第 二 辑 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 独立思考 协奏成章 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 第二辑 致读者 安全村文集第一辑发布后,收到许多支持与反馈,感谢。 也有读者问,安全村未来有什么打算,借这篇序,与大家分 享下。 首先,是博客 安全村主站 (www.sec-un.org),将始终坚持独立运作,发 布有思考,甚至有争议的观点。有争议,更需要被看到。 同时,为方便读者,也会将内容同步到知乎、微信等合作平台。 其次,是文集 独立思考,协奏成章。畅想在多年后再回看,不仅为作者, 为读者,也为行业,留下些痕迹。我们会坚持下去。 文集申阅 除当前的杂文集系列,还会有按行业、按技术,或按特定主 主 编: Bruce ZHANG 编 辑: Rachel ZHANG, Amy SUN 装帧设计: 书 名: 安全村文集 第二辑 题的专刊陆续推出,甚至做一点文化上的延展尝试。敬请期待。 再次,是沙龙 沙龙很多,安全村想做点新尝试。 印发时间:2018 年 10 月第 1 版 2018 年 10 月第 1 次印刷 站:www.sec-un.org 8 月,安全村与美国 BSides 机构达成了合作,后续将承办全 投稿邮箱:info@sec-un.org 球 BSides 沙龙的中国站部分,暂且称之为安全村 B 面沙龙。 网 BSides 是 美 国 的 一 个 开 放 式 协 作 机 构, 成 立 于 2009 年 结尾 Black Hat 期 间, 起 因 是 几 个 高 质 量 议 题, 因 场 地 和 时 间 今天的安全产业,动荡并高速成长着,每天,从无数可能中 缘 故 未 能 获 选, 几 位 发 起 人 决 定 成 立 Security BSides 机 醒来,都是一个全新的开始。衷心希望各位读者,不管当下 构,给更多观点开放交流的可能。BSides 沙龙的宗旨是: 身在何处,都能在这场浪潮中,有所成长,并得偿所愿。 Conversations for the next-big-thing are happening。 目前,BSides 沙龙在全球各地已举办超过 400 场。 倡导自由与分享,给更多观点以可能,这也是安全村一直以 What‘s past is prologue. 来的宗旨。B 面沙龙会秉承 BSides 机构的精神,由安全村统 所有过往,皆为序章。 筹策划,陆续在多个城市推出,也欢迎感兴趣的朋友,联系 -- the Tempest 我们,加入我们。 EC-UN INA CH 组织沙龙,只因觉得,价值观相近的人,应该多聚聚。 最后,是服务 安全村,始终为安全人服务。 尝试在人与人之间搭建起桥梁,无关乎能力,是一种态度。 分享知识,寻找伙伴,答疑解惑,或只是聊聊天。 始终坚信,所有的可能,都在人与人之间发生。 2018 年 8 月 19 日 目录 观点 特约 管理 技术 致读者 互联网企业:如何建设数据安全体系?……………………………… 赵彦 1 17 安全分析与情报应用 附:10 个可实践的安全分析场景… ……………………………………… 张嵩 49 安全趋势和安全从业者的未来………………………………………… 聂君 71 从攻击视角构建弹性信息安全防御体系……………………………… 吕毅 93 未来安全……………………………………………………………… 王军民 99 创新型安全业务的发展战略管理(上)……………………………… 颜骏 113 洋葱式信息安全观察 - 起点:IT 规划… ………………………… 刘广坤  129 如何评价一个企业的信息安全做的好不好?………………… truebasic 141 云安全服务与客户需求之匹配……………………………………… 刘立柱 151 数字品牌保护,业务安全的主动防御实践………………………… 杨大路 163 CASB: 一场镜花水月还是云安全的未来?……………………… 岑义涛 179 从 BeyondCorp 说起…………………………………………………… 杨洋 法律 187 数据秒杀认知:比特币地下与地上生态分割……… TruthDeeper 团队 199 浅析区块链应用场景与安全挑战…………………………………… 尹振玺 市场 207 UEBA 如何在企业有效地应用与落地……………………………… 李鹏飞 215 浅谈非常态 SQL 注入防护,提升数据库安全… ………李亚楠 、王军旗 科普 223 网络安全市场转为「服务主导 」…………………… Raymond 廖锐霆 227 关于网贷催收是否构成侵犯公民个人信息罪的探讨 ……………… 张璇 233 直面安全,甲乙双方如何琴瑟共鸣………………………………… 吴海民 241 中国网络安全细分市场竞争强度分析………………………………… 仙儿 247 销售的方程式……………………………………………… Bruce ZHANG 附录 情报与信息安全简史 (1)… …………………………………………… 史博 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 观点 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 互联网企业:如何建设数据安全体系? 赵 彦 美团 集团安全部高级总监 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 一、背景 Facebook 数据泄露事件一度成为互联网行业的焦点,几百亿 美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞 大的安全团队,甚至可以直接收购几家规模比较大的安全公 司了。 虽 然 媒 体 上 发 表 了 很 多 谴 责 的 言 论, 但 实 事 求 是 地 讲, Facebook 面临是一个业界难题,任何一家千亿美元的互联网 公司面对这种问题,可能都没有太大的抵抗力,仅仅是因为 全球区域的法律和国情不同,暂时不被顶上舆论的浪尖罢了。 但是全球的趋势是越来越重视隐私,在安全领域中,数据安 全这个子领域也重新被提到了一个新的高度,所以笔者就借 机来说一下数据安全建设。(按照惯例,本文涉及敏感信息 的部分会进行省略处理或者一笔带过。) 1 互联网企业:如何建设数据安全体系? 二、概念 这里特别强调一下,“隐私保护”和“数据安全”是两个完 全不同的概念,隐私保护对于安全专业人员来说是一个更加 偏向合规的事情,主要是指数据过度收集和数据滥用方面对 法律法规的遵从性,对很多把自身的盈利模式建立在数据之 四、数据采集 上的互联网公司而言,这个问题特别有挑战。有些公司甚至 把自己定义为数据公司,如果不用数据来做点什么,要么用 户体验大打折扣,要么商业价值减半。GDPR 即将实施,有 数据泄露有一部分原因是用户会话流量被复制,尽管有点技 些公司或将离场欧洲,就足见这件事的难度不容小觑。当然 术门槛,但也是发生频率比较高的安全事件之一,只是是很 市场上也有一些特别推崇隐私保护的公司,他们很大程度上 多企业没有感知到而已。下面从几个维度来说明数据采集阶 并不能真正代表用户意愿,而只是因为自家没有数据或缺少 段的数据保护。 数据,随口说说而已。 流量保护 数据安全是实现隐私保护的最重要手段之一。对安全有一定 全站 HTTPS 是目前互联网的主流趋势,它解决的是用户到 了解的读者可能也会察觉到,数据安全并不是一个独立的要 服务器之间链路被嗅探、流量镜像、数据被第三方掠走的问题。 素,而是需要连同网络安全、系统安全、业务安全等多种因素, 这些问题其实是比较严重的,比如电信运营商内部偶有舞弊 只有全部都做好了,才能最终达到数据安全的效果。所以本 现象,各种导流劫持插广告(当然也可以存数据,插木马), 文尽可能的以数据安全为核心,但没有把跟数据安全弱相关 甚至连 AWS 也被劫持 DNS 请求,对于掌握链路资源的人来 的传统安全体系防护全部列出来,对于数据安全这个命题而 说无异于可以发动一次“核战争”。即使目标对象 IDC 入侵 言尽可能的系统化,又避免啰嗦。另外笔者也打算在夏季和 防御做的好,攻击者也可以不通过正面渗透,而是直接复制 秋季把其他子领域的话题单独成文,譬如海量 IDC 下的入侵 流量,甚至定向 APT,最终只是看操纵流量后达到目的的收 防御体系等,敬请期待。 益是否具有性价比。 三、全生命周期建设 HTTPS 是一个表面现象,它暗示着任何互联网上未加密的流 量都是没有隐私和数据安全的,同时,也不是说有了 HTTPS 2 尽管业内也有同学表示数据是没有边界的,如果按照泄露途 就一定安全。HTTPS 本身也有各种安全问题,比如使用不安 径去做可能起不到“根治”的效果,但事实上以目前的技术 全的协议 TLS1.0、SSL3,采用已经过时的弱加密算法套件, 是做不到无边界数据安全的。下图汇总了一个全生命周期内 实现框架安全漏洞如心脏滴血,还有很多的数字证书本身导 的数据安全措施: 致的安全问题。 3 互联网企业:如何建设数据安全体系? 全站 HTTPS 会带来的附带问题是 CDN 和高防 IP。历史上 标识,且一般绑定了各种账号,更改成本很高,找到手机号 有家很大的互联网公司被 NSA 嗅探获取了用户数据,原因 就能对上这个人,因此理论上但凡带有个体识别数据的信息 是 CDN 回源时没有使用加密,即用户浏览器到 CDN 是加密 都需要“转接桥梁”、匿名化和脱敏。譬如当商家 ID 能唯一 的,但 CDN 到 IDC 源站是明文的。如果 CDN 到源站加密就 标识一个品牌和店名的时候,这个原本用于程序检索的数据 需要

pdf文档 安全村文集 第2辑

文档预览
中文文档 147 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共147页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
安全村文集 第2辑  第 1 页 安全村文集 第2辑  第 2 页 安全村文集 第2辑  第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-08-23 10:38:37上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言