2020CIS基于安全切面實現銀行級默認安全（10頁）.pdf

1、基于安全切面實現銀行級默認安全張歐 網商銀行安全負責人自我簡介19年至今 網商銀行 CISO10年-19年 螞蟻安全團隊，應用安全，威脅感知，安全產品，零信任/可信計算西安電子科技大學 信息安全摘要攻防演習的艱難決定問題與挑戰分析解決思路實現方案總結（Take Away）攻防演習期間的艱難決定攻防演習中監管的要求銀行業的安全要求不因任何安全事件扣分扣了分，快速止血/溯源加回來攻防演習期間的艱難決定要不要關停研發測試網？要不要禁止發布/變更？VS問題：新系統發布的風險防御機制策略未必及時覆蓋引入新漏洞和攻擊面重要業務不允許暫停雙十一大促業務核心業務關鍵節點問題分析高效率零風險如何規避變更帶來的安

2、全風險敞口？新系統、新功能、新域名、新接口如何不影響業務效率？安全評估慢、安全防御成本高、上線后因安全返工業界已知實踐SDLC安全研發流程培訓需求評審安全測試發布審核安全防御產品覆蓋面不全、需求碎片化人力不足響應慢影響業務效率挑戰覆蓋遺漏（新應用/主機/服務）資產記錄不全、不準防御策略與業務場景不匹配WAFHIDS態勢感知。上線前上線后解決思路：默認安全變更全面感知評估安全組件默認覆蓋只允許安全模式變更：增、刪、改網絡應用人員計算新主機/容器、配置修改、下線入職、離職、轉崗、職責變更ACL變更、新VIP、新域名新應用、代碼修改、新功能、業務配置修改安全評估自動化評估測試人工評估已知場景風險標準

3、漏洞風險新增場景風險默認安全組件標準安全能力新組件沉淀研發安全組件運行時安全能力標準化感知覆蓋定制運行準入驗證流程準入應用運行準入打標網絡訪問準入計算資源準入安全切面背景安全切面：安全防御的平行空間 韋韜業務透視邏輯解藕精確管控基于安全切面的實現方案上線系統變化代碼變更運維變更生產運行環境網絡切點應用運行切點計算資源切點代碼準入進程行為實體身份用戶權限行為模式實體狀態接口權限代碼行為數據訪問容器鏡像身份識別資產合法性主機配置數據內容運維安全切面API標準回調API應用測試運行時切點代碼變化網絡請求運行數據接口參數數據訪問變更內容變更類型遠程調用安全評估風險識別智能決策中心人工評估漏洞判斷行為模式分析風險評估防御措施制定風險定級防御動作/策略策略/能力沉淀防御策略生成補充