《CIS2019-CSO高峰论坛-安全建设从一人到一众-廖威(19页).pdf》由会员分享,可在线阅读,更多相关《CIS2019-CSO高峰论坛-安全建设从一人到一众-廖威(19页).pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、安全建设从一人到一众 廖威 易宝支付 背景 遇到的问题:1.信息安全人员丌够;2.安全风险发现丌全;3.漏洞修复意愿丌强;安全建设从一人到一众 一、安全认知的改变 二、自上而下的贯彻 三、自下而上的执行 安全建设从一人到一众 一、安全认知的改变 安全认知的改变 安全建设从思想开始 让其看到,感受到从而改变思想,进而改变行为。观点 感受 思想 行为 我这安全的很 安全发的恐吓式邮件 安全得听我的来 漏洞等会修 安全建设从一人到一众 二、自上而下的贯彻 自上而下的贯彻 安全建设需要领导的支持:观点上:他山之石 感受上:事件驱动 思想上:改革开发 自上而下的贯彻 自上而下的贯彻,将安全视为公司底线,
2、并将其纳入考核:1.安全可用性 2.敏感数据底线 安全建设从一人到一众 三、自下而上的执行 自下而上的执行 为了确保员工对安全建设更有意愿 以VP部门为单位进行了3大类活动:1.趣味化的安全意识培训 2.生活化的安全竞赛 3.实战化的安全演练 安全培训 安全竞赛 安全演练 安全考核 自下而上:安全意识培训 通过安全监督员进行全员工安全意识培训:1.对每部门的安全监督员培训考核;2.安全监督员对自己部门内员工培训;3.信息安全部对考核未通过者定向培训;信息安全 安全监督员 员工.安全监督员 员工.自下而上:安全意识培训 安全意识培训经验:1.通俗易懂(培训以及考试)2.互动(沟通以及操作)3.趣
3、味、奖励(对听众的认可)自下而上:安全竞赛 分个人以及团体对安全竞赛进行积分排名:1.小白 安全擂台赛 2.文艺 安全创意赛 3.技术 CTF比赛 4.围观 学以致用赛 安全竞赛 自下而上:安全竞赛 安全竞赛经验:1.明白竞赛的意义;2.奖金要有诱惑力;3.活动之间是有关联的;4.传销的方式运营;自下而上:安全实战演练 看谁在裸泳,用被钓鱼的账号密码进行钓鱼:1.打破思想误区:钓鱼来自外部;2.自我认为不实际的差距;自下而上:安全实战演练 网络钓鱼方法的总结:1.目的 如:密码、资料、通信录等 2.渠道 如:邮件、WiFi、短信、U盘等 3.技术方法 如:伪造、中间人劫持、漏洞、二维码等 4.话术 如:贪便宜心理、权威、自身利益、公益、日常工作 自下而上:安全实战演练 安全钓鱼的经验:1.新员工入学第一课;2.人员覆盖率(邮件查看,URL点击);3.钓鱼长期,随机化,实战化;安全建设从一人到一众 安全人士:风险上报:安全意愿:1 7 1.敏感数据;2.业务安全风险;3.系统漏洞 1.主动考虑安全;2.安全一票否决权;。姓名 公司 联系方式