2020CIS基于安全切面实现银行级默认安全（10页）.pdf

《2020CIS基于安全切面实现银行级默认安全（10页）.pdf》由会员分享，可在线阅读，更多相关《2020CIS基于安全切面实现银行级默认安全（10页）.pdf（10页珍藏版）》请在三个皮匠报告上搜索。

1、基于安全切面实现银行级默认安全张欧 网商银行安全负责人自我简介19年至今 网商银行 CISO10年-19年 蚂蚁安全团队，应用安全，威胁感知，安全产品，零信任/可信计算西安电子科技大学 信息安全摘要攻防演习的艰难决定问题与挑战分析解决思路实现方案总结（Take Away）攻防演习期间的艰难决定攻防演习中监管的要求银行业的安全要求不因任何安全事件扣分扣了分，快速止血/溯源加回来攻防演习期间的艰难决定要不要关停研发测试网？要不要禁止发布/变更？VS问题：新系统发布的风险防御机制策略未必及时覆盖引入新漏洞和攻击面重要业务不允许暂停双十一大促业务核心业务关键节点问题分析高效率零风险如何规避变更带来的安

2、全风险敞口？新系统、新功能、新域名、新接口如何不影响业务效率？安全评估慢、安全防御成本高、上线后因安全返工业界已知实践SDLC安全研发流程培训需求评审安全测试发布审核安全防御产品覆盖面不全、需求碎片化人力不足响应慢影响业务效率挑战覆盖遗漏（新应用/主机/服务）资产记录不全、不准防御策略与业务场景不匹配WAFHIDS态势感知。上线前上线后解决思路：默认安全变更全面感知评估安全组件默认覆盖只允许安全模式变更：增、删、改网络应用人员计算新主机/容器、配置修改、下线入职、离职、转岗、职责变更ACL变更、新VIP、新域名新应用、代码修改、新功能、业务配置修改安全评估自动化评估测试人工评估已知场景风险标准

3、漏洞风险新增场景风险默认安全组件标准安全能力新组件沉淀研发安全组件运行时安全能力标准化感知覆盖定制运行准入验证流程准入应用运行准入打标网络访问准入计算资源准入安全切面背景安全切面：安全防御的平行空间 韦韬业务透视逻辑解藕精确管控基于安全切面的实现方案上线系统变化代码变更运维变更生产运行环境网络切点应用运行切点计算资源切点代码准入进程行为实体身份用户权限行为模式实体状态接口权限代码行为数据访问容器镜像身份识别资产合法性主机配置数据内容运维安全切面API标准回调API应用测试运行时切点代码变化网络请求运行数据接口参数数据访问变更内容变更类型远程调用安全评估风险识别智能决策中心人工评估漏洞判断行为模式分析风险评估防御措施制定风险定级防御动作/策略策略/能力沉淀防御策略生成补充