互联网企业信息安全建设落地实践

1、互联网企业信息安全建设落地实践技术创新，变革未来互联网企业需要什么样的安全安全工作的“天时、地利、人和”安全建设落地经验分享CONTENTS互联网企业安全主体责任责权一致：主体责任彰显企业担当2018年4月20日至21日，习近平总书记在全国网络安全和信息化工作会议上提出：要坚定不移支持网信企业做大做强，加强规范引导，促进 其健康有序发展。企业发展要坚持经济效益和社会效益相 统一，更好承担起社会责任和道德责任。要落实关键信息基础设施防护责任，行业、企业作为关键 信息基础设施运营者承担主体防护责任，主管部门履行好 监管责任。要压实互联网企业的主体责任，决不能让互联网成为传播 有害信息、造谣生事的平

2、台。要加强互联网行业自律，调 动网民积极性，动员各方面力量参与治理。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人 隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成 高压态势，维护人民群众合法权益。服务、便利安全、可靠社会责任互联网企业安全工作的特点传统安全手段失效，变化带来更大风险安全解决方案复杂，难以推动和落地安全、可用性、易用性/便利、成本/收益业务优先，BG/BU制，话语权安全实用主义，最小成本最大收益 自建团队，研发能力和影响力人员招聘、影响力、成长空间、稳定性安全很重要，但是流量大，变化快，开发上线迭代快是动态 的是持续的需要持续投入需要高 层支持不只是 安全部是相对 的安全

3、互联网企业安全架构树立正确的安全观高层支持安全投入建立专业团队对业务的赋能互联网企业安全架构安全能力演进4对抗3防御2感知1救火安全体系分布推进安全能力逐步提升互联网企业安全架构安全建设安全组织安全团队：团队规模；角色构成；内部安全组织安全能力识别和处置能力；感知和响应能力；安全自动化平台化 安全建设和运营能力；研究和学习能力安全体系安全规划；安全体系完整性；安全管理和技术体系结合安全运营持续运营；精细化运营；运营可量化可视化；安全运营落地安全意识明确信息安全方面的职责和义务 安全意识教育和文化建设互联网企业安全架构团队方向一支专业的安全团队+匹配专业能力互联网企业安全架构总体设计线上数据风险

4、数据安全数据地图数据识 别分级分 类敏感标 记数据 目录数据流关联数据血 缘所有者工单应用接口数据监 控数据库审计隐私数据加密基础安全漏洞检测漏洞检测平台代码审计平台防御能力应用防火墙感知能力态势感知主机入侵检测控制能力AAAA制度、策略、流程资产管理持续改进等保测评行业安全认证业务安全会员安全系统会员加固机器识别持续认证指纹库安全平台预警SDL风险整改跟进安全门户安全演练安全运营安全影响力预警&检测应急响应安全事件应急SRC平台安全宣传&培训安全事件复盘安全体系安全管理体系安全意识培训合规建设国家法律、标准监管和重大保障 国际标准和认证管理层重要岗位、IT持续验证线下数据风险终端&网络DLP

5、 可信计算 EMM大数据在线分析 权限控制隐私数据脱敏第三方数据风险数据接口监控水印染色可信计算安全审计密钥管理权限管理身份认证安全加固互联网企业需要什么样的安全安全工作的“天时、地利、人和”安全建设落地经验分享CONTENTS天时公安、网信、工信合规vs合法下架、永久关停、 新闻报道国家要求 合规要求监管趋严业务方的共鸣和重视地利01事件驱动：正确“利用”安全问题02内部运营：应急、监控感知、风险治理03安全组织：安全共赢，内部生态建立04安全文化：安全奖惩，影响力建设人和内部团队建设快速搭建团队，团队文化，责任心，靠谱外部行业关系朋友圈很重要，白帽子、同行、第三方、社区、监管层对接公安、网

6、信、工信、行业监管机构行业生态建立上下游（供应商、分销商、保险公司、代理机构）互联网企业需要什么样的安全安全工作的“天时、地利、人和”安全建设落地经验分享CONTENTS安全建设落地经验分享Part1基础安全Part2数据安全Part3业务安全Part4安全合规Part5安全生态01基础安全能力Part OneA、风险治理能力技术运营管理 技术风险发现能力，风险管理平台，安全工单 运营风险管理制度，安全接口人 管理定量运营指标，可视化，风险跟进机制SDL/DEVSECOPS/三同步TrainingRequirementsDesignImplementationVerificationRelea

7、seresponse安全意识培训代码安全规范安全需求分析黑盒检测服务QA检测流程白盒代码审计黑盒漏洞检测代码规范培训安全测试规范安全功能白盒检测服务黑盒检测插件上线卡点资产日常宣传关键岗位考核漏洞管理规范组件版本安全策略人工检测服务流量爬虫风险跟进风险工单安全团队业务团队要求、赋能配合、执行关键词：流程、工具、培训分布式安全扫描平台业务资产识别（自适应资产变化）CMDB+端口扫描+流量+爬虫分布式扫描（自适应任务调度）调度引擎+单业务控制+限速机制漏洞检测规则（自适应漏洞规则）通用组件+通用漏洞+逻辑问题+0day安全风险发现敏感后台对外，风险服务，接口，弱口令等赋能业务研发和QA使用安全检测

8、工具，安全风险发现前移代码审计平台审计 报告代码库系统 上线 平台生成报告上线卡点监测通知下载代码代码审计系统代码扫描引擎批量任务下发检测任务引擎上线平台对接系统上线触发扫描任务根据扫描结果执行上线动作批量自动化扫描任务调度，批量扫描效率最大化代码库自动下载代码漏洞检测规则通用组件+通用漏洞+逻辑问题+0day定制扫描规则系统上线和迭代，自动检测，卡点B、监控感知能力A内部B外部态势感知 NIDS HIDS暗网监控 网盘监控 GitHub监控 威胁情报流量爬虫情报日志Agent网络侧入侵检测平台主机入侵检测平台IP、MAC、操作系统，系统账号，软件，进程，web框架资产识别AWebShell、

9、系统后门、本地提权、爆破、内网探测、 系统漏洞、弱口令、文件篡改风险发现B应急工具、批量执行脚本、同类系统定位应急响应CC、综合防控体系WAF边界实时拦截 通用漏洞应急 攻击监控内网权限身份认证鉴权 操作命令审计 密码保护02数据安全能力Part Two数据安全体系建设：全生命周期防护，结合业务场景落地数据安全架构用户数据安全：日志审计风险告警对重要系统后台实现异常行为风险告警人工规则+机器学习取证溯源多种事件关联，还原整个事件保存原始日志和证据应用数据网关应用接口调用审计数据访问使用审计用户数据安全：加解密/密钥管理加解密和密钥管理：加解密服务密钥申请，存储，分发 日志敏感信息加密自研加解密

10、服务（SDK），业务集成。密钥统一申请和分发，跨业务解密通过平台统一授权，与工单系统结合。日志平台集成加解密服务，日常查询敏感字段被加密，查询 需申请。用户数据安全：脱敏/去标识化数据接口 脱敏APIA生产-测试 脱敏B显示脱敏C数据脱敏办公网数据安全保护核心数据保护的（文件、数据、代码） 难题：办公设备管控难关键数据定位难数据泄密管控难数据预警审计难移动设备硬件Android 操作系统Android 系统空间移动数据防泄漏应 用 传 输 隧 道虚拟空间应用安全沙箱EMMDLPEMM用户数据安全：数据防泄漏可信计算：客服场景零信任安全方案落地离线状态在线状态个人环境安全环境软件定义边界安全环境

11、可访问网 络隔离限制个人环境与生产环 境隔离本地环境隔离网络进程文件系统在线强认证环境确认注销掉线环境异常个人环境安全环境个人环境正常访问研发环境锁定无法访问操作监控与 异常检测数据操作全流程追踪恶意/违规操作检测03业务安全能力Part Three业务数据安全：会员安全注册1登录2下单3支付4用户 行为设备 指纹指纹 库用户画像策略引擎威胁 情报情报库规则 库实时风控API离线分析离线画像WAF防火墙验证 码持续对抗04安全合规Part Four安全合规技术规范等级保护个人信息安全规范数据出境APP安全合规互联网行业要求旅游行业要求电商法PCI/DSSISO27001GDPR60%一致40%

12、不一致安全合规技术规范提炼、归类、合并、评测等级保护落地对象分级保护网络基础设施、信息系统、大数据、云平台、移动互联网、行业控制系统安全管理中心安全组织运营网络安全综合防御风险/漏洞管理系统预警/审计系统网络/权限管控系统安全技术能力数据安全平台业务安全平台安全门户安全制度、流程、基线安全管理委员会安全应急小组安全专项治理小组全面梳理系统范围和边界通过等级保护工作推进网络安全防护手段和安全规范要求落地APP 安全认证隐私政策独立、易读功能及收集信息类型 个人信息处理规则 免责声明APP功能隐私协议弹窗权限：明示目的、方式、范围 不得捆绑和强制授权非必要功能处理第三方SDK制度记录管理制度 事件处置个人信息影响评估 安全审计第三方安全协议认证要求：个人信息安全规