù)據(jù)安全保護核心數(shù)據(jù)保護的（文件、數(shù)據(jù)、代碼） 難題：辦公設(shè)備管控難關(guān)鍵數(shù)據(jù)定位難數(shù)據(jù)泄密管控難數(shù)據(jù)預警審計難移動設(shè)備硬件Android 操作系統(tǒng)Android 系統(tǒng)空間移動數(shù)據(jù)防泄漏應(yīng) 用 傳 輸 隧 道虛擬空間應(yīng)用安全沙箱EMMDLPEMM用戶數(shù)據(jù)安全：數(shù)據(jù)防泄漏可信計算：客服場景零信任安全方案落地離線狀態(tài)在線狀態(tài)個人環(huán)境安全環(huán)境軟件定義邊界安全環(huán)境

11、可訪問網(wǎng) 絡(luò)隔離限制個人環(huán)境與生產(chǎn)環(huán) 境隔離本地環(huán)境隔離網(wǎng)絡(luò)進程文件系統(tǒng)在線強認證環(huán)境確認注銷掉線環(huán)境異常個人環(huán)境安全環(huán)境個人環(huán)境正常訪問研發(fā)環(huán)境鎖定無法訪問操作監(jiān)控與 異常檢測數(shù)據(jù)操作全流程追蹤惡意/違規(guī)操作檢測03業(yè)務(wù)安全能力Part Three業(yè)務(wù)數(shù)據(jù)安全：會員安全注冊1登錄2下單3支付4用戶 行為設(shè)備 指紋指紋 庫用戶畫像策略引擎威脅 情報情報庫規(guī)則 庫實時風控API離線分析離線畫像WAF防火墻驗證 碼持續(xù)對抗04安全合規(guī)Part Four安全合規(guī)技術(shù)規(guī)范等級保護個人信息安全規(guī)范數(shù)據(jù)出境APP安全合規(guī)互聯(lián)網(wǎng)行業(yè)要求旅游行業(yè)要求電商法PCI/DSSISO27001GDPR60%一致40%

12、不一致安全合規(guī)技術(shù)規(guī)范提煉、歸類、合并、評測等級保護落地對象分級保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云平臺、移動互聯(lián)網(wǎng)、行業(yè)控制系統(tǒng)安全管理中心安全組織運營網(wǎng)絡(luò)安全綜合防御風險/漏洞管理系統(tǒng)預警/審計系統(tǒng)網(wǎng)絡(luò)/權(quán)限管控系統(tǒng)安全技術(shù)能力數(shù)據(jù)安全平臺業(yè)務(wù)安全平臺安全門戶安全制度、流程、基線安全管理委員會安全應(yīng)急小組安全專項治理小組全面梳理系統(tǒng)范圍和邊界通過等級保護工作推進網(wǎng)絡(luò)安全防護手段和安全規(guī)范要求落地APP 安全認證隱私政策獨立、易讀功能及收集信息類型 個人信息處理規(guī)則 免責聲明APP功能隱私協(xié)議彈窗權(quán)限：明示目的、方式、范圍 不得捆綁和強制授權(quán)非必要功能處理第三方SDK制度記錄管理制度 事件處置個人信息影響評估 安全審計第三方安全協(xié)議認證要求：個人信息安全規(guī)