謝文博-新形勢下金融行業的安全能力演進-數據化和服務化（11頁）.pdf

《謝文博-新形勢下金融行業的安全能力演進-數據化和服務化（11頁）.pdf》由會員分享，可在線閱讀，更多相關《謝文博-新形勢下金融行業的安全能力演進-數據化和服務化（11頁）.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、姓名姓名謝文博 陽光信保 信息安全負責人新形勢下金融行業的安全能力演進-數據化和服務化自我介紹 自身的經歷：從研發，攻防實驗室，業務安全，數據安全，安全架構和開發一路走來，也是一種非常有意思的體驗 技術方向：安全架構/開發，實時計算框架/數據處理 挑戰無處不在 如何應對 未來目錄挑戰無處不在工作職責崗位職責和工作職責0203安全管理合規崗 等級保護、ISO27001相關測評工作 監管部門信息上報 每季度自查自糾相關工作表 相關法案草案標準的跟蹤解讀 人行征信相關安全檢查工作 客戶隱私保護 課題研究和撰寫 應急演練組織及審核 災備建設審核0401應用安全崗 安全需求評審 安全架構設計 代碼審計

2、新舊基礎組件評估 縱深防御體系設計 反羊毛黨/惡意用戶/惡意設備 安全開發/原型設計 數據/應用災備方案評審基礎安全崗 安全設備日常運維巡檢 滲透測試 漏洞掃描 生產環境安全風險評估 桌面終端安全運維 系統上線前安全測試 安全漏洞告警修復跟蹤 公司人員/外包入場離場審核 VPN賬戶等多個賬號訪問權限審批數據安全崗 數據安全分級 數據安全提取 數據庫賬戶權限審批 數據安全合規評價標準框架 持續開展數據安全評估 優化數據安全管理體系 數據脫敏方案流程制定 相關合作協議涉及審核（涉及客戶數據授權等）數據測試方案的制定 數據倉庫/鏡像庫的創建訪問安全審批05安全開發崗安全開發崗 需求分析 架構設計 產

3、品開發 測試上線 新技術的預研 業務需求溝通挑戰無處不在終端安全終端安全復雜的業務復雜的業務數據安全數據安全合規要求合規要求永遠不夠的資源永遠不夠的資源SDLCSDLC-落地落地新的攻擊手法新的攻擊手法溝通交流溝通交流層出不盡的新技術層出不盡的新技術海量數據海量數據安全運維安全運維高頻的發版高頻的發版數據數據/日志標準化日志標準化如何應對SDLC-C 落地安全能力的下沉和前置合規要求復雜的業務 貼近業務 了解產品 了解行業 輪崗終端安全永遠不夠的資源安全能力自動化，平臺，數據化交流溝通安全能力的下沉和前置數據能力提升數據安全/客戶隱私保護 法規規范的解讀 行業特性和規范的了解 業務系統與數據的

4、關系 數據安全分類分級 數據安全評估 數據安全管理體系 數據生命周期層出不盡的新技術 不斷的學習 了解技術的發展和演進 合理引入新技術，將其工程化安全網關平臺 多云環境下系統的區域隔離，訪問控制，降低業務系統風險；通過黑白灰關名單鍵詞路徑等（全局/局部），靈活限制用戶或系統對業務系統的訪問；通過不同的策略組合實現對業務系統的快速止損，并對系統實現限流/降級/熔斷等功能；HTTP/TCP/UDP 流量的任意復制放大轉發；業務系統參數可視化配置，支持集群模式業務分組；后期與Kubernates Ingress-nginx 整合；與數據平臺的整合；安全威脅發現平臺組件檢測 直觀明確的 DASHBOA

5、RD；快速檢測項目中各類組件漏洞，漏洞追蹤定位到項目/個人；可靈活配置的私有組件漏洞庫；與CI/CD的整合；后期與Findbugs/PMD 的整合；安全威脅發現平臺主機/終端風險檢測 外部安全掃描系統的靈活接入管理；主機內部風險識別和控制；各類系統資產信息識別；結合數據平臺各類威脅事件的降噪；各類系統資產信息識別；終端資產的迅速隔離止損；軟件正版化管理；終端漏洞風險評估管理；惡意入侵識別與防御；高風險地址訪問識別監控；內部用戶威脅行為識別發現；未來 動態安全網關；數據能力前置；安全能力更加自動化；應用彈性部署和自動調度；風險自動治愈；更多新技術工程化引入自研項目；傳統崗位新挑戰：信息安全之路https:/