浅谈大中型软件企业信息安全建设 2020年11月27日 科大讯飞安全架构师 钱君生 议题概要 在业界,谈论互联网、金融或运营商安 全建设的比较多,谈论大中型软件企业安全 建设比较少。实际上,大中型软件企业在当 下的IT企业中占有很大的比重,就大中型软 件企业的信息安全建设来说,与互联网企业、 金融企业存在着很大的差异性。本次分享将 结合大中型软件企业安全建设的过程,讨论 相关实践细节。 关于我 OWASP中国安徽区域负责人,现就职科大讯飞集 团公司,任安全架构师,是开源图书《BurpSuite 实战指南》、《API安全技术与实战》(机械工业 出版社)编写者。 Contents 01 大中型软件企业业务特点 业务形态以2B交付为主、产品 交付与项目交付并存…… 02 业务对安全建设的挑战 安全职责、预算、投入均 不对等、安全环境复杂…… 03 安全建设实践思路 多模型融合的安全体系、关键安 全策略…… 议题大纲 04 未来展望 未来想做的事…… 大中型软件企业业务特点 大中型软件企业业务特点 ? 业务形态以2B交付为主 ? 产品交付与项目交付并存 ? 客户对象主要是企事业单位 ? 业务开展以项目制形式 ? 通常需要开展招投标和采购活动 ? 系统集成和软件产品集成 ? 业界有甲方爸爸一说,客户在业务中占主导 地位 ? 企业的业务开展围绕收益展开 ? 在不断的项目交付过程中,积累自己的基础平台 或产品; ? 典型的产品如ERP、HRM、CRM、OA等 ? 围绕项目建设内容,采用产品交付+定制来完成 项目交付 业务对安全建设的挑战 1 安全职责、预算、投入均不对等 | ? 安全事件板子打在客户方,肉疼在厂商 ? 甲方爸爸关心安全,但往往没银子 ? 安全工作必须要做 ? 利润或收益减少,投入可能无收益 2 安全环境复杂难以标准化 | ? 不同的项目,环境不一样 ? 不同的客户,要求不一样 ? 不同的行业,标准不一样 ? 不同的预算,内容不一样 3 业界最佳实践参照样本缺乏 | ? 业界谈论金融、互联网企业多,谈论软件企业的少 ? 业界最佳实践参照样本少,有头部企业做得好,但很少公开说 ? 更多的是落后同时代的其他IT企业,在摸着石头过河 多模型融合安全建设思路 ? 安全建设思路围绕业务的生命周期开展 【图片来源/网络】 业务对象:信息系统 ? SAMM ? SDL ? 等保 ? ISSE 落地实施关键安全策略 分级分类策略 01 底线管控策略 02 DevSecOps管道化策略 04 数字化平台运营策略 05 公共组件策略 03 分级分类策略 ? 为什么要分级分类 ? 内外部安全要求不一样 ? 产品成熟度不一样 ? 安全投入不一样 ? 如何分级分类 ? 从定性和定量两个方面制定分类标准 ? 挑选对安全影响至为关键的指标 ? 常用指标项 产品成熟度 系统重要性 风险暴露面 监管要求 中断成本 业务连续性要求 指标项评分*指标权重 底线管控策略 ? 为什么要底线管控 ? 明确最低安全要求 ? 防止安全投入不足 ? 如何底线管控 ? 发布底线要求(精简、明确、利于执行、周期调整) ? 制定底线管理办法 ? 建立审查和惩奖机制 ? 常用底线管控样例 ? 合规性管控底线,比如:APP应用必须参考《APP违法违规收集使用个人信息行为认定方法》进 行上线前合规检测 ? 技术路线选型管控底线,比如:禁止使用GPL协议产品或代码;禁止使用fastjson ? 运维部署管控底线,比如:禁止存在高危漏洞的应用系统上线发布;禁止高危端口对互联网开放; 公共组件策略 安全组件库 系统A1 系统A2 系统… 系统An ESAPI 统一认证平台 防破解系统 API网关 安全文件存储 数据安全平台 业务模块1 业务模块2 安全组件1 业务模块1 业务模块2 安全组件2 业务模块1 安全组件n 业务模块1 业务模块2 安全组件n ? 专业的人做专 业的事 ? 通过安全组件 的复用,降低 软件架构的安 全风险 输入型攻击 身份认证 会话管理 访问控制 代码破解 API安全 文件与资源安全 数据隐私 安全审计平台 日志与审计 OWASP安 全验证类型 产品示例 安全组件n DevSecOps管道化策略 代码仓库 自动化测试 关键评审 开发人员提交代码 到代码仓库 自动化安全测试 质量管理 自动化发布 数据库 防火墙 云虚机 持续集成 持续发布 基础设施 数字化运营策略 安全BP:项目管理系统数据 质量工程师:质量审计数据 漏洞扫描平台:漏洞扫描系统数据 渗透测试工程师:人工渗透测试数据 DevSecOps平台 系统收集 系统收集 安全扫描平台 日常收集 数据汇集 数据分析 安全运营分析 决策/改进措施 ? 安全事件数、安全事件危害等级 安全事件 ? 线上发现问题数、底线管控
充电桩运营管理涉及到对分散于市区内充电设施的资产管理、计量计费、支付结算、统计分析、运行管理、用户管理、客户服务、集中监测等功能,为电动汽车充电服务网络的运营管理提供有力支撑,保证电动汽车充电运营高效有序,实现运营智能化、规范化管理。
工业互联网在加强数字基础设施和能力建设、释放数字经济增长潜能方面的基础性和战略性作用已成为全球共识,越来越成为全球产业竞争的战略焦点,党中央、国务院着眼产业变革趋势与竞争格局,作出发展工业互联网的重大决策部署。习近平总书记强调,要推动实体经济和数字经济融合发展,深入实施工业互联网创新发展战略。
物联网作为当前最具发展潜力的产业之一,将有力带动传统产业转型升级,引领战略性新兴产业的发展,实现经济结构战略性调整,从而引起社会生产和经济发展方式的深度变革。物联网对促进我国经济的发展、优化产业结构具有重大的战略 意义。而在整个物联网生态中,MEMS 传感器正扮演着越来越重要的角色,在即将到来的智能物联网时代中将起到核心作用,为新科技产品提供更智能、更敏锐的感知能力。中国作为全球最大的电子产品生产基地,消耗了全球二分之一的 MEMS 器件,吸引了全球的目光。同时中国 MEMS 传感器产业的生态环境已经完善,目前 MEMS 产业的机遇和挑战并存,如何抓住机遇攻坚克难从而获得物联网时代的红利,是需要大家共同努力的方向,也是需要共同思考的问题。赛迪顾问分析了MEMS的产业特点,中国乃至全球 MEMS 产业的现状和特点,并根据物联网的几大细分市场的规模、增长潜力等维度,筛选出未来六大潜力市场和六大潜力产品,并根据不同的产品领域评选出了十大优秀企业,最后给出了产业发展的趋势和建议。
2016年开始,国家与各省市“十三五”规划的出炉,把智慧城市建设作为未来城市发展的重心,同时政策文件分别从总体架构到具体应用等角度分别对智慧城市建设提出了鼓励措施,一系列政策的颁布实施为我国智慧城市建设方向与目标。地方政府智慧城市政策衔接上级部门,指导地方城市,逐步形成部门协同、上下联动的新型智慧城市发展新格局。
爱华盈通基于新一代信息技术开发的物联网系统解决方案,具备丰富的智能设备生态和云端 SaaS 能力, 为智慧园区等场景提供实时无感数据采集、智能化控制和数据分析服务, 提升管理效率, 助力行业用户智能化转型。从整体层面提高生产安全水平,达到科学决策、降本增效的目的。
特权账户安全 远泰口令管理 应用场景 远泰瑞博简介 特权访问安全是在整个企业中保护数据、基础架构和资 产的IT安全性的一个关键领域。一旦获得了特权账户和
1、EDR与企业防护 2、EDR建设与运营 3、对抗与提升 DR(Endpoint DetectionandResponse),由Gartner在2013年提出, 起初叫ETDR,2015年改为EDR。 Detection ? E-端点:网络中任意的终端设备,包括办公PC、 移动设备、服务器设备、云上虚拟机、IoT设备等 ? D-检测:采集分析端点数据,发现端点安全风险、 检测黑客攻击、检测可疑行为等 ? R-响应:安全风险快速响应,包括漏洞修复、入 侵阻断追溯、可疑事件调查等 腾讯自研EDR – 洋葱 12 3 4 5 终端资产一体化管理 针对服务器安全检测能力,并实现了对 全网服务器端点资产的全面管控。 端点安全的基线检测 依据腾讯自身业务防护实践,提供了端口 配置、口令配置、账号配置的基线检测, 可实现企业面临安全威胁的实时检测。 安全事件的精准溯源 通过对服务器端的登录信息、操作信息, 建立行为分析模型,实现对异常操作进 行异常操作溯源分析。 漏洞风险的实时预警 结合自身服务器防护经验,针对服务器 中间件、数据库、操作系统提供漏洞检 测能力,实时监测发现漏洞风险。 入侵攻击的主动检测 提供主动检测、实时发现入侵检测;提 供Web木马、反弹木马、异常网络通、 提权攻击、弱口令等检测功能。 融
没有账户,需要注册
当前,世界百年变局加速演进,新一轮科技革命和产业变革?深入发展,低空经济作为新质生产力的重要组成部分,正以前瞻?性、引领性姿态加速崛起,成为推动经济结构优化升级、塑造高?质量发展新动能的关键领域。
首先从华为的视角总结了企业对于数字化转型的应有的共识,以及从战略角度阐述了华为为何推行数字化转型,然后给出了华为数字化转型的整体框架(方法论),以及企业数字化转型成熟度评估的方法,帮助读者在厘清华为开展数字化转型工作的整体脉络的同时,能快速对自身的数字化水平进行自检,
汽车智能化网联化融合发展已经成为全球政府、产业界的发展共识,各国通过升级政策法规、推动测试示范、加速创新应用等方式推动智能网联汽车产业发展。2024年1月,我国启动智能网联汽车“车路云一体化”应用试点,推动车路云一体化从技术验证迈向规模化应用。
过去十年,中国消费市场的高速迭代催生了一批极具活力的新锐品牌。它们凭借对消费趋 势的敏锐洞察、柔性灵活的供应链体系以及成熟的数字化运营能力,在国内细分市场中迅 速崛起,创造了一个又一个“爆款神话”。
2025年是大数据技术标准推进委员会连续发布《数据资产管理实践指南》的第九年。本研究报告通过持续跟踪前沿政策、技术趋势与行业实践,从数据价值释放工作主线、数据资源化管理体系、数据资产化实施路径及未来发展趋势等方面形成系统化成果。研究报告深入剖析了数据资产管理在政策合规、技术融合、生态协同等维度的挑战与契机,并结合金融、能源、制造等行业案例,提炼出差异化管理路径策略。旨在帮助企事业单位厘清管理逻辑、优化实施策略,将数据资产管理与业务目标深度绑定,最终实现数据要素向高价值产出的有效转化。
鱼群生长环境监控 利用多种智能传感器实时感知鱼塘水温、PH值、融氧量等指标,为生产人员提供数据分析、 远程控制、自动喂食等功能;
灼识咨询通过运用各种资源进行一手研究和二手研究。一手研究包括访谈行业专家和业内人士。二手研究包括分析各种公开发布的数据资源,数据来源包括中华人民共和国国家统计局、上市公司公告等。灼识咨询使用内部数据分析模型对所收集的信息和数据进行分析,通过对使用各类研究方法收集的数据进行参考比对,以确保分析的准确性。
炼石是以“免改造”为特色的数据安全产品厂商,国家级专精特新“小巨人”,自研灵活投送多重安全能力的免改造平台,帮政企客户打造领先数据安全保护体系,敏捷交付密评密改合规。
扫码咨询
或
客服咨询
用手机扫二维码
复制当前地址
方案库赚钱指南
