6叶翔-安全之道以人为本（22页）.pdf

《6叶翔-安全之道以人为本（22页）.pdf》由会员分享，可在线阅读，更多相关《6叶翔-安全之道以人为本（22页）.pdf（22页珍藏版）》请在三个皮匠报告上搜索。

1、叶翔/CSO/华数集团高级工程师，长三角优秀首席安全官，浙江省网络安全空间协会副理事长，浙江省网络安全等级保护定级评审专家。曾就职于中国联通总部、中国电信总部和中国建设银行总行，目前在华数数字传媒集团有限公司负责网络安全管理，具有20年的网络规划设计和网络安全管理经验。演讲主题：安全之道，以人为本安全之道 以人为本叶 翔长三角优秀首席安全官 浙江省等保定级评审专家浙江省网信办、科技厅专家库专家高级工程师、CISA、JNCIS、MCSE分享点啥呢？安全产品与服务安全管理法律法规、制度、等保 安全运营 威胁情报 数据安全 攻防与渗透技术适合企业的安全管理方法才是好方法IT系统少运维就兼任安全的职能

2、IT系统多，但是中央集中安全部门独立出来搞运营IT系统分散，运维部门多，可能还分散到不同的地域 有钱的 四大行、国家电网、中国移动 没钱的 咋办呢？探索出一条自己的路12345网络和系统运维、开发、系统集成加起来，人数比较多，有群众基础把技术人员发动起来网络安全是个新趋势，有意愿学习的人很多里面不乏一些有兴趣的爱好者，早年因生活所迫，没有能搞网络安全网络安全人才价格高，国企很难直接招进来，自己培养比较便宜保持一个安全人才队伍的基数，可以有效应对人员流失Part 01行业竞赛行业竞赛培训，开展CTF+笔试(产品、法规、等保)练内功荣誉激励基本功 基础网络安全知识安全产品的使用防火墙、堡垒机、主机

3、加固和终端杀毒政策法规的普及等保、网络安全法、数据安全法、制度编写与贯彻运维审计、IT审计专项培训关基保护条例针对我司1个关基相关的几个系统的维护人员APP检测与个保法 针对我司APP开发部门CTF和实际工作之间的差距筛选出对安全技术有兴趣的人CTF和真实渗透之间的差距标准的CTF和AWD比赛30%20%50%甲方必须掌握的基础网络安全知识适当考虑行业特点CTF+AWD行业竞赛浙江省总工会 培养了技术人员的安全意识和安全知识让运维人员能够理解某些安全措施是必要的，比如DMZ区的设置选拔一批专门化的人才重点培养春 种 一 粒 粟，秋 收 万 颗 子春 种 一 粒 粟，秋 收 万 颗 子Part

4、02众测众测+隐患排查隐患排查为企业内部服务找外壳的缝隙奖金激励内 部 众 测内 部 众 测业务部门强势，过大的互联网暴露面十分烦恼历史原因造成的大量未纳入管控的内网互通规则运维打补丁节奏完全跟不上时代风险可控内部人员众测比社会众测风险低，且可以侵入内网开展工作为“大型真人实战演练”队伍练兵，红队和蓝队提前对抗老板说：肥水不流外人田，比安全公司的服务效果好价格低建立SRC 悬赏性价比培养队伍SRC的难点1、建立适合企业的规则2、熟悉企业情况的权威判分四、成功打击业务系统，可造成业务影响类序号威胁类型赋值规则备注1停止服务按影响用户数计量，每用户1分；影响部分业务的，由裁判酌情计分；仅影响新上线

5、用户的，按全量用户数1/3 计量直播10万封顶，其他业务5万封顶，集客业务3万封顶2篡改内容首页面和直播按影响用户数计量，每用户1分；次级页面0.1分，三级及以下页面0.01 分直播10万封顶，首页面5万封顶，其他页面3万封顶。3数据泄漏按可泄漏信息条目数计量，每条1分；含用户敏感信息(姓名、电话、身份证、住址、生物特征、支付卡号)三项及以上的每条10分。敏感信息5万封顶，其他信息3万封顶。集客业务3万封顶一、入侵并获取权限类序号 威胁类型赋值规则备注1获取域名控制权限每个一级域名或每套DNS授权服务器，10000分缓存DNS按核心生产网设备扣分2获取终端计算机权限办公20分/台，业务运营终端

6、50分/台，运维终端100分/台（这个会有突然得分很多的情况出现，比如拿下堡垒机、EDR后会群控很多机器，这个要不要加个得分上限？）扣对应终端主人的公司积分3获取邮箱账号密码20分/个，单个红队最多200分扣对应邮箱主人的公司积分4获取web应用系统、ftp等应用的用户权限普通用户权限20分（同等权限按一个账户计），后台管理员权限100分。单个攻击方得分累计不超过3000分，特别重大战果由裁判组研判后给分。5获取单点登录认证系统权限（sso）系统管理权限500分，能登入的系统100分/个。6获取服务器主机权限（含webshell权限）普通用户权限50分（