錢君生-淺談大中型軟件企業信息安全建設（15頁）.pdf

《錢君生-淺談大中型軟件企業信息安全建設（15頁）.pdf》由會員分享，可在線閱讀，更多相關《錢君生-淺談大中型軟件企業信息安全建設（15頁）.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、淺談大中型軟件企業信息安全建設淺談大中型軟件企業信息安全建設2020年11月27日科大訊飛安全架構師 錢君生議題概要議題概要在業界，談論互聯網、金融或運營商安全建設的比較多，談論大中型軟件企業安全建設比較少。實際上，大中型軟件企業在當下的IT企業中占有很大的比重，就大中型軟件企業的信息安全建設來說，與互聯網企業、金融企業存在著很大的差異性。本次分享將結合大中型軟件企業安全建設的過程，討論相關實踐細節。關于我關于我OWASP中國安徽區域負責人，現就職科大訊飛集團公司，任安全架構師，是開源圖書BurpSuite實戰指南、API安全技術與實戰（機械工業出版社）編寫者。Contents01大中型軟件企

2、業業務特點業務形態以2B交付為主、產品交付與項目交付并存02業務對安全建設的挑戰安全職責、預算、投入均不對等、安全環境復雜03安全建設實踐思路多模型融合的安全體系、關鍵安全策略議題大綱議題大綱04未來展望未來想做的事大中型軟件企業業務特點大中型軟件企業業務特點大中型軟件企業業務特點大中型軟件企業業務特點 業務形態以2B交付為主 產品交付與項目交付并存 客戶對象主要是企事業單位 業務開展以項目制形式 通常需要開展招投標和采購活動 系統集成和軟件產品集成 業界有甲方爸爸一說，客戶在業務中占主導地位 企業的業務開展圍繞收益展開 在不斷的項目交付過程中，積累自己的基礎平臺或產品；典型的產品如ERP、H

3、RM、CRM、OA等 圍繞項目建設內容，采用產品交付+定制來完成項目交付業務對安全建設的挑戰業務對安全建設的挑戰1安全職責、預算、投入均不對等|安全事件板子打在客戶方，肉疼在廠商 甲方爸爸關心安全，但往往沒銀子 安全工作必須要做 利潤或收益減少，投入可能無收益2安全環境復雜難以標準化|不同的項目，環境不一樣 不同的客戶，要求不一樣 不同的行業，標準不一樣 不同的預算，內容不一樣3業界最佳實踐參照樣本缺乏|業界談論金融、互聯網企業多，談論軟件企業的少 業界最佳實踐參照樣本少，有頭部企業做得好，但很少公開說 更多的是落后同時代的其他IT企業，在摸著石頭過河多模型多模型融合安全建設思路融合安全建設思

4、路 安全建設思路圍繞業務的生命周期開展【圖片來源/網絡】業務對象：信息系統 SAMM SDL 等保 ISSE落地實施關鍵落地實施關鍵安全策略安全策略分級分類策略01底線管控策略02DevSecOps管道化策略04數字化平臺運營策略05公共組件策略03分級分類策略分級分類策略 為什么要分級分類 內外部安全要求不一樣 產品成熟度不一樣 安全投入不一樣 如何分級分類 從定性和定量兩個方面制定分類標準 挑選對安全影響至為關鍵的指標 常用指標項產品成熟度系統重要性風險暴露面監管要求中斷成本業務連續性要求指標項評分*指標權重底線管控策略底線管控策略 為什么要底線管控 明確最低安全要求 防止安全投入不足 如

5、何底線管控 發布底線要求（精簡、明確、利于執行、周期調整）制定底線管理辦法 建立審查和懲獎機制 常用底線管控樣例 合規性管控底線，比如：APP應用必須參考APP違法違規收集使用個人信息行為認定方法進行上線前合規檢測 技術路線選型管控底線，比如：禁止使用GPL協議產品或代碼；禁止使用fastjson 運維部署管控底線，比如：禁止存在高危漏洞的應用系統上線發布；禁止高危端口對互聯網開放；公共組件公共組件策略策略安全組件庫系統A1系統A2系統系統AnESAPI統一認證平臺防破解系統API網關安全文件存儲數據安全平臺業務模塊1業務模塊2安全組件1業務模塊1業務模塊2安全組件2業務模塊1安全組件n業務模

6、塊1業務模塊2安全組件n 專業的人做專業的事 通過安全組件的復用，降低軟件架構的安全風險輸入型攻擊身份認證會話管理訪問控制代碼破解API安全文件與資源安全數據隱私安全審計平臺日志與審計OWASP安全驗證類型產品示例安全組件nDevSecOpsDevSecOps管道化策略管道化策略代碼倉庫代碼倉庫自動化測試自動化測試關鍵評審關鍵評審開發人員提交代碼開發人員提交代碼到代碼倉庫到代碼倉庫自動化安全測試自動化安全測試質量管理質量管理自動化發布自動化發布數據庫數據庫防火墻防火墻云虛機云虛機持續集成持續發布基礎設施數字化運營數字化運營策略策略安全BP：項目管理系統數據質量工程師：質量審計數據漏洞掃描平臺：漏洞掃描系統數據滲透測試工程師：人工滲透測試數據DevSecOps平臺系統收集系統收集安全掃描平臺日常收集數據匯集數據分析安全運營分析決策/改進措施 安全事件數、安全事件危害等級安全事件 線上發現問題數、底線管控符合度、研發過程漏洞總數、漏洞修復率質量管理 復用數、缺陷數、需求響應度、客戶滿意度公共組件未來展望未來展望