1、基于安全切面实现银行级默认安全张欧 网商银行安全负责人自我简介19年至今 网商银行 CISO10年-19年 蚂蚁安全团队,应用安全,威胁感知,安全产品,零信任/可信计算西安电子科技大学 信息安全摘要攻防演习的艰难决定问题与挑战分析解决思路实现方案总结(Take Away)攻防演习期间的艰难决定攻防演习中监管的要求银行业的安全要求不因任何安全事件扣分扣了分,快速止血/溯源加回来攻防演习期间的艰难决定要不要关停研发测试网?要不要禁止发布/变更?VS问题:新系统发布的风险防御机制策略未必及时覆盖引入新漏洞和攻击面重要业务不允许暂停双十一大促业务核心业务关键节点问题分析高效率零风险如何规避变更带来的安
2、全风险敞口?新系统、新功能、新域名、新接口如何不影响业务效率?安全评估慢、安全防御成本高、上线后因安全返工业界已知实践SDLC安全研发流程培训需求评审安全测试发布审核安全防御产品覆盖面不全、需求碎片化人力不足响应慢影响业务效率挑战覆盖遗漏(新应用/主机/服务)资产记录不全、不准防御策略与业务场景不匹配WAFHIDS态势感知。上线前上线后解决思路:默认安全变更全面感知评估安全组件默认覆盖只允许安全模式变更:增、删、改网络应用人员计算新主机/容器、配置修改、下线入职、离职、转岗、职责变更ACL变更、新VIP、新域名新应用、代码修改、新功能、业务配置修改安全评估自动化评估测试人工评估已知场景风险标准
3、漏洞风险新增场景风险默认安全组件标准安全能力新组件沉淀研发安全组件运行时安全能力标准化感知覆盖定制运行准入验证流程准入应用运行准入打标网络访问准入计算资源准入安全切面背景安全切面:安全防御的平行空间 韦韬业务透视逻辑解藕精确管控基于安全切面的实现方案上线系统变化代码变更运维变更生产运行环境网络切点应用运行切点计算资源切点代码准入进程行为实体身份用户权限行为模式实体状态接口权限代码行为数据访问容器镜像身份识别资产合法性主机配置数据内容运维安全切面API标准回调API应用测试运行时切点代码变化网络请求运行数据接口参数数据访问变更内容变更类型远程调用安全评估风险识别智能决策中心人工评估漏洞判断行为模式分析风险评估防御措施制定风险定级防御动作/策略策略/能力沉淀防御策略生成补充
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
宗瑞睿Ruirui Zong-Rühe-_电_燃未来 电池材料市场前景及趋势_EN.pdf
6.15 调味品与预制菜+天味食品+胡涛+中文.pdf
2023gfhs 1A Jonatas Randal da Silva.pptx
药明生物-JPM-20240110 .pdf
灵北制药-JPM-20240108.pdf
拜耳-JPM-20240109.pdf
药明康德-JPM-20240110 .pdf
礼来-JPM-20240109.pdf
Sarepta-JPM-20240108.pdf
百济-JPM-20240108.pdf
Regeneron-JPM-20240108.pdf
uniQure-JPM-202401.pdf
Merck-JPM-20240108.pdf
QIAGEN-JPM-202401.pdf
中国生物制药-JPM-202401 .pdf
HOLOGIC-JPM-202401.pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆