2019年春秋航空信息安全纷争.pdf

《2019年春秋航空信息安全纷争.pdf》由会员分享，可在线阅读，更多相关《2019年春秋航空信息安全纷争.pdf（29页珍藏版）》请在三个皮匠报告上搜索。

1、春秋航空网络与信息安全分享 安全建设理念 业务安全维度 体系安全维度 基础架构维度安全建设理念谁跑得更快？VSVS良好的企业环境是安全工作持续稳定开展的基石VS用对人始终是重新掌控主动的核心因素企业安全建设理念工具人环境工具安全源头的“深度”与“广度”决定了安全边界，控制环节的“精度”与“时延”决定了安全工作的有效性，合适工具的使用能加速促进安全管理转型。人安全事务的发起者、组织者、推动者，为安全工作的最终落实负责，合适的人员才是打开安全困局的钥匙。环境行业背景决定最低安全标准；管理层安全意识决定安全建设高度；一线员工执行水平决定企业安全水平。持续渐 进平 衡企业安全建设更像是中医调理，更关注

2、整体而非局部体系安全维度信息安全组织发展进程初创阶段(20082014)SDLC阶段(20152017)安全合规(2017至今)信息安全体系初建信息安全组织、岗位设立信息安全审计SMS部门体系初步建设上线前渗透测试信息资产风险评估软件开发生命周期安全规定部门安全绩效体系建立网络安全法信息系统等级保护第三方支付数据安全标准（PCI）通用数据保护条例（GDPR）行业自查&法定自查初创阶段（20082014）安全监察部安全总监产品部研发部运维部安全质量部信息技术部监管信息技术部下设安全质量部门；安全监察部下设IT监察员；SDLC阶段(20152017)需求设计开发测试部署和运维安全测试用例上线前渗透

3、测试安全需求编码规范灾备、可持续安全架构安全定级180+项目/每年风险管理全流程渗透（持续、动态）系统和工作分析危险源识别风险分析风险评价风险控制目标：剩余风险可接受风险是否可接受可能性&严重性人的不安全行为物的不安全状态环境的不安全条件管理的缺陷SHELL风险管理启动时机：年度例行（2次）；系统评价、管理评审中发现问题时；新运行项目、项目重大变更；外部环境、内部组织重大变更；重大安全事件发生、重复事件发生；安全合规阶段(2017至今)GDPR等级保护法定自查网络安全法PCI数据标准行业自查7个重要信息系统等级保护定级备案；设立DPO(Data Protection Officer)；整合6大

4、业务部门开展数据合规工作；结合技术与业务合规标准。季度应急演练深入开展启动演练设计人员演练目标演练对象演练场景计划统一方案涉众评审通过双盲演练（时间、场景）执行演练数据颗粒化演练记录员领导现场观摩当天现场总结复盘涉众复盘多角度问题总结数据记录追溯完整应急预案复盘总结数据统计分析优化措施落实应急预案修订季度应急演练深入开展组织搭建、建章立制、监督预警、跟踪执行、应急演练业务安全维度终端的防护黑客二次打包再签名植入病毒携带病毒的APP帐号密码支付短信通讯录等加固混淆防止二次打包防止源码泄漏交互安全防批量注册防短信轰炸防登录撞库数据通讯的防护WAF防爬、防刷防御CC攻击防数据泄露防网页篡改、木马后门

5、0day漏洞修复HTTPs全站部署HTTPs防劫持防篡改安全加密使网站可信合规认证PCI-DSS的全称为(Payment Card Industry Data Security Standard)支付卡产业数据安全标准，是全球最严格且级别最高的金融数据安全标准。由于操作性极强，被金融业外的各大行业奉为通用的安全标准。收到企业提交的PCI-DSSS认证申请后，PCI-DSS会授权独立审查公司，对申请企业进行全方位、彻底的审核。而审核内容分含6大领域、12项规范、200余向审核指标，以6大领域为例，包括：1、构建并维护安全的网络;2、保护持卡人数据;3、维护漏洞管理程序;4、执行严格的访问控制措施

6、;5、定期监控网络和测试网络;6、维护信息安全政策。审核包括自我安全检测、漏洞分析、安全调查三大阶段，考察范围涉及硬件、软件、员工和公司管理等多项指标，并且每年至少接受一次重检。一般的认证流程是这样的风控平台“提直降代”对春秋不是一项“ZZ”任务，是基因使然持续打击“黑代”与“薅羊毛”行为，守护旅客利益诉求基础架构维度备份机制的演进第一阶段通用备份软件（主）少量备份脚本（辅）第二阶段自动化脚本规模化通用备份软件（辅）第三阶段任务监控集中化备份恢复自助化备份恢复工单化第四阶段业务联动智能化波动预警可视化RTO考核指标化本地备份源业务联动智能本地存储介质测试