2019年车好多安全运营实践.pdf

《2019年车好多安全运营实践.pdf》由会员分享，可在线阅读，更多相关《2019年车好多安全运营实践.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、车好多安全运营实践2019/11/63目录 什么是安全运营 为什么要做安全运营 安全运营的内容 安全运营的框架 安全运营踩过的坑目 录什么是安全运营？IDENTIFYPROTECTDETECTRESPONDRECOVER参考CYBERSECURITY FRAMEWORK采用PDCA的迭代循环方式通过在识别、保护、检测、反馈和恢复环节不断优化，最终持续提升整体企业整体安全水平。安全策略2019/11/65为什么要做安全运营持续不断的提升集团信息安全赋能业务团队整合安全能力驱动安全设施驱动安全建设：通过运营发现安全的薄弱环节，驱动安全建设。整合安全能力：整合安全产品、安全工具，实现集中化、自动化和

2、可视化的集中管控能力，遵循业务流程，输出安全价值。赋能业务团队：建立业务团队安全接口人，了解业务，融入业务，更好的为业务提供安全服务能力。2019/11/66安全运营的内容外部运营 活动运营 用户运营 品牌运营内部运营 安全宣传 安全培训 违规处置安全组织漏洞管理平台建设（Zeus）2019/11/67SRC活动运营提升影响，畅通渠道，降低不可控风险因素。2019年安全运营协调资源开始设计SRC2.0版本，持续提升SRC漏洞响应和管理能力，并于2019年6月3日发布。期间共发布组织活动14次，漏洞奖励活动11次，GZSRC共收集约400个漏洞，确认有效漏洞约100个，GZSRC在白帽子圈的影响

3、力和口碑进一步增加。6月3日SRC2.0发布车速拍纳入SRC预热威胁情报上线元宵猜灯谜车速拍开测XSS类漏洞奖励公告更新CORS跨域漏洞WM安全沙龙活动线上考试活动寻人活动积分兑换奖励突击活动国庆献礼线上答题活动3.294.24.94.116.1210.11.142.142.203.44.14.178.29.9EISS峰会合作安全客合作7.167.25一周年线上活动10.242019/11/68SRC活动运营漏洞奖励活动（11次）安全沙龙漏洞奖励活动白帽子活动平台宣传沙龙会议节日关怀2018年12月22日主办第一届瓜子安全沙龙活动运营（13次）行业合作7次2019/11/69SRC用户运营GZ

4、SRC平台注册白帽子约400余名，100多名白帽子提交过安全漏洞瓜子白帽子群日常活跃人数20-30名真诚 透明客观 公正2019/11/610SRC品牌运营品牌影响合作渠道 互动：25家SRC增加曝光引导提漏洞2019/11/611GZSRC运营成果通过安全运营，GZSRC有效收集能力大大增强，随着安全防护手段的完善，漏洞提交量趋向减少。通过活动运营、用户运营和品牌运营，大大减少企业因为安全漏洞带来的风险。活动运营提升影响力用户运营提升活跃度品牌运营价值锚定收集有效漏洞，降低企业风险。2019/11/612运营措施-运营组织建设安全接口人体系（安全BP）技术部门业务安全BP1业务安全BP2业务

5、安全BP3产品部门产品线BP1产品线BP2产品线BP3后职能部门安全接口人（BP）安全接口人，也称安全BP，是车好多集团安全工作开展的纽带和桥梁。建立高效的沟通反馈渠道、事件发现渠道，也助推SDL等工作的落地。2019/11/613运营措施-运营组织建设看运气。没有安全BP之前，我们找人靠在群里面问，看到回应，看不到没回应（平均找人1个小时）。可预测。现在每个部门、业务线建立了安全BP，我们能精确定位，事事有回应，能快速到人（平均10分钟回应）。运营措施-安全漏洞闭环管理主动发现&漏洞预警上线检测（外）SRC报送（外）白帽子告知漏洞发现漏洞审核，漏洞录入宙斯漏洞响应，漏洞的分类，定级漏洞验证，

6、可利用性（外）漏洞沟通漏洞录入宙斯规范漏洞管理（漏洞通告、安全BP协助。漏洞原因分析（外）SRC漏洞状态更新（已受理）漏洞修复举一反三，防护措施优化；优化流程，处置效率提升；漏洞通报，快速高效准确；（外）积分奖励持续改进2019/11/615安全培训请外部专家进行的管理层安全培训。专家培训对产品开展安全培训研发组织的安全培训技术培训新员工入职培训对中后台人员安全操作培训制度培训宣传培训意识培训车好多建立瓜瓜学堂，安全运营和HR团队合作，把安全技术培训做成在线课程，要求新入职员工全部在线学习后进行在线考试，提高全员安