Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
VIPKID安全响应中心
Get the latest updates from VIPKID安全响应中心 directly as they happen.
Follow now 19 followers
Latest posts
Last updated 30 days ago
【VK技术分享】数据安全怎么做——架构篇
about 1 year ago
大超 2020-07-16 19:20 面对数据安全复杂的态势,我们需要有清晰的思路,方能坦然以对。 前言在当前的数据时代,随着云计算、大数据、AI等技术的不断发展,“数据”已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。数据的计量单位至少是PB级别计算。这个时代不仅给“数据”赋予了“价值”属性,也同步赋予了“法律”属性,这些都推动着国家和企业重视数据,重视数据安全。数据安全形势据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。数据泄漏对企业来说不仅是经济损失,还有国家层面的巨额罚款;比如Facebook的8700万用户数据的不当泄漏被罚款50亿美金,英国航空公司的50万乘客数据的不当泄漏被罚款2.3亿美元;国内大量企业都号称自己有百万、千万甚至过亿的用户量,但你们是否有相应的数据安全能力来保证用户数据不外泄,或者你们是否有能力应对合规层面的巨额罚款。数据安全标准>>>>国际层面各国出台了如GDPR、CCPA、COPPA、LGPD等。>>>>国内层面国内近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、 《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。数据安全相关定义>>>>数据的定义任何以电子或者非电子形式对信息的记录。>>>>理解数据的类型a、按照数据性质区分结构化数据:即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据非结构化数据:包括所有格式的办公文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等等半结构化数据:就是介于完全结构化数据(如关系型数据库、面向对象数据库中的数据)和完全无结构的数据(如声音、图像文件等)之间的数据,HTML文档就属于半结构化数据b、按照数据状态区分静态数据:存储在磁盘、硬盘、SAN等介质上的任何数据动态数据:通过网络传输的任何数据使用中的数据:应用程序使用内存或临时缓冲区中的数据>>>>数据活动的定义数据的收集、存储、加工、使用、提供、交易、公开等行为。>>>>数据安全的定义通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。数据安全的挑战1、业务系统的灵活多变、需求复杂互联网+的时代,市场的快速变化,企业业务的极速调整,企业每天都有可能出现系统上线、功能调整、接口的三方接入、数据的线上和线下外发等。面对这些变化和场景,我们如何应对?2、新技术新挑战新技术带来新风险。云、物联网、大数据和AI等新技术的广泛应用给企业带来了巨大生产力的同时,也改变了传统网络的数据防护思路,新型的网络威胁我们如何应用?3、数据量大大数据的兴起,数据的起始计量单位变成至少是PB级,甚至是EB级,在如此庞大的数据量面前,如何有效管理,如果做数据的快速识别、监控、检测、处置、响应?4、安全威胁增多数据价值的提升,导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?数据安全的目标目标:满足合规,贴合业务,将数据风险降低至可接受水平,让数据使用更安全。办法总比困难多,面对各位数据安全挑战,数据安全从业者要有自己的数据安全防护体系思路,善于学习新技术新经验的能力,总结自己的套路和打法,以终为始,不断更新和进步。业务面前,安全不是他们的对立面,要采取双赢思维,建立信任关系。业务的目的是盈利,而安全是保证业务稳定盈利,规避风险最佳帮手,彼此相辅相成,相互依存。数据安全模型框架数据安全的执行和管理需要以数据为中心,宏观层,在满足合规的基础上,依托组织建设,采取技术和管理的手段,实施层,采取“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大安全功能,保证数据全证明周期的安全。数据安全建设框架基于数据安全模型框架,梳理数据安全建设过程所需的基本功能和重点功能,制定如下数据安全建设框架:框架说明整理来看,数据安全建设框架可以分为三个层面。>>>> 最下面为组织建设层数据治理小组负责整体决策层工作,比如数据安全计划的定位,策略、政策和组织等的制定;数据安全团队负责整体战术层和执行层工作,战术层比如具体安全计划的管理管控,如合规管理、风险管理、计划管理、进度管理和指标管理等等;执行层负责整体数据安全计划的落地工作,人员包括专业的数据安全人员和各业务团队的安全接口人。>>>>...
VIPKID SRC邀您共读安全客Q2季刊
about 1 year ago
2020-07-21 17:30 新基建 | 智慧生活,从智能安全开始 扫描下方二维码下载本期季刊7月21日 安全客2020季刊—第2季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!从7月21日的11点到7月23日的18点,我们还放送出了数量丰富实用精致的定制好礼,赶紧参与季刊活动赢取奖品吧2017年年初,安全客的第一版电子年刊正式出版,一经发布立刻在安全圈内掀起一番读书热潮。今天安全客2020年第一季度季刊正式和大家见面,截至本次已经发布了15版,并且在上一季度中,安全客季刊创下累积780000+的下载量,这是安全客一直坚守质量为本、干货为首的成果凝集,也是安全客用户和白帽伙伴对季刊品质的认可。我们在此次季刊中,也将秉承严格把控质量的原则,为大家呈现最优质、最热门的技术分享内容。近来,“新基建”相关新闻屡见报端,与传统基建明显不同的是, “新基建聚焦5G、人工智能、大数据中心等新一代数字科学技术。人们开始说,软件定义世界,一切皆可编程,万物均要互联。如果说过去的病毒只影响了电脑,那么在新基建这样庞大的环境体系下,未来的病毒可能会影响人类生活的方方面面。在大力发展新基建的背景下,网络安全将为新基建打下坚实的屏障,构建网络安全防护体系,智能安全体系。本次季刊即是以“新基建 | 智慧生活,从智能安全开始 ”为主题,与大家一起共同探讨。Ps:如需在线阅读本期季刊的小伙伴,请关注官网季刊文章更新哦~ 季刊亮点...
VIPKID SRC助力华山论剑•2020网络安全大会发出网络安全“西安”声音
about 1 year ago
2020-09-09 18:45 华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)将于10月14至15 华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)将于10月14至15日在西安高新国际会议中心举办,本次大会以“数字新基建·安全新未来”为主题,拟定由中国信息安全测评中心、中共陕西省委网信办、陕西省公安厅指导,西安市人民政府主办,中共西安市委网信办、西安市大数据资源管理局、西安高新技术产业开发区管理委员会、中国信息产业商会信息安全产业分会、西安四叶草信息技术有限公司承办。“华山论剑•2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)”紧紧围绕“一个核心”、“两个节点”,深入贯彻习近平总书记的网络强国战略思想和“四个坚持”的重要指示精神,为进一步将西安市打造成为国家网络安全重要支撑城市,助推西安打造“网络安全示范城市”建设,贡献安全力量。01亮点一:四会一节:发出网络安全“西安”声音2020年9月2日上午,市政府新闻办召开西安市2020年“四会一节”活动新闻发布会,西安市副市长王勇出席新闻发布会。“华山论剑•2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)”作为西安市“四会一节”的重大活动之一,聚焦网络安全行业,助力企业数字化升级。西安市大数据资源管理局局长刘军就大会情况答记者问。02亮点二:“两会”联合,共筑安全新发展华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)中,“全国信息安全企业家高峰论坛”是由行业主管单位主办的级别最高和行业覆盖最全的活动,SSC安全峰会作为中西部最具盛名,影响最大,知名度最高的网络安全峰会,两会联合将进一步扩大和提升西安网络安全名片在全国的影响力,对于吸引全国优秀网络安全企业聚集西安和促进西安网络安全产业发展具有重要意义。03亮点三:10余场主题活动,共话安全新未来届时将举办大小共计10场左右活动:2020华山论剑•网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)主论坛、SSCTF网络安全技能大赛、新基建网络安全论坛、5G和AI网络安全创新技术论坛、区块链安全论坛、网络安全人才培养论坛、白帽子技术论坛、白帽子之夜、网络安全成果展等主题活动,解读最新网安趋势、探究安全新理念、展示安全创新成果。与您相约,古都西安。2020年10月14日~15日华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会),VIPKID SRC与您不见不散!VIPKID SRC简介VIPKID安全响应中心(VIPKID Security Response Center)--简称VKSRC,隶属于VIPKID信息安全部,于2017年10月25日正式上线。VKSRC的上线,旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁,主动收集、发现潜在的安全威胁,全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全,共建互联网安全生态。
VIPKID SRC三岁啦~
about 1 year ago
2020-10-25 18:00 10月25日对于VIPKID SRC是个特别的日子,我们有些话想对您说~ 各位白帽师傅与行业SRC好呀~对于VIPKID SRC来讲,10月25日是个特别的日子,我们有些话想在这里对您说(滑动查看VK SRC想说的话)亲爱的伙伴:您好!在这个初秋,我们想与您分享一份喜悦:2017.10.25-2020.10.25,VIPKID SRC三岁啦~回顾最初,是守护网络安全的初心让我们相遇。一路走来,虽时有坎坷,却也收获了数不尽的支持与感动。感谢各位同路人长久以来的认可与陪伴,您的鼓励将永远是我们前进路上的动力。我们定会初心不变,希望在未来的日子里,继续同各位携手向前,为守护网络世界的安全,贡献自己的力量!VIPKID SRC期待与您一起,开启一段全新的旅程!值此VK SRC三周年之际我们准备了多重惊喜一重礼遇:奖励规则升级我们对现有漏洞审核标准更新优化后得到了《VIPKID安全响应中心安全漏洞处理与评分标准V3.0》,新版评分标准主要有两大亮点:① 漏洞基础奖励升级:基础漏洞奖励提高,单个漏洞基础奖励最高可达1.8万元。另外我们还将不定期的推出值得期待的SRC线上活动,多倍奖励叠加,荷包更满~② 个人季度奖励升级:个人季度奖励提高。白帽师傅依据在自然季度内的有效漏洞质量与数量,将荣获Lv1-Lv5级别的安全专家称号,并获得相应的奖励,现金奖励最高将达到2万元。*《VIPKID安全响应中心安全漏洞处理与评分标准V3.0》即日起开始施行,具体细则可登陆VIPKID安全响应中心官网(https://security.vipkid.com.cn/)查看。二重礼遇:感恩老将VK...
VIPKID受邀参加国家网络安全宣传周 “青少年网络信息安全”主题论坛
about 1 year ago
2020-09-22 11:00 9月15日,2020年国家网络安全宣传周“青少年网络信息安全”主题论坛在线举办。 9月15日,2020年国家网络安全宣传周“青少年网络信息安全”主题论坛在线举办。中央网信办副主任、国家网信办副主任盛荣华,共青团中央书记处常务书记汪鸿雁,全国人大社会建设委员会副主任委员、中国网络社会组织联合会会长任贤良等领导出席并致辞。 本次论坛以“携手共建青少年网络信息安全空间”为主题,邀请来自国务院妇儿工委、中央网信办政策法规局、中央电化教育馆、中国社会科学院大学、中国传媒大学的专家代表,以及来自中小学教育、互联网平台、在线教育等行业的代表进行了交流 讨论和建言献策。受CEO委托,公共事务中心徐喆代表公司参加了“建设青少年???络信息安全空间的现实路径”圆桌对话。 徐喆在发言中谈到,守护孩子们的信息安全,既是底线,更是一种责任。近年来互联网在线教育行业发展迅猛,信息安全不容忽视,安全问题也是各大在线教育平台能够可持续、健康发展的基础。作为一家负责任的互联网在线教育公司,VIPKID非常重视信息安全问题,为此组建了信息安全部并持续加大安全投入,一直在不断努力提升自身安全能力和完善优化公司整体信息安全体系。他认为,在共建青少年网络信息安全空间的道路上,面临的挑战有四个特点:一是业务系统、应用场景灵活多变,使得安全防护需求更加多样化,要在信息安全的快速应变能力上提出更高要求;二是新技术带来新风险,云储存、大数据和AI等新技术的广泛应用,也在改变传统网络安全防护的思路方式,要提高对新技术安全风险的理解和处理水平;三是随着互联网+行业的蓬勃发展,网络数据量变成至少是PB级,甚至是EB级,要求对巨量数据有更强更可靠的精细化管理能力;四是随着网络信息数据价值的不断增大,外部威胁的隐蔽性、破坏性都变得更强,而行业级的、共性的安全威胁也日渐增多,需要监管部门、行会组织和企业携起手来共同应对,筑起网络信息安全空间的坚强长城。 VIPKID一直秉承“爱孩子、懂教育”的教育初心,早在2017年就取得公安部核准颁发的信息安全等级保护三级备案证书,成为在线教育行业首家通过该认证的公司,也是非银行金融机构能够获得的最高级别信息安全认证。同年正式上线企业安全应急响应中心(Security Response Center),是当时国内K12领域内首家建立SRC平台的在线教育企业。归根到底,“打铁还需自身硬,要不断压实企业的主体责任,共同守护好孩子们的每一堂课”,徐喆最后讲道。 2020年国家网络安全宣传周是为贯彻落实习近平总书记对网络安全工作提出的“四个坚持”重要指示和原则,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门联合举办,主题为“网络安全为人民,网络安全靠人民”,于2020年9月14日至20日在全国范围内开展。
【VK 技术分享】数据安全怎么做——数据防泄漏
about 1 year ago
大超 2020-10-28 17:40 端层【数据防泄漏】的规划、设计和落地解决方案! 前言上一篇跟大家分享了数据的分类分级,今天承接分享下数据分类分级的一个落地实现,也是数据安全在端层管控的关键一环:数据防泄漏平台落地。个人认为:防止数据丢失主要包含两个大的维度管控层面,一个是业务系统层面,一个是端的访问层面;端的访问层面又区分移动端和PC端,今天主要分享下PC端的数据防泄漏管控,移动端的可以参考另一篇文章《甲方数据安全:业务场景中BYOD安全的应用》。什么是数据防泄漏个人理解:数据防泄漏平台是基于定制的策略或规范,针对文件级别的数据进行自动发现、操作审计和分析管控的工具。产品形态:终端层、网关代理层、邮箱代理层。为什么要做数据防泄漏简单说就是合规上有要求,业务上有价值!概述如下:1、合规性要求国内外相继出台了网络安全法、GDPR、CCPA、数据安全法草案等,将数据安全上升至法律层面,组织有保证自身收集使用数据不被泄露的责任和义务。以国内现状举例,企业如果出现了数据泄漏并造成一定的影响,相关监管部门怎么来评定企业责任的大小呢?个人经验:是主要看企业对数据泄漏防范工作作为的多少,有哪些管控措施,是否对组织所存储的数据负了责,这直接关系到相应的惩罚尺度和力度。2、业务价值在当前的数据时代,越来越多的企业开始真正重视自身所持数据的价值,之前看逻辑思维罗胖子的一个视频里,节选一部分内容跟大家做个分享,他这样描述阿里:“早在2015年左右,马云开始在各种舆论场合呼吁公众重新认识阿里巴巴,马云说:阿里的本质是一家扩大数据价值的公司。带着这个定义我们可以看下阿里近几年在资本市场上的行为,我们会发现阿里旗下产业或入股的公司包含了我们的衣食住行的方方面面,数据方面之多,如果阿里愿意,他可以知道我们每个人每天都在干些什么,聊到这里我们才发现马云没有说谎!阿里确实是一家扩大数据价值的公司,且通过扩大数据价值成为了中国乃至全球的头部公司。”阿里的成功绝非偶然,数据的价值显而易见。数据带来价值的同时,也带来了风险,据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。解决数据泄露需要一个整体数据安全解决方案,其中,端上数据防泄漏产品是端层访问数据管控和保障数据价值的相对可行方案。数据泄漏的原因内部人员威胁:一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据proofpoint公司统计,43%的数据泄露是内部的;恶意内部人员或攻击特权用户帐户的攻击者滥用其权限并尝试将数据移出组织。攻击者的入侵:许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼,恶意软件或代码注入之类的技术渗透安全边界,并获得对敏感数据的访问权限。意外或疏忽的数据泄露:由于员工在公共场所丢失敏感数据,提供对数据的开放Internet访问或无法限制每个组织策略的访问而导致的许多数据泄漏。如何落地数据防泄漏1明确场景安全是基于业务的,业务中有需要落地的场景,明确和了解场景,我们才能制定与之匹配的数据防泄漏方案和策略,端层场景举例如下:笔记本电脑和移动设备的丢失或失窃未经授权将数据传输到USB设备敏感数据越权访问和存储员工或外部方盗窃数据员工外发、打印和复制敏感数据意外传输敏感数据员工对文件进行造假......2明确影响不同事件场景的发生,势必带来不同的影响,很多影响是组织不可接受,亦或愿意增加投入进行降低或规避的影响, 举例如下:品牌受损和声誉损失失去竞争优势失去客户失去市场份额损伤股东价值罚款和民事处罚诉讼/法律诉讼监管罚款/制裁大量的成本和精力......3明确目标知道场景,确定影响,制定解决方案的目标,即为:防止敏感数据出现被未经授权的用户访问、滥用和丢失等。4明确方案明确目标后,制定对应的落地方案,如下:组织:组织是基础,数据防泄漏方案是一个用户级别的项目,我们需要贴合业务,增加与业务人员的沟通和协调,提升整个项目落地的有效性和影响力。技术:技术是手段,通过数据防泄漏平台的数据识别和分析能力,将端上存储和使用的文件数据梳理清晰,制定相应的检测、保护和审计规则,实现事前的发现阻断和事后的审计溯源。管理:管理是手段,将“接触到公司敏感数据的人员必须安装公司统一的数据防泄漏工具”诸如此类的话术,加入到公司《数据安全管理制度》《员工手册》《安全红线》等,使内部有文可依。合规:合规是要求,数据安全的法律日渐健全,推动组织加大数据安全能力建设,保护组织数据不被泄漏。运营:运营是主线,实施完成只是整个项目成功前的一小步,是否可以在项目运营中持续产生价值才是定义项目成功与否的核心所在。数据:数据是目标,我们要保证端上设备静态数据和动态数据的出现未经授权的访问、滥用和丢失等。5项目详细落地基于上述框架,我把整个项目划分三个阶段,具体如下。【一阶段:前期准备阶段】前期准备主要包含两部分内容,一是搞定老板,得到老板的重视和授权,自上而下的推广是本项目成功落地的关键;二是通过详细测试,选择一款切实可落地的产品方案。搞定老板这块省略不讲,主要分享下自己选择厂商和产品的关注点,个人观点,仅供参考:dlp的推广覆盖个人建议一定是上到下的,且多数是事件推动,比如:老板通过各个渠道进场会听说,公司C端用户可能存在内部数据泄漏行为,这个时候就是上dlp的时候;我们需要的就是找几家国内外的厂商进行现场部署测试,那部署测试的时候我们关注哪些呢?1)公司的选择选择专业深耕做dlp的公司,在国内外有相对较好的口碑和丰富的案例,虽然有dlp产品的公司很多,但是彼此的差距还是比较大的。2)团队能力在整个测试过程中,乙方团队的技术支持能力和服务响应的水平。3)产品的稳定性无论是客户端还是网关代理的产品形态,实际部署上线后,作为TO C的项目,对业务和员工影响越少越好。反面教材举例:电脑安装客户端后,客户端对电脑的cpu和内存占比过高,涉及到文件级别的使用电脑卡顿,严重影响员工日常工作。4)产品功能功能上没有比较大的缺陷,正常的文件级别移动都可以发现。除此之外,至少支持ocr功能,能支持机械学习和ai就更佳。反面教材举例:有些公司不支持对微信外发文件的识别。【二阶段:实施阶段前期】通过技术手段和管理手段保证覆盖率,并上线常规的数据分析和审计策略。此阶段保证覆盖率是关键,可以从以下几个方向入手:1)人工方式基于公司组织结构和数据防泄漏平台的定期比对统计,梳理未安装人员,人工进行推进安装;基于终端层工具统计,如上网认证管理、防病毒等工具,统计数据防泄漏平台的安装率,梳理未安装人员,进行推进安装;2)域控推送windows基于域控自动推送安装,保证windows机器的安装覆盖率;3)终端管理平台推送基于公司统一的终端管理平台,进行绑定推送安装,保证全员覆盖率;【三阶段:实施阶段后期】通过与业务线的深入了解沟通和平台层审计报告的不断梳理,精细化制定和优化现有策略。1)策略设置策略可以从以下五个层面进行设置(注:此策略设置思路的部分内容是???于与Forepoint技术总监探讨中产生):a)例外策略不希望监控的内容,如隐私文件或特殊要求类文件;b)通用策略抓取明确事件,也是日志量最大的部分;基于公司内的数据分类分级要求(注:具体可以参考《数据安全怎么做——数据分类分级》),明确哪些是公司敏感数据,如G3级别以上数据,逐一在平台上详细设置,这是平台审计告警重点。c)特殊策略针对性的审计策略,如加密文件外发、网盘上传、非工作时间发送文件、特殊类邮箱等等;此处更多的是基于业务特性决定,比如通过了解业务线员工的正常工作时间,并制定非工作时间操作公司敏感数据的告警策略,我们就可以把这个当成一个风险点。除此之外,基于数据防泄漏产品的特性,我们还可以额外解决一些业务线存在的潜在合规问题,比如经跟公司质检人员沟通,发现业务人员有人利用刻章软件或ps软件作假,我们就可以基于进程识别设置一些策略,发现对应的合规风险。d)兜底审计用于捕捉遗漏事件,保证审计的完整。比如word的文件级别外发全部记录。e)其他策略全盘加密、只允许固定可信的U盘接入使用。2)技术支撑a)机械学习和AI数据防泄漏平台主流是通过正则表达式对数据进行识别,这种方式其实误报率特别高;为了解决这个问题,很多平台支持了机械学习和AI(也可自研),我们需要做的就是获取足够的样本数据去跑模型,可以一定程度上优化误报率。b)日志分析数据防泄漏平台日常的日志量可能非常庞大,导致平台自身日志分析展示一段时间日志的时候,功能的可用性较差,建议可以通过第三方日志分析平台进行集中灵活分析,如splunk、elk等。【四阶段:运营期】就像前文提到的,运营期是整个项目成功的关键,那怎么样做好数据防泄漏产品的运营工作呢,以下内容供参考:1)专人负责dlp是一个需要专人深度运营的产品,专人深入分析,持续与业务保持高度沟通,持续不断优化策略,持续保持影响力。比如:每天出日报,每周出周报,基于分析统计内容与其他团队沟通,优化策略,持续保持影响力。2)定标准dlp的效果好坏,源于策略的设置,策略的设置源于公司对违规标准的制定,标准的制定再反向推动策略的调整,逐步使策略变得更严格,比如增加很多的拦截阻断策略等;但是其实很多公司对此都是没有清晰的定义,这块就需要我们协调各团队共同挖掘和创建,比如与业务运营、业务质检、业务合规等团队协同。3)定流程将dlp融入到公司日常相关工作中,制定统一的流程,比如:dlp变成关键岗位员工电脑初始必装软件,敏感权限开通必须在安装dlp的基础上,发现人员违规操作后的响应流程等等。4)定职责dlp其实是一个多团队复合联动型工作,每个团队有不同的职业,比如安全负责技术支持,合规负责事件定性,运营负责覆盖率等等。总结整个方案的重点:覆盖率、策略持续优化、其他部门的协同联动和安全的定期发声。总的来说,dlp部署的前期是一个相对容易发现问题的阶段,经过一段时间的使用治理后,会越来越难发现比较大的数据安全问题了,我们要思考如何让dlp持续产生价值,比如之前提到的帮助合规质检团队发现员工的违规操作等。数据安全是通过一系列技术或管理手段,规避、降低或转移数据因暴露面而产生的风险。随着对《数据安全怎么做》系列内容的更新,大家会发现其实每一块内容都是有相关性的,相互承接和支持,以整体的视角看问题,实现事半功倍。这是【vk技术分享】的第九期后续我们将持续输出优秀的技术文章如果您有任何希望交流讨论问题欢迎在文末或后台进行留言我们期待与您的技术交流和思想碰撞关于VIPKID...
【VK技术分享】数据安全怎么做—个人信息保护法解读
about 1 year ago
大超 2020-11-24 18:20 本次文章不仅是对《个人信息保护法(草案)》的解读,也对个人信息安全相关法律的梳理,并在此基础上阐述自己的想法。 前言本次文章不仅是对《个人信息保护法(草案)》的解读,也对个人信息安全相关法律的梳理,范围包括国内外,希望在整个个人信息合规层面不会有遗漏。如有遗漏,欢迎共识补充。2020年10月13日,十三届全国人大常委会委员长会议提出了关于提请审议《个人信息保护法(草案)》的议案,也是继今年6月28日的《数据安全法(草案)》后的又一数据安全类的重要法案,本法在数据安全法的基础上,将数据细化至个人信息层面,整体的适用范围、原则和要求等基本相同,强调个人信息数据在组织或个人处理时的安全性。公民个人信息定义本次草案是针对个人信息层面的立法,解读开始之前,先整体看下国内外法律对“公民个人信息”的定义说明:国内虽然《个人信息保护法(草案)》近期才发布,但是我国从很早就开始致力于构建个人信息保护法律的体系,相关整理如下:序号法律时间1《刑法修正案(五)》2005年2《刑法修正案(七)》2009年3《侵权责任法》2009年4全国人大常委《关于加强网络信息保护的决定》2012年5《消费者权益保护法》2013年6《刑法修正案(九)》2015年7《网络安全法》2016年8“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释2017年9中华人民共和国民法典2020年10数据安全保护法(草案)2020年11个人信息保护法(草案)2020年其中明确对个人信息给出明确定义的相关内容如下:1、《网络安全法》第七十六条(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。2、全国人大常委《关于加强网络信息保护的决定》第一条 一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。3、“两高一部”的《惩处公民个人信息犯罪通知》公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。4、“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。5、中华人民共和国民法典第四编 人 格 权第六章 隐私权和个人信息保护第一千零三十四条 自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。国外NIST...
【VK技术分享】Docker安全实践
about 1 year ago
原创 李建新 2020-11-16 17:30 此文章总结了VIPKID安全团队基于Docker技术的安全实践,希望同各位安全小伙伴一起探讨学习。 1、序章随着Docker技术近年来的高速发展和广泛使用,众多互联网公司陆续采用Docker技术作为核心业务的Paas层支撑。那么势必在Docker技术下会给安全技术体系带来新的挑战。此文章总结了VIPKID安全团队基于Docker技术的安全实践,希望同各位安全小伙伴一起探讨学习。本文章目录索引如下:1、Docker架构简介2、Docker生态3、Docker文件存储驱动4、Docker镜像与层级概念5、Docker namespaces与cgroup概念6、容器Hids的实现7、Docker目前面临的安全问题2、Docker架构简介Docker 包括三个基本概念:镜像(Image)容器(Container)仓库(Repository)理解了这三个概念,就理解了 Docker 的整个生命周期。2.1 镜像我们都知道,操作系统分为内核和用户空间。对于 Linux...
【报名通道开启】VIPKID SRC助力贝壳找房2020 ICS安全技术峰会
about 1 year ago
2020-11-24 18:20 过去几年,中国的互联网技术已经开始从消费领域逐步渗透到产业全链条,通过提升全产业链的效率来创造更大的价值。互联网和不同的产业融合,推动着各行各业发生翻天覆地的变化。随着互联网对全产业链的渗透,网络安全性也就显得尤为重要。12月18日,由贝壳安全主办的 ICS安全技术峰会将在北京海航万豪酒店拉开帷幕。本次会议将围绕“产业互联、安全破局”主题展开,贝壳安全协同国内知名企业安全负责人、业内安全专家,针对产业融合背景下安全变革新形势,共同探讨安全的发展方向及前沿技术应用实践。峰会秉持【变革、实践、发展】的精神,坚持技术驱动、实用为先的原则,为大家呈现一场安全技术盛宴。会议时间:2020年12月18日9:30-18:00会议地点:北京海航大厦万豪酒店01硬核干货,技术驱动本届贝壳安全技术峰会聚焦产业互联网、互联网企业安全建设趋势、前沿安全技术,邀请到政府主管单位领导,以及贝壳找房、腾讯、京东、小米、字节跳动、长亭科技等各企业安全负责人和安全专家,共同就产业互联网融合下的安全趋势、安全新挑战进行剖析,同时针对AIoT、基础安全建设、红蓝对抗、智能风控等领域的安全技术展开分享,解锁安全技术应用新姿势。02白帽脱口秀&年度颁奖,视听盛宴贝壳安全应急响应中心一周年,年度白帽首次亮相大会舞台,回顾过往,见证荣耀。同时,在贝壳安全应急响应中心特色环节,首次邀请圈内知名白帽将脱口秀搬上舞台,全方位为你讲解一个白帽子的养成之路。03奖品丰厚,互动满满本次峰会邀请到贝壳SRC、腾讯SRC、字节跳动SRC、小米SRC、京东SRC、补天漏洞响应平台、火线社区、长亭科技、永安在线等合作伙伴联合展出互动,精美周边、互动游戏,脑力与体力的挑战都在这里。同时,峰会为每一位前来的朋友准备了惊喜伴手礼,更有热门iPhone新款、大疆无人机、switch游戏机、iPad mini、降噪耳机、各家周边等大奖接连抽,带给你各种惊喜。报名通道 扫描二维码即可报名 备注:截止报名日期为2020年12月11日报名审核结果以短信形式告知
VK SRC今年最后一场重!磅!活!动!
about 1 year ago
2020-12-17 15:45 快快抓住2020年的小尾巴,来VIPKID SRC挖洞叭 2020着实是不平凡的一年时间一晃来到了12月小编掐指一算距离2021年的到来只剩15天了年初制定的KPI完成了吗?想好年终总结的内容了吗?明年的升职计划做好了吗?以及新的一年就要到了你的荷包是否还是空空如也?hhhhh没错 VK SRC今年最后一场活动要开始啦话不多说,下滑看看有多给力~活动规则01漏洞奖励 ① 活动期间在VKSRC提交的有效漏洞均可获得2倍安全币奖励;② 期间每提交三个高危及其以上的有效漏洞,便可领取一张【安全币翻倍卡】,此翻倍卡可作用于此次活动中任意一个指定漏洞的原始安全币上;③ 活动期间提交有效漏洞的白帽师傅,均将获得DinoDaily西游文创礼盒*1(内含西游造型Dino手办以及解压填色手账本套装,实物分量满满哒~);02新人奖励 活动期间入驻VK...
【VK技术分享】frp安全实践
about 1 year ago
原创 大黄 2020-12-10 17:30 本文分享了VIPKID安全团队在内网穿透反向代理软件frp的部分安全实践,希望可以抛砖引玉,欢迎各位安全小伙伴一起讨论学习。 1、序1.1前言近期看到一则消息如下:2020年11月17日上午11:56,某公司发出全员级别的通告。人工智能部AI实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。对此,该公司客服工作人员表示:“针对此情况我们没有收到相关部门的通知。我们会尝试与相关部门沟通,有进展的话会予以答复。”看到的第一反应是无论此事真假,但如果发生在我司,安全部有没有能力去发现?于是,本着守望互助和发散思考的原则研究了一波内网端口映射到公网软件,恰好看到朋友圈已经有人总结了常见列表:本人能力有限,故仅挑选一款倍受喜爱的frp来浅析一二,希望可以抛砖引玉。文章核心内容如下:两种常用模式的示例如何提取特征进行安全检测绕过安全检测的思路1.2frp简介frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。为什么使用 frp...