6葉翔-安全之道以人為本（22頁）.pdf

《6葉翔-安全之道以人為本（22頁）.pdf》由會員分享，可在線閱讀，更多相關《6葉翔-安全之道以人為本（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、葉翔/CSO/華數集團高級工程師，長三角優秀首席安全官，浙江省網絡安全空間協會副理事長，浙江省網絡安全等級保護定級評審專家。曾就職于中國聯通總部、中國電信總部和中國建設銀行總行，目前在華數數字傳媒集團有限公司負責網絡安全管理，具有20年的網絡規劃設計和網絡安全管理經驗。演講主題：安全之道，以人為本安全之道 以人為本葉 翔長三角優秀首席安全官 浙江省等保定級評審專家浙江省網信辦、科技廳專家庫專家高級工程師、CISA、JNCIS、MCSE分享點啥呢？安全產品與服務安全管理法律法規、制度、等保 安全運營 威脅情報 數據安全 攻防與滲透技術適合企業的安全管理方法才是好方法IT系統少運維就兼任安全的職能

2、IT系統多，但是中央集中安全部門獨立出來搞運營IT系統分散，運維部門多，可能還分散到不同的地域 有錢的 四大行、國家電網、中國移動 沒錢的 咋辦呢？探索出一條自己的路12345網絡和系統運維、開發、系統集成加起來，人數比較多，有群眾基礎把技術人員發動起來網絡安全是個新趨勢，有意愿學習的人很多里面不乏一些有興趣的愛好者，早年因生活所迫，沒有能搞網絡安全網絡安全人才價格高，國企很難直接招進來，自己培養比較便宜保持一個安全人才隊伍的基數，可以有效應對人員流失Part 01行業競賽行業競賽培訓，開展CTF+筆試(產品、法規、等保)練內功榮譽激勵基本功 基礎網絡安全知識安全產品的使用防火墻、堡壘機、主機

3、加固和終端殺毒政策法規的普及等保、網絡安全法、數據安全法、制度編寫與貫徹運維審計、IT審計專項培訓關基保護條例針對我司1個關基相關的幾個系統的維護人員APP檢測與個保法 針對我司APP開發部門CTF和實際工作之間的差距篩選出對安全技術有興趣的人CTF和真實滲透之間的差距標準的CTF和AWD比賽30%20%50%甲方必須掌握的基礎網絡安全知識適當考慮行業特點CTF+AWD行業競賽浙江省總工會 培養了技術人員的安全意識和安全知識讓運維人員能夠理解某些安全措施是必要的，比如DMZ區的設置選拔一批專門化的人才重點培養春 種 一 粒 粟，秋 收 萬 顆 子春 種 一 粒 粟，秋 收 萬 顆 子Part

4、02眾測眾測+隱患排查隱患排查為企業內部服務找外殼的縫隙獎金激勵內 部 眾 測內 部 眾 測業務部門強勢，過大的互聯網暴露面十分煩惱歷史原因造成的大量未納入管控的內網互通規則運維打補丁節奏完全跟不上時代風險可控內部人員眾測比社會眾測風險低，且可以侵入內網開展工作為“大型真人實戰演練”隊伍練兵，紅隊和藍隊提前對抗老板說：肥水不流外人田，比安全公司的服務效果好價格低建立SRC 懸賞性價比培養隊伍SRC的難點1、建立適合企業的規則2、熟悉企業情況的權威判分四、成功打擊業務系統，可造成業務影響類序號威脅類型賦值規則備注1停止服務按影響用戶數計量，每用戶1分；影響部分業務的，由裁判酌情計分；僅影響新上線

5、用戶的，按全量用戶數1/3 計量直播10萬封頂，其他業務5萬封頂，集客業務3萬封頂2篡改內容首頁面和直播按影響用戶數計量，每用戶1分；次級頁面0.1分，三級及以下頁面0.01 分直播10萬封頂，首頁面5萬封頂，其他頁面3萬封頂。3數據泄漏按可泄漏信息條目數計量，每條1分；含用戶敏感信息(姓名、電話、身份證、住址、生物特征、支付卡號)三項及以上的每條10分。敏感信息5萬封頂，其他信息3萬封頂。集客業務3萬封頂一、入侵并獲取權限類序號 威脅類型賦值規則備注1獲取域名控制權限每個一級域名或每套DNS授權服務器，10000分緩存DNS按核心生產網設備扣分2獲取終端計算機權限辦公20分/臺，業務運營終端

6、50分/臺，運維終端100分/臺（這個會有突然得分很多的情況出現，比如拿下堡壘機、EDR后會群控很多機器，這個要不要加個得分上限？）扣對應終端主人的公司積分3獲取郵箱賬號密碼20分/個，單個紅隊最多200分扣對應郵箱主人的公司積分4獲取web應用系統、ftp等應用的用戶權限普通用戶權限20分（同等權限按一個賬戶計），后臺管理員權限100分。單個攻擊方得分累計不超過3000分，特別重大戰果由裁判組研判后給分。5獲取單點登錄認證系統權限（sso）系統管理權限500分，能登入的系統100分/個。6獲取服務器主機權限（含webshell權限）普通用戶權限50分（同等權限按一個賬戶計），管理員權限100

7、分。通過多網卡進入新網絡區域的，按照進入的網絡類型給分。單個攻擊方得分累計不超過5000分，特別重大戰果由裁判組研判后給分。7獲取域控系統權限獲取域控服務器管理員權限500分，域內可控服務器按照服務器主機權限給分。8獲取堡壘機、運維機權限管理員權限200分，托管的服務器按照服務器主機權限給分。9獲取數據庫連接賬號密碼（含sql注入）普通用戶權限50分（同等權限按一個賬戶計），管理員權限100分。單個攻擊方得分累計不超過1000分，特別重大戰果由裁判組研判后給分。10獲取防火墻、路由器、交換機、網閘、光閘、擺渡機等網絡設備權限控制設備管理員300分/個，其他用戶減半。通過以上設備進入新網絡區域的

8、，按照進入的網絡類型給分。單個攻擊方得分累計不超過2000分，特別重大戰果由裁判組研判后給分。11 物聯網管控平臺系統管理權限1000分，物理機管理員權限1000分/臺，虛擬機管理員權限200分/臺。得分累計不超過5000分12 獲取IDS、審計設備等監測設備權限 管理員200分/個，其他用戶100分/個。單個攻擊方得分累計不超過1000分，特別重大戰果由裁判組研判后給分。Part 03“大型真人實戰演練”+服務輸出服務輸出對外提供安全服務榮譽和獎金如何證明企業的安全水平？久病成良醫，當藍隊攢了很多經驗，憋了一口氣打出企業品牌，為安全服務輸出做準備增進與監管機構的友誼為 什 么 要 參 加為

9、什 么 要 參 加“大 型 真 人 實 戰 演 練”紅 隊紅 隊知己知彼知道如何攻才知道怎么守可以參加現場復盤會，分享到很多的經典案例，而不是拾人牙慧寫總結報告，總結如何防守，真正理解，刻骨銘心極大的激發了隊員們的興趣參 加 紅 隊 后 才 更 了 解 規 則參 加 紅 隊 后 才 更 了 解 規 則舉個例子，學會了收集情報，發現Github簡直是泄漏之王，回去后自然會加倍小心紅隊常用手法常見內網漏洞redis 未授權、ms17-010zerologon域控各種密碼問題弱口令、密碼重復使用瀏覽器保存密碼、密碼本強攻重要節點天擎等安全控制管理系統堡壘機、域控正面突破官網、OA、微信公眾號小程序已

10、知漏洞/賬號密碼爆破釣魚郵件釣魚/HR/商務等定向投毒供應鏈軟件供應商 （尤其是具有云端管控功能）126543邊界突破互聯網空間測繪搜索引擎內網橫向項目支持系統集成項目網絡安全部分的技術支持如何過等保應急響應服務獨立的安全服務培訓、漏掃、滲透總結面向同行業的小企業、非IT的合作企業等等，人員分布在各地，具有就近的地域優勢，在偏遠地區有技術優勢可 以 對 外 提 供 哪 些 安 全 服 務可 以 對 外 提 供 哪 些 安 全 服 務對項目的售后和技術支持從成本部門向利潤部門轉型 如果安全能對外輸出，企業是否有機制可以給安全更多的人，給這些人更高的薪酬？阿里云最初是為淘寶提供技術，后來獨立經營成了中國最大的云計算公司。中國電信的安全公司，雛形是運維部下面那一群搞安全的人。稍微總結一下適合企業自身必要但不充分借力打力 管理方法一定是根據企業特點去制訂的，適合的才是最好的。我的方法你學了不一定就有用，給大家一個參考啟發。搞好網絡安全沒有充分條件，只有必要條件，人是非常關鍵的環節。處理好內部關系，學會借力打力，能從運維和開發找人來干活，人培養好了要是調不動，那也白搭。