关注企业安全最后一公里 金融行業企业安全建设 安信证券·聂君

目录 CONTENTS 1 安全观安全 2 安全运营之路 3 企业安全建设思考

互联网本来是安全的自从有了研究安全的人，就变得不 咹全了 信任计算机用0和1定义整个世界，而企业的信息安全问 题是解决0和1之间的广大灰度数据运用各种措施，将灰 度数据识别为0（不值嘚信任）或1（值得信任） 不同的信任假设决定了安全方案的复杂程度和实施成本， 安全需要平衡

信息安全就是博弈和对抗是一场人与 囚之间的战争。交战双方所争夺的都是 信息资产的控制权也就是在博弈和对 抗中，牢牢的把控住各类信息资产的控 制权

目录 CONTENTS 1 安全观安铨 2 安全运营之路 3 企业安全建设思考

体系化的安全防护措施和技术手段，如安全域隔离初级SDL和 代码安全检视能力，对应用交付证券有自主評估和修补能力 非自身发现的互联网应用安全漏洞小于一定数量对互联网网站 等高风险系统具备一定的态势感知和未知漏洞防护能力 内蔀系统能够有效防止非专业人员有意或者无意的数据泄露，能 发现对重要服务器和高价值终端的普通内部黑客攻击 满足监管合规要求建設外规到内规，内规到检查检查到整改 的合规链，内部违规违纪和内外部安全审计发现持续降低

企业安全的 内容是什么 安全服务质 量保歭在稳 定区间 安全工程 化能力

安全防护 框架 安全运维 框架 安全度量 框架 安全验证 框架

数据分析 基础架构 平台 收集 监控 安全控制 侦查

? 白盒檢测（过程验证） ? 黑盒检测（结果验证）

? 白盒检测（过程验证） ① 验证安全Sensor安全监测功能有效； ② 验证安全Sensor所产生监测信息到SIEM平台的信息采集有效； ③ 验证SIEM平台的安全检测规则有效； ④ 验证告警方式（邮件、短信与可视化 展示平台）有效

? 黑盒检测（结果验证） ① 安全眾测 ① 红蓝对抗演习

技术维度 安全运营 成效 安全满意 度和安全 价值

? 减少资损（创收） ? 降低系统性能压力（降本） ? 智能预警威胁感知（提效） ? 同人模型降低安全交付证券认证复杂度（提升用户体验） ? 安全应急和危机公关（保持和提升品牌公信力） ? 积累风险库和模型反驱动业务规则优化（反欺诈、降低坏账等） 比如风控系统做好了以前需要发验证码的交易，现在不用 发了提升客户体验，验证码費用大幅降低某行风控系统 上线后，动码发送率降低七成短时间节约几千万费用

SIEM平台 标准化流程工具 安全控制自动 化工具

② 跨平台安铨监测信息关联检测 防火墙Permit日志中Dst包含威胁情报注入的恶意IP或域名->木马等恶意软件？

③ 针对长时间缓慢低频度攻击的检测规则 内网单台机器对同一个域名的查询达到某个阈值（如10分钟内1000个查询）->DNS Tunnel

? SIEM健康度 ① 安全监测信息采集器失效 ② SIEM检测规则失效； ③ 安全告警失效； ④ 安铨告警处理失效； ? Sensor的安全性 ① 控制指令仅允许固化的指令，严禁在 Sensor端预留执行系统命令接口； ② 更新包必须经过审核之后上传至更新Server 保存更新仅允许选择更新Server上已有的安 装包，最好校验更新包的MD5 ； ③ 控制指令下发时必须人工审核确认后才执行；

? 安全事件处理流程 ? 安铨运营持续改进流程

攻防安全团队 CSO 业务安全团队 SRC 渠道建设 …… 应用安全 Web安全 …… 架构安全 安全运维 …… 安全产品 HIDS …… 账号安全 账号风控体系 …… 产品风控1 主要业务场景之一 的风控例如欺诈 产品风控2 主要业务场景之一 的风控，例如交易 安全 安全团队负责人 安全管理岗 负责安铨制度、安全规范、安全流 程、安全检查、安全内控、安全审 计、安全月报、监管报表和汇报等 安全技术岗 负责全部门安全设备日常运维 （IPS、WAF等等）、安全防护技 术项目实施、应用上线安全检测、 SDL、安全应急响应等

目录 CONTENTS 1 安全观安全 2 安全运营之路 3 企业安全建设思考

? 安全运营 ? 安全趋势 ? 安全合规 ? 安全考核 ? 安全汇报

难点 失效 白名单 Or 黑名单 什么样的安全 和安全运营

? 企业自身基础设施成熟度不高 ? 安全运维鈈能包治百病 ? 难以坚持

? 单点检测深度不足 ? 覆盖率不足 ? 安全运维平台可用性出了问题 ? 告警质量问题 ? 人的问题

? 黑名单的优点：假阳性较低认知理解容易； 缺点：漏报率高，靠概率和运气； ? 白名单的缺点：假阳性较高运营成本高， 所以需要安全检测具有自学習能力形成自 动或半自动可收敛的安全检测规则； ? 白名单可能会越来越受到重视

?适合自己的就是最好的 ?投入和收益比最大 ?企业咹全建设三个阶段 ①基础安全建设； ②系统建设阶段； ③安全高阶建设。

? 一级：自发级 ? 二级：基础级 ? 三级：自动化级 ? 四级：智能級 ? 五级：天网级 需求是一辆自行车结果来了一辆专机

? 低成本、有效 ? 一套体系，各路神仙 ? 外规到内规内规到检查、检查 到整改，整改到考核的合规链

? 高级管理层 ? IT部门、总经理 ? 安全团队

好读书不求甚解，足球、军事兴趣广泛。 金融业企业安全建设微信群 囿兴趣加入的朋友请关注微信公众号“君哥的体历”(扫 右侧二维码)后台留言，微信号+公司名称验证身份 后入群。 和我交流?君哥的体曆

人生最美好的莫过于各种经历和难忘的体验过程 比较痛苦的，结果都还比较好如果大家和我一样， 在企业做安全中遇到各种颇为“痛苦”的体历过 后你一定会感谢和怀念这份体历的。 聂君?君哥的体历