安全村文集 第2辑

第二辑 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 独立思考协奏成章 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 第二辑致读者安全村文集第一辑发布后，收到许多支持与反馈，感谢。也有读者问，安全村未来有什么打算，借这篇序，与大家分享下。首先，是博客安全村主站 (www.sec-un.org)，将始终坚持独立运作，发布有思考，甚至有争议的观点。有争议，更需要被看到。同时，为方便读者，也会将内容同步到知乎、微信等合作平台。其次，是文集独立思考，协奏成章。畅想在多年后再回看，不仅为作者，为读者，也为行业，留下些痕迹。我们会坚持下去。文集申阅除当前的杂文集系列，还会有按行业、按技术，或按特定主主编： Bruce ZHANG 编辑： Rachel ZHANG, Amy SUN 装帧设计：书名：安全村文集第二辑题的专刊陆续推出，甚至做一点文化上的延展尝试。敬请期待。再次，是沙龙沙龙很多，安全村想做点新尝试。印发时间：2018 年 10 月第 1 版 2018 年 10 月第 1 次印刷站：www.sec-un.org 8 月，安全村与美国 BSides 机构达成了合作，后续将承办全投稿邮箱：info@sec-un.org 球 BSides 沙龙的中国站部分，暂且称之为安全村 B 面沙龙。网 BSides 是美国的一个开放式协作机构，成立于 2009 年结尾 Black Hat 期间，起因是几个高质量议题，因场地和时间今天的安全产业，动荡并高速成长着，每天，从无数可能中缘故未能获选，几位发起人决定成立 Security BSides 机醒来，都是一个全新的开始。衷心希望各位读者，不管当下构，给更多观点开放交流的可能。BSides 沙龙的宗旨是：身在何处，都能在这场浪潮中，有所成长，并得偿所愿。 Conversations for the next-big-thing are happening。目前，BSides 沙龙在全球各地已举办超过 400 场。倡导自由与分享，给更多观点以可能，这也是安全村一直以 What‘s past is prologue. 来的宗旨。B 面沙龙会秉承 BSides 机构的精神，由安全村统所有过往，皆为序章。筹策划，陆续在多个城市推出，也欢迎感兴趣的朋友，联系 -- the Tempest 我们，加入我们。 EC-UN INA CH 组织沙龙，只因觉得，价值观相近的人，应该多聚聚。最后，是服务安全村，始终为安全人服务。尝试在人与人之间搭建起桥梁，无关乎能力，是一种态度。分享知识，寻找伙伴，答疑解惑，或只是聊聊天。始终坚信，所有的可能，都在人与人之间发生。 2018 年 8 月 19 日目录观点特约管理技术致读者互联网企业：如何建设数据安全体系？……………………………… 赵彦 1 17 安全分析与情报应用附：10 个可实践的安全分析场景… ……………………………………… 张嵩 49 安全趋势和安全从业者的未来………………………………………… 聂君 71 从攻击视角构建弹性信息安全防御体系……………………………… 吕毅 93 未来安全……………………………………………………………… 王军民 99 创新型安全业务的发展战略管理（上）……………………………… 颜骏 113 洋葱式信息安全观察 - 起点：IT 规划… ………………………… 刘广坤 129 如何评价一个企业的信息安全做的好不好？………………… truebasic 141 云安全服务与客户需求之匹配……………………………………… 刘立柱 151 数字品牌保护，业务安全的主动防御实践………………………… 杨大路 163 CASB：一场镜花水月还是云安全的未来？……………………… 岑义涛 179 从 BeyondCorp 说起…………………………………………………… 杨洋法律 187 数据秒杀认知：比特币地下与地上生态分割……… TruthDeeper 团队 199 浅析区块链应用场景与安全挑战…………………………………… 尹振玺市场 207 UEBA 如何在企业有效地应用与落地……………………………… 李鹏飞 215 浅谈非常态 SQL 注入防护，提升数据库安全… ………李亚楠、王军旗科普 223 网络安全市场转为「服务主导」…………………… Raymond 廖锐霆 227 关于网贷催收是否构成侵犯公民个人信息罪的探讨 ……………… 张璇 233 直面安全，甲乙双方如何琴瑟共鸣………………………………… 吴海民 241 中国网络安全细分市场竞争强度分析………………………………… 仙儿 247 销售的方程式……………………………………………… Bruce ZHANG 附录情报与信息安全简史 (1)… …………………………………………… 史博 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 观点 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 互联网企业：如何建设数据安全体系？赵彦美团集团安全部高级总监 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 一、背景 Facebook 数据泄露事件一度成为互联网行业的焦点，几百亿美元市值瞬间蒸发，这个代价足以在地球上养活一支绝对庞大的安全团队，甚至可以直接收购几家规模比较大的安全公司了。虽然媒体上发表了很多谴责的言论，但实事求是地讲， Facebook 面临是一个业界难题，任何一家千亿美元的互联网公司面对这种问题，可能都没有太大的抵抗力，仅仅是因为全球区域的法律和国情不同，暂时不被顶上舆论的浪尖罢了。但是全球的趋势是越来越重视隐私，在安全领域中，数据安全这个子领域也重新被提到了一个新的高度，所以笔者就借机来说一下数据安全建设。（按照惯例，本文涉及敏感信息的部分会进行省略处理或者一笔带过。） 1 互联网企业：如何建设数据安全体系？二、概念这里特别强调一下，“隐私保护”和“数据安全”是两个完全不同的概念，隐私保护对于安全专业人员来说是一个更加偏向合规的事情，主要是指数据过度收集和数据滥用方面对法律法规的遵从性，对很多把自身的盈利模式建立在数据之四、数据采集上的互联网公司而言，这个问题特别有挑战。有些公司甚至把自己定义为数据公司，如果不用数据来做点什么，要么用户体验大打折扣，要么商业价值减半。GDPR 即将实施，有数据泄露有一部分原因是用户会话流量被复制，尽管有点技些公司或将离场欧洲，就足见这件事的难度不容小觑。当然术门槛，但也是发生频率比较高的安全事件之一，只是是很市场上也有一些特别推崇隐私保护的公司，他们很大程度上多企业没有感知到而已。下面从几个维度来说明数据采集阶并不能真正代表用户意愿，而只是因为自家没有数据或缺少段的数据保护。数据，随口说说而已。流量保护数据安全是实现隐私保护的最重要手段之一。对安全有一定全站 HTTPS 是目前互联网的主流趋势，它解决的是用户到了解的读者可能也会察觉到，数据安全并不是一个独立的要服务器之间链路被嗅探、流量镜像、数据被第三方掠走的问题。素，而是需要连同网络安全、系统安全、业务安全等多种因素，这些问题其实是比较严重的，比如电信运营商内部偶有舞弊只有全部都做好了，才能最终达到数据安全的效果。所以本现象，各种导流劫持插广告（当然也可以存数据，插木马），文尽可能的以数据安全为核心，但没有把跟数据安全弱相关甚至连 AWS 也被劫持 DNS 请求，对于掌握链路资源的人来的传统安全体系防护全部列出来，对于数据安全这个命题而说无异于可以发动一次“核战争”。即使目标对象 IDC 入侵言尽可能的系统化，又避免啰嗦。另外笔者也打算在夏季和防御做的好，攻击者也可以不通过正面渗透，而是直接复制秋季把其他子领域的话题单独成文，譬如海量 IDC 下的入侵流量，甚至定向 APT，最终只是看操纵流量后达到目的的收防御体系等，敬请期待。益是否具有性价比。三、全生命周期建设 HTTPS 是一个表面现象，它暗示着任何互联网上未加密的流量都是没有隐私和数据安全的，同时，也不是说有了 HTTPS 2 尽管业内也有同学表示数据是没有边界的，如果按照泄露途就一定安全。HTTPS 本身也有各种安全问题，比如使用不安径去做可能起不到“根治”的效果，但事实上以目前的技术全的协议 TLS1.0、SSL3，采用已经过时的弱加密算法套件，是做不到无边界数据安全的。下图汇总了一个全生命周期内实现框架安全漏洞如心脏滴血，还有很多的数字证书本身导的数据安全措施：致的安全问题。 3 互联网企业：如何建设数据安全体系？全站 HTTPS 会带来的附带问题是 CDN 和高防 IP。历史上标识，且一般绑定了各种账号，更改成本很高，找到手机号有家很大的互联网公司被 NSA 嗅探获取了用户数据，原因就能对上这个人，因此理论上但凡带有个体识别数据的信息是 CDN 回源时没有使用加密，即用户浏览器到 CDN 是加密都需要“转接桥梁”、匿名化和脱敏。譬如当商家 ID 能唯一的，但 CDN 到 IDC 源站是明文的。如果 CDN 到源站加密就标识一个品牌和店名的时候，这个原本用于程序检索的数据需要

安全村文集 第2辑

安全村文集第2辑