1、叶翔/CSO/华数集团高级工程师，长三角优秀首席安全官，浙江省网络安全空间协会副理事长，浙江省网络安全等级保护定级评审专家。曾就职于中国联通总部、中国电信总部和中国建设银行总行，目前在华数数字传媒集团有限公司负责网络安全管理，具有20年的网络规划设计和网络安全管理经验。演讲主题：安全之道，以人为本安全之道 以人为本叶 翔长三角优秀首席安全官 浙江省等保定级评审专家浙江省网信办、科技厅专家库专家高级工程师、CISA、JNCIS、MCSE分享点啥呢？安全产品与服务安全管理法律法规、制度、等保 安全运营 威胁情报 数据安全 攻防与渗透技术适合企业的安全管理方法才是好方法IT系统少运维就兼任安全的职能

2、IT系统多，但是中央集中安全部门独立出来搞运营IT系统分散，运维部门多，可能还分散到不同的地域 有钱的 四大行、国家电网、中国移动 没钱的 咋办呢？探索出一条自己的路12345网络和系统运维、开发、系统集成加起来，人数比较多，有群众基础把技术人员发动起来网络安全是个新趋势，有意愿学习的人很多里面不乏一些有兴趣的爱好者，早年因生活所迫，没有能搞网络安全网络安全人才价格高，国企很难直接招进来，自己培养比较便宜保持一个安全人才队伍的基数，可以有效应对人员流失Part 01行业竞赛行业竞赛培训，开展CTF+笔试(产品、法规、等保)练内功荣誉激励基本功 基础网络安全知识安全产品的使用防火墙、堡垒机、主机

3、加固和终端杀毒政策法规的普及等保、网络安全法、数据安全法、制度编写与贯彻运维审计、IT审计专项培训关基保护条例针对我司1个关基相关的几个系统的维护人员APP检测与个保法 针对我司APP开发部门CTF和实际工作之间的差距筛选出对安全技术有兴趣的人CTF和真实渗透之间的差距标准的CTF和AWD比赛30%20%50%甲方必须掌握的基础网络安全知识适当考虑行业特点CTF+AWD行业竞赛浙江省总工会 培养了技术人员的安全意识和安全知识让运维人员能够理解某些安全措施是必要的，比如DMZ区的设置选拔一批专门化的人才重点培养春 种 一 粒 粟，秋 收 万 颗 子春 种 一 粒 粟，秋 收 万 颗 子Part

4、02众测众测+隐患排查隐患排查为企业内部服务找外壳的缝隙奖金激励内 部 众 测内 部 众 测业务部门强势，过大的互联网暴露面十分烦恼历史原因造成的大量未纳入管控的内网互通规则运维打补丁节奏完全跟不上时代风险可控内部人员众测比社会众测风险低，且可以侵入内网开展工作为“大型真人实战演练”队伍练兵，红队和蓝队提前对抗老板说：肥水不流外人田，比安全公司的服务效果好价格低建立SRC 悬赏性价比培养队伍SRC的难点1、建立适合企业的规则2、熟悉企业情况的权威判分四、成功打击业务系统，可造成业务影响类序号威胁类型赋值规则备注1停止服务按影响用户数计量，每用户1分；影响部分业务的，由裁判酌情计分；仅影响新上线

5、用户的，按全量用户数1/3 计量直播10万封顶，其他业务5万封顶，集客业务3万封顶2篡改内容上海品茶面和直播按影响用户数计量，每用户1分；次级页面0.1分，三级及以下页面0.01 分直播10万封顶，上海品茶面5万封顶，其他页面3万封顶。3数据泄漏按可泄漏信息条目数计量，每条1分；含用户敏感信息(姓名、电话、身份证、住址、生物特征、支付卡号)三项及以上的每条10分。敏感信息5万封顶，其他信息3万封顶。集客业务3万封顶一、入侵并获取权限类序号 威胁类型赋值规则备注1获取域名控制权限每个一级域名或每套DNS授权服务器，10000分缓存DNS按核心生产网设备扣分2获取终端计算机权限办公20分/台，业务运营终端

6、50分/台，运维终端100分/台（这个会有突然得分很多的情况出现，比如拿下堡垒机、EDR后会群控很多机器，这个要不要加个得分上限？）扣对应终端主人的公司积分3获取邮箱账号密码20分/个，单个红队最多200分扣对应邮箱主人的公司积分4获取web应用系统、ftp等应用的用户权限普通用户权限20分（同等权限按一个账户计），后台管理员权限100分。单个攻击方得分累计不超过3000分，特别重大战果由裁判组研判后给分。5获取单点登录认证系统权限（sso）系统管理权限500分，能登入的系统100分/个。6获取服务器主机权限（含webshell权限）普通用户权限50分（同等权限按一个账户计），管理员权限100

7、分。通过多网卡进入新网络区域的，按照进入的网络类型给分。单个攻击方得分累计不超过5000分，特别重大战果由裁判组研判后给分。7获取域控系统权限获取域控服务器管理员权限500分，域内可控服务器按照服务器主机权限给分。8获取堡垒机、运维机权限管理员权限200分，托管的服务器按照服务器主机权限给分。9获取数据库连接账号密码（含sql注入）普通用户权限50分（同等权限按一个账户计），管理员权限100分。单个攻击方得分累计不超过1000分，特别重大战果由裁判组研判后给分。10获取防火墙、路由器、交换机、网闸、光闸、摆渡机等网络设备权限控制设备管理员300分/个，其他用户减半。通过以上设备进入新网络区域的

8、，按照进入的网络类型给分。单个攻击方得分累计不超过2000分，特别重大战果由裁判组研判后给分。11 物联网管控平台系统管理权限1000分，物理机管理员权限1000分/台，虚拟机管理员权限200分/台。得分累计不超过5000分12 获取IDS、审计设备等监测设备权限 管理员200分/个，其他用户100分/个。单个攻击方得分累计不超过1000分，特别重大战果由裁判组研判后给分。Part 03“大型真人实战演练”+服务输出服务输出对外提供安全服务荣誉和奖金如何证明企业的安全水平？久病成良医，当蓝队攒了很多经验，憋了一口气打出企业品牌，为安全服务输出做准备增进与监管机构的友谊为 什 么 要 参 加为

9、什 么 要 参 加“大 型 真 人 实 战 演 练”红 队红 队知己知彼知道如何攻才知道怎么守可以参加现场复盘会，分享到很多的经典案例，而不是拾人牙慧写总结报告，总结如何防守，真正理解，刻骨铭心极大的激发了队员们的兴趣参 加 红 队 后 才 更 了 解 规 则参 加 红 队 后 才 更 了 解 规 则举个例子，学会了收集情报，发现Github简直是泄漏之王，回去后自然会加倍小心红队常用手法常见内网漏洞redis 未授权、ms17-010zerologon域控各种密码问题弱口令、密码重复使用浏览器保存密码、密码本强攻重要节点天擎等安全控制管理系统堡垒机、域控正面突破官网、OA、微信公众号小程序已

10、知漏洞/账号密码爆破钓鱼邮件钓鱼/HR/商务等定向投毒供应链软件供应商 （尤其是具有云端管控功能）126543边界突破互联网空间测绘搜索引擎内网横向项目支持系统集成项目网络安全部分的技术支持如何过等保应急响应服务独立的安全服务培训、漏扫、渗透总结面向同行业的小企业、非IT的合作企业等等，人员分布在各地，具有就近的地域优势，在偏远地区有技术优势可 以 对 外 提 供 哪 些 安 全 服 务可 以 对 外 提 供 哪 些 安 全 服 务对项目的售后和技术支持从成本部门向利润部门转型 如果安全能对外输出，企业是否有机制可以给安全更多的人，给这些人更高的薪酬？阿里云最初是为淘宝提供技术，后来独立经营成了中国最大的云计算公司。中国电信的安全公司，雏形是运维部下面那一群搞安全的人。稍微总结一下适合企业自身必要但不充分借力打力 管理方法一定是根据企业特点去制订的，适合的才是最好的。我的方法你学了不一定就有用，给大家一个参考启发。搞好网络安全没有充分条件，只有必要条件，人是非常关键的环节。处理好内部关系，学会借力打力，能从运维和开发找人来干活，人培养好了要是调不动，那也白搭。