刘亦翔-金融企业安全建设痛点实践（21页）.pdf

《刘亦翔-金融企业安全建设痛点实践（21页）.pdf》由会员分享，可在线阅读，更多相关《刘亦翔-金融企业安全建设痛点实践（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、金融企业安全建设痛点实践安全措施的执行和落地，一直是安全行业共有的痛点，非管理或技术单方面能解决。组织、文化、制度、流程、工具无一不需要关注，且和企业成熟度有强关联。解决方法是行业内争议非常大的点，八仙过海各显神通，效果不一，不敢妄自评论优劣。总结下思考和实践的过程，供参考。Who am i场景案例思考分析解决实践Q&A场景案例场景案例1.我没有时间处理这个任务2.你说是漏洞就是漏洞3.这个弱口令无法修复4.不修不修就不修 你咋的5.互扛撕逼找领导协作简史2017年（明怼阶段）安全：我们检测出有漏洞，你们修复吧？运维：你说是漏洞就是漏洞啊，把业务修挂了你负责啊？安全：系统被攻破了，你负全全责吗

2、？运维：这漏洞修不了因为xxx、还有xxx，还有xxxx。安全：行，不修你签字负全责吧。2018年（暗战阶段）安全：上线要过安全检测啊。开发：好，我们会过的（然后悄悄的绕过）。开发：出了个漏洞，这个你们检测过啊？你没查出来你负全责。安全：.协作简史2019年（同舟共济）开发：这个我们是这样设计的，你看有没有安全问题？安全：好的，我们评审后觉得可以，出事一起抗。2020年（同步规划-建设-运营）项目组A：DevOps项目安全需求你们写。项目组B：容器安全项目安全需求你们写。思考分析企业生命周期、运行逻辑与安全策略创业期 发展期 守业期 改革期 夕阳期组织（地位）流程（引导）工具（效率）制度（控制

3、）文化（认可）行业特性银行、证券、保险等金融行业互联网行业政府行业教育行业金融行业业务 容易招攻击者 线上业务众多 业务关联复杂IT 历史包袱重 机房和IDC多 供应商强依赖驱动力 监管合规 安全事件 安全风险人员 老领导众多 元老员工众多 人员关系复杂组织结构和规划、团队生命周期与安全策略企业战略规划业务规划.信息技术规划安全规划研发规划运维规划和安全策略成立期（突破）适应期（调整）运营期（融合）.任务优先级、关系类型与安全策略年度绩效任务领导安排任务同事协作任务自主发起任务差序格局图“差序格局”是发生在亲属关系、地缘关系中的，以自己为中心像水波纹一样推及开，愈推愈远，愈推愈薄且能放能收，能

4、伸能缩的社会格局，且它随自己所处时空的变化而产生不同的圈子。驱动/驱动力和安全策略驱动力类型考核双向考核 多奖少罚协作求同存民 合作共赢专家利害驱动 严谨专业人情诚信为基 守望相助魅力人畜无害 乐于助人规划驱动风险驱动事件驱动合规驱动协作七步 师出有名 第一 目标共赢 第二 思考角度 第三 和谐沟通 第四 让渡选择 第五 双向考核 第六 共同承担 第七解决实践解决总体80%的问题安全文化为基 原则宣传 入职培训 在职培训 组队活动活动 定位=队友 地位=管理 能力=专家 定位=队友效果师出有名 第一规划驱动风险驱动事件驱动合规驱动解决总体80%的问题目标共赢 第二成果共享 项目成果 任务成果奖

5、励机制 绩效奖励 实物奖励协作机制 加入职责 领导确认表扬机制 榜样效应思考角度 第三为对方解决问题为自己解决问题解决中间15%的问题和谐沟通 第四让渡选择 第五任务心境立场环境自主选择被迫接受解决最后4%的问题双向考核 第六 安全风险发现 解决方案提供 安全工具安装 漏洞提前修复奖励 安全措施绕过 漏洞逾期修复 应急响应逾期处罚共同承担 第七解决最后1%的问题例外管理流程申请人安全专员申请人团队长安全团队长申请人总监安全总监申请人总经理IT总经理绝对有路可走有大局 识大体 方能成事 大家是一条船上的人，我们的目标是一起为业务共筑一个稳定、安全的环境。只有公司的利益得到保证，我们大家才能过的更好。最后想到领导的核心价值图，以诚信为基，担当、合作、务实为柱，大局为顶。方能成就自己、成就团队、成就公司。悄悄的用一下我们总经理的图 哈哈