金融业企业安全建设实践群

第10期-

上周群里共有位群友参与讨论

1个话题分为以下6类

安全管理：7个

安全技术：5个

求文档：1个

甲方乙方：3个

法规解读：个

行业思考：3个

1、请教大家一个问题，假如，漏洞被发现了，修复上了，能给公司省多少钱，这个价值能量化吗？反过来说，漏洞没有被发现，会给公司带来多少损失，这个价值又能被量化吗？如果能的话，有哪些指标可以参考呢？漏洞存在是风险，不一定会被入侵。入侵是影响，才能用价值损失计算。只有当出现了损失，才能去评估，一般企业无法量化。这也是安全建设，为啥经常是事件驱动。能参考各大厂家漏洞的奖励政策不？漏洞奖励政策和漏洞价值是两回事，比如你给我个smb的rce，我给你W，你给微软微软能给你多少？最多0W刀。你能说这个漏洞价值只有0W刀？换个例子solarwinds弱口令假如有src，你提交给他，给你算多少价值？刀？实际这个弱口令后续的造成的损失价值早就过亿刀了，没办法量化。攻防演练其实就是解决漏洞价值不好评估的问题产生的行动，把漏洞转化为权限失控、数据泄露、高管隐私泄露、商业机密泄露风险。在授权充足的情况下，漏洞利用链越深入越容易引起高层对于风险的感知，容易引发加大投入的决策。

漏洞修复投入roi的计算，其实是一个很古老传统的风险评估的问题，结合个人的经验可以分两方面看：

（1）学院派，漏洞利用概率（利用成本，企业资产爆漏面等因素影响）乘以资产价值。可以具体量化出一个洞在一个企业里如果不修复最大的损失。

（）实战派，一个企业所处阶段不同，一个洞的影响价值不同，初创期的企业，安全蛮荒，一个RCE类漏洞比如java反序列化，往往可以直接打穿一个企业网，所以这时候修复这种洞的ROI非常高；但是一个成熟企业，安全体系完善，某个洞被利用，不一定能造成洞穿级别影响，ROI很难看出来，就需要结合viking讲的，对抗演练，社工等综合手段来衡量面对高级别对手、利用何种攻击组合拳和手法，企业应该在哪里加强投入，而不仅仅是一个洞的修复ROI评估。

学院派还是实战派的使用的人多一些？跟老板汇报，用实战派容易理解。

、跳出漏洞价值，如果整个安全工作的ROI是个谜，那么大家平时又是如何问领导要预算的呢？领导不会问为什么要花这个钱？不花行不行？不花会怎样？钱是领导自己的，通常能不花就不花（民营企业），钱不是领导自己的，合规合法的基本都花（国企，央企的职业经理人）。花自己的钱办自己的事，既讲节约又讲效果；花自己的钱办别人的事，只讲节约不讲效果；花别人的钱办自己的事，不讲节约只讲效果；花别人的钱办别人的事，不讲节约不讲效果。可以对号入座。

3、w预算，你花了10w，省下来90w，是好事还是坏事呀？坏事，预算没花完，被财务说事小，缺乏预测与执行能力明年砍预算事大。说明申请和执行差距太大，申请动机也有问题，态度和能力都会有问题。

4、各位大佬，我想请教一个问题。如果用户收到伪装成本公司的钓鱼邮件，一般怎么处理？金融行业有相关的标准或者流程吗？

5、你们是如何处理外包员工泄开发代码的？！这个外包员工已经离职了，原公司也找不到这个人。如果你们和外包公司之间有合同，合同里面一般有保密条款，可以运用保密条款对外包公司进行惩戒、罚款。因为没有直接劳动关系，你们是没有办法对这个外包员工进行经济处罚或其他处罚措施的（但通报批评这种是可以），这个只能外包公司去干。

6、大佬们，有没有考虑过密薪制下，怎么保护薪资数据的安全与保密呢？

7、大佬们，人力资源系统管理员是it还是人力呀？运维人员是单独的吗？

1、各位大佬，最近我们在考虑建立一个文件安全服务组件，希望大家给些实践层指导：最近有几个互联网应用都有图片上传的需要，比较密集，之前打算继续用文件沙箱的方式做检测，再存到电子影像平台，但可能会部署的沙箱比较多，希望能建立一个通用的文件安全服务组件，作为企业的通用服务。是否有实践应用案例？是否是引进的成熟产品，改造的工作量大不大？

、探讨一下，这里的技术选型优劣。设备认证这里，大家的做法1.完美世界之前是用的浏览器证书，移动端不适用（Google自己的paper里也说这样端体验不一致）.iOA，用的是类似VPN+解析域名到内网IP，VPN劫持内网路由搭建隧道3.Google商用产品，浏览器插件采集端的信息+反向代理4.某创业公司，登录到一个web页面，然后由web页面上内嵌client到目标，目标前面弄个反向代理。还有我没说全的么？哪种更符合技术趋势？

3、这里有几个问题比较困扰的，拆解一下：1.PC端和移动端，大家都用相对统一的方案了么？或者说，都做了移动端了么？.设备认证方法是有本地端的配合，还是下发一张证书，还是在浏览器插件/App里native采集3.劫持流量的方法4.有了相对可信的隧道，应用层的用户凭据（比如SSO），是否还会携带？

4、现在各类机器人程序都很流行，会不会有通过机器人泄露数据的风险，如何排查？

5、现在联邦学习有成熟应用的了吗？

1、请教大家一个问题，有没有哪个规范要求机房空调必须有独立隔断？[文件:GB-数据中心设计规范.pdf]gb-比更好参考，是机房测评的依据之一。

1、各位大佬，有比较过虚拟桌面厂商提供的访问网关功能与sslvpn功能差别吗？现在vpn都被炒作成零信任了，很多厂家vpn都逐步不支持了，我就想买个vpn，本来几万块，现在几十万。

、很多厂商都宣传VPN因为是需要建立隧道，所以TCP会话一直是一个长连接的状态，在零信任里面TCP会话使用短连接，所以用户上网感受会好很多，是真的吗？

3、请教各位大佬，要保障业务数据交换的安全，都有哪些好的数据摆渡工具？

1、请教下大佬们，金融行业业务上云的合规方面，主要遵循那些合规文件？

、《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》第一句是为防范国家数据安全风险，大概率是和数据有关。单从审查办法看，有可能是didi采购了什么不该采购的，才会启动审查。

1、说个争议话题：我一直是反对用数据生命周期去指导数据安全建设体系的。

因为数据生命周期是划分阶段的模型（且不说划分的合理不合理），但是安全体系是紧密围绕着风险与威胁的，而风险是紧密与it资产（数据安全就是数据资产）和it暴露面（数据安全就是数据暴露面）相关，威胁是和人相关的。

而数据生命周期划分的每个阶段，是缺乏资产，暴露面和人的要素，从而导致如果从数据生命周期出发看数据安全体系，是完全没有风险和威胁视角的，因此推导出来的数据安全体系，就是一堆经验产品的堆积方案，既说明不了他们能缓解的现实的风险与威胁，也解决不了他们之间的体系关系，以及和全流程数据资产分类分级的安全策略映射关系。

幸好数安法抛弃了数据生命周期这一套，只把他归纳为数据处理活动。而整个技术体系，则是以数据分类分级，数据风险评估，数据风险监测，数据安全事件响应，终于回归了资产与风险视角。

为啥一个框架，两个糅合搞个安全能力矩阵，逐个能力域看到没到位不就结了么？生命周期的核心讲的是个持续性的问题，资产风险评估体系讲的是一个点上的综合性风险评价的问题，没有冲突的。你前面评估的风险，在后面的阶段，本身就要做继承的。

数据生命周期我理解也应该是数据安全的方法论，指导我们如何梳理数据资产和识别风险，真正数据安全的防护应该还是威胁视角或者资产视角才比较好落地。理解为数据安全的就好了。

数据安全生命周期是个具体落地的拆解，缺少了威胁视角。纯粹按生命周期去做，成本搞不定。威胁方法论提供了更宏观的上层指导。具体来说，一个系统，先做威胁评估确定风险，然后按照生命周期选择性去做，ROI更高。

、数据分类分级的标准有吗？有，大的金融数据分类分级指南，小的有证券期货也分类分级指引。其实我觉得没必要看分类分级标准，除非有监管要求。适合自己的才是最重要的。分类分级标准关键是要服务的组织和业务部门看得懂，简单，哪怕没有打标落地工具等支撑，也能口口相传，随便拎谁出来都知道什么是敏感什么不敏感。

3、数据资产管理和元数据系统建设，八字都没一批，这个时候做数据安全？梦吧。人力投入vs风险高低，体系化有了但眼下主要矛盾没控制住，那信任就少了。

---------------------------------------------------------------------------------------

企业安全建设实践群

第7期-

上周群里共有87位群友参与讨论

11个话题分为以下6类

安全管理：4个

安全技术：个

求文档：3个

甲方乙方：0个

法规解读：1个

行业思考：1个

1、漏洞价值的量化，一个是参考监管的罚款，一个是借鉴同行案例，一个是借鉴众测平台的奖金，我觉得还是非常主观和个体的，单个漏洞或许可以单拎出来这样看，但是还有很多是不能应用上的。而且我个人觉得众测平台的奖金也是不知道怎么定出来的，比方说A平台根据自己的运营成本和利润，定了高危，别的平台一看牛逼的白帽子全都去A平台了，就准备把高危定到或更高，而不是回归到漏洞本身的价值，但是漏洞本身的价值又有谁能说得清？所以就变成了漏洞价值以众测平台的奖金来算，这个逻辑上是不是有点问题啊

、请教大佬们个问题，信息科技风险管理是信息技术部的工作范畴，还是风险管理部的工作范畴，或者是两者分工协作？

3、对于漏扫报告，大家是怎样做保密管理的啊？

4、请问一下,业务系统后台的权限是怎么做运营管理的，全部集中化管理，还是分开到对应的业务部门？

1、请教下大家，安全域一般都是怎么化划的呢，有没有啥原则和需要注意的地方呢？君哥以前有句话说得非常精辟，主机层的访问控制比应用层更难绕过，网络层的访问控制比主机层更难突破，这个架构设计的工作是影响非常长远的，需要立足业务模式，现有架构，攻击路径来设计，比如说不仅仅是生产，测试，门诊那块怎么访问的呢君哥的书写了一部分安全域设计原则，但是照搬的话可能会有业务影响的阻力，还得提供下实际业务场景具体分析提出解决方案。

、请教个问题，终端管理员权限收回了，有些软件每次打开运行的时候都需要调用管理员权限，这种频繁的找管理员输入有点不合理，这种有没有好的解决方案或者软件来处理？

1、大家好，“0年完成金融行业重要系统国密改造”，这个要求是在哪个发文的？

、哪位大佬有中国域名管理机构的组织架构介绍PPT。简单的说中国顶级域名管理单位是谁？他的下属单位有哪些？有哪些域名注册管理公司，分别归谁管理。

3、哪位大佬，有容器安全相关的材料，能否共享一下。涉及，容器生命周期的安全控制点，等等内容？

无。

1、大家除了等保之外，做过数据安全方面的认证吗？

1、dd手头数据太多了吧，行程、录音、习惯，又在境外上市，可以发个解读同步给公司管理层，提升安全部门话语权的好机会。

-----------------------------------------------------------------------------------

#群话题

和每周讨论的话题会同步在本