浅谈大中型软件企业信息安全建设 2020年11月27日 科大讯飞安全架构师 钱君生 议题概要 在业界,谈论互联网、金融或运营商安 全建设的比较多,谈论大中型软件企业安全 建设比较少。实际上,大中型软件企业在当 下的IT企业中占有很大的比重,就大中型软 件企业的信息安全建设来说,与互联网企业、 金融企业存在着很大的差异性。本次分享将 结合大中型软件企业安全建设的过程,讨论 相关实践细节。 关于我 OWASP中国安徽区域负责人,现就职科大讯飞集 团公司,任安全架构师,是开源图书《BurpSuite 实战指南》、《API安全技术与实战》(机械工业 出版社)编写者。 Contents 01 大中型软件企业业务特点 业务形态以2B交付为主、产品 交付与项目交付并存…… 02 业务对安全建设的挑战 安全职责、预算、投入均 不对等、安全环境复杂…… 03 安全建设实践思路 多模型融合的安全体系、关键安 全策略…… 议题大纲 04 未来展望 未来想做的事…… 大中型软件企业业务特点 大中型软件企业业务特点 ? 业务形态以2B交付为主 ? 产品交付与项目交付并存 ? 客户对象主要是企事业单位 ? 业务开展以项目制形式 ? 通常需要开展招投标和采购活动 ? 系统集成和软件产品集成 ? 业界有甲方爸爸一说,客户在业务中占主导 地位 ? 企业的业务开展围绕收益展开 ? 在不断的项目交付过程中,积累自己的基础平台 或产品; ? 典型的产品如ERP、HRM、CRM、OA等 ? 围绕项目建设内容,采用产品交付+定制来完成 项目交付 业务对安全建设的挑战 1 安全职责、预算、投入均不对等 | ? 安全事件板子打在客户方,肉疼在厂商 ? 甲方爸爸关心安全,但往往没银子 ? 安全工作必须要做 ? 利润或收益减少,投入可能无收益 2 安全环境复杂难以标准化 | ? 不同的项目,环境不一样 ? 不同的客户,要求不一样 ? 不同的行业,标准不一样 ? 不同的预算,内容不一样 3 业界最佳实践参照样本缺乏 | ? 业界谈论金融、互联网企业多,谈论软件企业的少 ? 业界最佳实践参照样本少,有头部企业做得好,但很少公开说 ? 更多的是落后同时代的其他IT企业,在摸着石头过河 多模型融合安全建设思路 ? 安全建设思路围绕业务的生命周期开展 【图片来源/网络】 业务对象:信息系统 ? SAMM ? SDL ? 等保 ? ISSE 落地实施关键安全策略 分级分类策略 01 底线管控策略 02 DevSecOps管道化策略 04 数字化平台运营策略 05 公共组件策略 03 分级分类策略 ? 为什么要分级分类 ? 内外部安全要求不一样 ? 产品成熟度不一样 ? 安全投入不一样 ? 如何分级分类 ? 从定性和定量两个方面制定分类标准 ? 挑选对安全影响至为关键的指标 ? 常用指标项 产品成熟度 系统重要性 风险暴露面 监管要求 中断成本 业务连续性要求 指标项评分*指标权重 底线管控策略 ? 为什么要底线管控 ? 明确最低安全要求 ? 防止安全投入不足 ? 如何底线管控 ? 发布底线要求(精简、明确、利于执行、周期调整) ? 制定底线管理办法 ? 建立审查和惩奖机制 ? 常用底线管控样例 ? 合规性管控底线,比如:APP应用必须参考《APP违法违规收集使用个人信息行为认定方法》进 行上线前合规检测 ? 技术路线选型管控底线,比如:禁止使用GPL协议产品或代码;禁止使用fastjson ? 运维部署管控底线,比如:禁止存在高危漏洞的应用系统上线发布;禁止高危端口对互联网开放; 公共组件策略 安全组件库 系统A1 系统A2 系统… 系统An ESAPI 统一认证平台 防破解系统 API网关 安全文件存储 数据安全平台 业务模块1 业务模块2 安全组件1 业务模块1 业务模块2 安全组件2 业务模块1 安全组件n 业务模块1 业务模块2 安全组件n ? 专业的人做专 业的事 ? 通过安全组件 的复用,降低 软件架构的安 全风险 输入型攻击 身份认证 会话管理 访问控制 代码破解 API安全 文件与资源安全 数据隐私 安全审计平台 日志与审计 OWASP安 全验证类型 产品示例 安全组件n DevSecOps管道化策略 代码仓库 自动化测试 关键评审 开发人员提交代码 到代码仓库 自动化安全测试 质量管理 自动化发布 数据库 防火墙 云虚机 持续集成 持续发布 基础设施 数字化运营策略 安全BP:项目管理系统数据 质量工程师:质量审计数据 漏洞扫描平台:漏洞扫描系统数据 渗透测试工程师:人工渗透测试数据 DevSecOps平台 系统收集 系统收集 安全扫描平台 日常收集 数据汇集 数据分析 安全运营分析 决策/改进措施 ? 安全事件数、安全事件危害等级 安全事件 ? 线上发现问题数、底线管控
以西红柿种植为例:根据我们和以色列同行的交流,以色列采用精细化种植的西红柿可以实现亩产50吨,而北京平谷东高村的农户,亩产仅在7吨左右。
重庆慧居智能电子有限公司,是一家专业研发、生产和销售智慧社区和智能家居产品的高科技企业,是重庆市高新技术企业,致力于打造基于物联网、云计算和移动互联的智慧社区平台。
智慧环卫公厕综合利用物联网、云计算等技术,对环卫公厕管理所涉及到的人、物、事进行全过程实时管理,提升环卫公厕作业质量,降低环卫公厕运营成本;对城市环卫公厕设计规划及环卫公厕管理模式的合理性进行数字化的评估;通过数字评估垃圾分类实施效果,有效提升垃圾减量化、无害化、资源化程度。
“智慧高校”整体解决方案,赋能软硬件教学产品,实现更好的人机交互的教学体验,用更低的师资成本获得高质量的教育效果;同时打造智慧校园,实现校园安全、校内考勤、课堂效果监测等关键场景业务升级,提升校园生活体验和安全性,降低管理成本
建设以管理创新为导向,以智能化、大数据、云计算、移动化等信息技术为手段,建成集园区安全生产监测、应急指挥、企业服务、决策支持为一体的园区综合运营管理创新体系-园区综合管控中心,以系统与感知设备为基础,以大屏为载体,从园区、企业、产业等行业获得数据和信息,综合分析和呈现,实现一张图、一网式、一盘棋的总体服务目标
在中国政府支持下,聚合十家行业领导者和百亿产业资本,实现五年千亿市值的产业互联网企业,通过集成平台建立统一的质量控制和审计管理流程确保供应安全。
工业互联网广泛应用于能源、交通以及市政等关系国计民生的重要行业和领域,已成为国家关键信息基础设施的重要组成部分。工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及―公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保障。
没有账户,需要注册
我国数字政府建设已全面呈现一体化发展态势。从政策沿革 看,数字政府建设正从宏观到微观推进一体化建设布局;从服务方 式看,政府数字履职应用日益趋向一体化协同联动
包括集团管控系统、工厂系统、开发发布系统、运维管理系统、网关系统5大子系统,旨在实现集团内部多工厂、多部门之间的协同管理和数据共享。通过构建一体化的工业物联网平台,整合各工厂的生产、设备数据和资源,打造集团统一的工业操作系统底座,为集团提供统一的管理视角和决策依据,提升集团整体运营效率和协同效应
清华之后,北大也不甘示弱,推出了DeepSeek教程。清华的教程是传媒学院出的,而北大的这份文件是人工智能学院和计算机学院出的,所以总体上内容更加专业、全面和深入,尤其还提到了AI时代工作和技能需求的变化,可以说是不可多得的优质资料。
高质量发展是全面建设社会主义现代化国家的首要任务 1。发展新质生产力是推动高质量发展 的内在要求和重要着力点 2。而发展新质生产力的核心要素,根本上在于能够催生新产业、新业态、 新商业模式(即“新经济”)的科技创新。
本文提出一种频率偏差与电压刚度约束下的多直流馈入受端电网优化调度方法。具体实现思路是利用一次调频模型建立频率稳定约束,避免直流闭锁造成的频率失稳风险,利用电压刚度建立电压稳定约束,避免机组开机方式与直流运行方式不匹配带来的电压稳定问题,并以交流系统运行成本最小化和尽可能满足直流系统期望功率为目标,建立优化模型求解。在一个改进的IEEE 39节点系统中仿真。结果表明,利用所提的多直流馈入受端电网优化调度方法,可以有效地通过调整各个时刻直流功率和开机方式,达到交流系统与直流系统运行方式相匹配的目的,保障多直流馈入受端电网的安全稳定运行。
本文考虑了网内常规机组对系统短路容量的贡献,能够准确反映不同常规机组开机组合对系统安全稳定特性的影响。基于系统短路容量分析及安全稳定分析结果,提出了一种断面极限功率解析计算方法,并通过西北某电网实际算例分析,验证了所提方法的有效性和准确性。
人工智能深蕴于计算机科学、脑科学、类脑科学、认知科学控制论等基础科学之中,直接表现为机器学习、计算机视觉,自然语言处理、智能语音、知识图谱、大模型、智能体、群体智能、具身智能等技术形态,外化为人形机器人、数字人、智能终端、智能运载工具、智能软件等产品形态 人工智能通过类脑计算增强脑力劳动的新能级,通过“机器换人”培育体力劳动的新动能,带动农业、工业和服务业中的脑力劳动与体力劳动的第四次变革,形成新兴的人工智能产业
生成一份会议通知,主题为'年度工作总结与计划部署’,参会人员包括公司各部门负责人,会议时间为下周三上午 9 点,地点为公司大会议室。通知内容需涵盖会议议程、参会要求以及会前准备事项语言简洁明了,格式规范,符合正式通知的公文格式要求。”
扫码咨询
或
客服咨询
用手机扫二维码
复制当前地址
方案库赚钱指南
