会员中心
搜索
登录
注册

解决方案

数字化转型通用方案行业方案安全方案大数据人工智能物联网行业展望自动控制其他

产品|技术

白皮书产品介绍技术介绍技术创新模型算法

政策|规范

政策规范行动计划

电子书

电子书课件

报告|论文

报告模板论文

桩基础工程施工方案

桩基础工程施工方案

  • 2021-08-16
  • 阅读162
  • 下载0
  • 16页
  • doc

水电消防安装施工方案

水电消防安装施工方案

  • 2021-08-16
  • 阅读150
  • 下载0
  • 16页
  • doc

市政工程临时用电专项施工方案

市政工程临时用电专项施工方案

  • 2021-08-16
  • 阅读146
  • 下载0
  • 16页
  • doc

走向大融合!共建云安全生态圈

我们有一个安全生态的共识 - 开放心态、开放交流、开放合作 百度的安全现状 比情报更重要的是分析能力 - 基于大数据与机器学习的实践 复杂的业务线 ? 用户群体广泛 ? 大规模敏感数据 ? 试手的首选 ? 黑灰产的首选 ? 每个业务都被紧盯 ? 网络与信息安全 ? 业务&内容安全 ? 企业&行业安全

  • 2021-06-23
  • 阅读144
  • 下载0
  • 16页
  • pdf

.数据安全的核心是第三方安全独立地位.启明星辰

以数据为中心看安全 第三方安全独立地位 启明星辰安全实践 数据海量汇聚 数据流转和处理 机器智慧演进 ——需要数据安全治理 ——需要保护价值创造 ——需要保证健康演进 独

  • 2021-06-23
  • 阅读144
  • 下载0
  • 16页
  • pdf

数据安全的若干误解

◆我们正处在第四次工业革命期间,数字化、数据驱动、数字经济是必然,也是关键 ◆当前和未来三十年,都将处在快速变化和高度不确定的状态中,是机会,也是挑战 ◆我们目前陷入“数据恐慌”中 ◆数据安全的现状是“一片混乱” ◆数据安全领域,有哪些主要误区?出路在哪里

  • 2021-06-23
  • 阅读143
  • 下载0
  • 16页
  • pdf

.企业信息安全实践.ISC2018.发布稿

企业信息安全关注点 企业信息安全的纵深防御 企业信息安全治理结构 企业信息安全战略 平安集团信息安全管控模式 平安集团信息安全组织结构 信息安全整体投入与KPI设计 集团对下属公司信息安全考核实践 平安集团端到端的安全监控体系 平安集团全链路端到端监控 平安数据安全架构 平安集团信息安全监控产品体系 平安集团员工风险感知平台 平安集团信息安全工作平台

  • 2021-06-22
  • 阅读142
  • 下载0
  • 16页
  • pdf

.浅谈大中型软件企业信息安全建设

浅谈大中型软件企业信息安全建设 2020年11月27日 科大讯飞安全架构师 钱君生 议题概要 在业界,谈论互联网、金融或运营商安 全建设的比较多,谈论大中型软件企业安全 建设比较少。实际上,大中型软件企业在当 下的IT企业中占有很大的比重,就大中型软 件企业的信息安全建设来说,与互联网企业、 金融企业存在着很大的差异性。本次分享将 结合大中型软件企业安全建设的过程,讨论 相关实践细节。 关于我 OWASP中国安徽区域负责人,现就职科大讯飞集 团公司,任安全架构师,是开源图书《BurpSuite 实战指南》、《API安全技术与实战》(机械工业 出版社)编写者。 Contents 01 大中型软件企业业务特点 业务形态以2B交付为主、产品 交付与项目交付并存…… 02 业务对安全建设的挑战 安全职责、预算、投入均 不对等、安全环境复杂…… 03 安全建设实践思路 多模型融合的安全体系、关键安 全策略…… 议题大纲 04 未来展望 未来想做的事…… 大中型软件企业业务特点 大中型软件企业业务特点 ? 业务形态以2B交付为主 ? 产品交付与项目交付并存 ? 客户对象主要是企事业单位 ? 业务开展以项目制形式 ? 通常需要开展招投标和采购活动 ? 系统集成和软件产品集成 ? 业界有甲方爸爸一说,客户在业务中占主导 地位 ? 企业的业务开展围绕收益展开 ? 在不断的项目交付过程中,积累自己的基础平台 或产品; ? 典型的产品如ERP、HRM、CRM、OA等 ? 围绕项目建设内容,采用产品交付+定制来完成 项目交付 业务对安全建设的挑战 1 安全职责、预算、投入均不对等 | ? 安全事件板子打在客户方,肉疼在厂商 ? 甲方爸爸关心安全,但往往没银子 ? 安全工作必须要做 ? 利润或收益减少,投入可能无收益 2 安全环境复杂难以标准化 | ? 不同的项目,环境不一样 ? 不同的客户,要求不一样 ? 不同的行业,标准不一样 ? 不同的预算,内容不一样 3 业界最佳实践参照样本缺乏 | ? 业界谈论金融、互联网企业多,谈论软件企业的少 ? 业界最佳实践参照样本少,有头部企业做得好,但很少公开说 ? 更多的是落后同时代的其他IT企业,在摸着石头过河 多模型融合安全建设思路 ? 安全建设思路围绕业务的生命周期开展 【图片来源/网络】 业务对象:信息系统 ? SAMM ? SDL ? 等保 ? ISSE 落地实施关键安全策略 分级分类策略 01 底线管控策略 02 DevSecOps管道化策略 04 数字化平台运营策略 05 公共组件策略 03 分级分类策略 ? 为什么要分级分类 ? 内外部安全要求不一样 ? 产品成熟度不一样 ? 安全投入不一样 ? 如何分级分类 ? 从定性和定量两个方面制定分类标准 ? 挑选对安全影响至为关键的指标 ? 常用指标项 产品成熟度 系统重要性 风险暴露面 监管要求 中断成本 业务连续性要求 指标项评分*指标权重 底线管控策略 ? 为什么要底线管控 ? 明确最低安全要求 ? 防止安全投入不足 ? 如何底线管控 ? 发布底线要求(精简、明确、利于执行、周期调整) ? 制定底线管理办法 ? 建立审查和惩奖机制 ? 常用底线管控样例 ? 合规性管控底线,比如:APP应用必须参考《APP违法违规收集使用个人信息行为认定方法》进 行上线前合规检测 ? 技术路线选型管控底线,比如:禁止使用GPL协议产品或代码;禁止使用fastjson ? 运维部署管控底线,比如:禁止存在高危漏洞的应用系统上线发布;禁止高危端口对互联网开放; 公共组件策略 安全组件库 系统A1 系统A2 系统… 系统An ESAPI 统一认证平台 防破解系统 API网关 安全文件存储 数据安全平台 业务模块1 业务模块2 安全组件1 业务模块1 业务模块2 安全组件2 业务模块1 安全组件n 业务模块1 业务模块2 安全组件n ? 专业的人做专 业的事 ? 通过安全组件 的复用,降低 软件架构的安 全风险 输入型攻击 身份认证 会话管理 访问控制 代码破解 API安全 文件与资源安全 数据隐私 安全审计平台 日志与审计 OWASP安 全验证类型 产品示例 安全组件n DevSecOps管道化策略 代码仓库 自动化测试 关键评审 开发人员提交代码 到代码仓库 自动化安全测试 质量管理 自动化发布 数据库 防火墙 云虚机 持续集成 持续发布 基础设施 数字化运营策略 安全BP:项目管理系统数据 质量工程师:质量审计数据 漏洞扫描平台:漏洞扫描系统数据 渗透测试工程师:人工渗透测试数据 DevSecOps平台 系统收集 系统收集 安全扫描平台 日常收集 数据汇集 数据分析 安全运营分析 决策/改进措施 ? 安全事件数、安全事件危害等级 安全事件 ? 线上发现问题数、底线管控

  • 2021-06-22
  • 阅读146
  • 下载0
  • 16页
  • pdf