亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

摘要：任何一個(gè)安全部門(mén)技術(shù)工作負(fù)責(zé)人，工作中都會(huì)和自己的甲方—領(lǐng)導(dǎo)和乙方—安全廠商的同仁打交道。本文將從內(nèi)容安全、漏洞治理、應(yīng)急響應(yīng)、態(tài)勢(shì)感知、安全運(yùn)營(yíng)等5項(xiàng)實(shí)際安全工作出發(fā)探討甲方和乙方視角對(duì)相同工作看到的不同景象。

黃樂(lè)????央視網(wǎng)網(wǎng)絡(luò)安全專(zhuān)家

一、跟公司匯報(bào)工作的總體邏輯

這個(gè)金字塔是我們跟公司匯報(bào)時(shí)的重要思路，也是2018年的最新版。

能力輸出是相當(dāng)于安全部門(mén)對(duì)公司的整體接口。我們告訴公司我們可以提供什么服務(wù)，公司以此來(lái)決定如何給我們投入。

安全工作是第二層，這是網(wǎng)絡(luò)安全部最核心的模塊。

技術(shù)及管理手段是這個(gè)工作的支撐手段，包括公司的政策、制度層面等等。

央視網(wǎng)的技術(shù)能力、開(kāi)發(fā)能力還是相對(duì)比較弱的，我們需要很多項(xiàng)目落地的支持。

這個(gè)金字塔是從下往上的支撐邏輯。

這個(gè)思維導(dǎo)圖是我們內(nèi)部整理的網(wǎng)絡(luò)安全工作。我們把網(wǎng)絡(luò)安全工作分為安全治理、安全檢測(cè)、安全防御、安全響應(yīng)四大模塊。我們發(fā)現(xiàn)安全工作是非常復(fù)雜和繁雜的，涉及到管理、技術(shù)、策略、運(yùn)營(yíng)，各個(gè)層面的東西都有。如此多的工作不是任何一個(gè)甲方憑自己的努力就可以做到的，我們需要跟公司領(lǐng)導(dǎo)和乙方各公司通力合作。

下面給大家簡(jiǎn)單介紹一下我們的具體工作。

二、甲乙方的不同視角

作為媒體，我們最重要的是內(nèi)容安全。2017年，我們對(duì)國(guó)內(nèi)主要的內(nèi)容安全廠商開(kāi)放接口進(jìn)行了橫向評(píng)測(cè)。我們發(fā)現(xiàn)了一個(gè)特點(diǎn)，這些廠商能夠提供的都是標(biāo)準(zhǔn)化、碎片化的能力。站在廠商的角度，這沒(méi)有問(wèn)題。如果不標(biāo)準(zhǔn)、大量定制是很不理智的選擇。但是，對(duì)于我們來(lái)說(shuō)，這樣就帶來(lái)了標(biāo)準(zhǔn)化問(wèn)題和最便化問(wèn)題。

標(biāo)準(zhǔn)化的問(wèn)題，當(dāng)我們測(cè)一個(gè)接口的時(shí)候，大量的報(bào)政治敏感圖片的報(bào)警。政治敏感圖片都是關(guān)于國(guó)家領(lǐng)導(dǎo)人的。央視網(wǎng)要報(bào)道國(guó)家領(lǐng)導(dǎo)人，也要報(bào)道落馬官員、恐怖分子。單一的判斷邏輯在我們這兒是失效的。這就引出了碎片化的問(wèn)題。廠商能給我們提供的都是一個(gè)個(gè)的原子能力。如果不整合這些原子能力，對(duì)我們的意義是不大的。碎片化的能力如果遇到開(kāi)發(fā)能力不強(qiáng)的公司，這個(gè)能力就用不起來(lái)。我們現(xiàn)在在整合這些能力。舉一個(gè)非常簡(jiǎn)單的例子，如果是國(guó)家領(lǐng)導(dǎo)人的照片出來(lái)了，它下面的評(píng)論應(yīng)該是正向的，至少是這樣，我們才認(rèn)為這條新聞是對(duì)的。如果是恐怖分子或者是落馬官員，我總不能在下面夸他吧？至少我要給人工看一看。這是最簡(jiǎn)單的整合，但不整合肯定是有問(wèn)題的。

由此引出另外一個(gè)問(wèn)題，我一直在說(shuō)政治敏感識(shí)別產(chǎn)生的問(wèn)題。我們?cè)?017年的評(píng)測(cè)結(jié)果大概是這樣的，在圖片方面，色情的識(shí)別率好于惡心圖片的識(shí)別率、暴恐和政治敏感。為什么政治敏感排在最后？我們發(fā)現(xiàn)排名越靠前的是策略不太容易變的。不管色情圖片學(xué)起來(lái)有多難，但它的標(biāo)準(zhǔn)是不變的。但是，政治敏感圖片怎么定義成政治敏感？這本身就是問(wèn)題。

如果要做好政治敏感圖片的識(shí)別，至少要做到兩點(diǎn)。一是快速得到最新的信息，能夠做到快速更新。二是怎么把我們得到的信息快速落地到系統(tǒng)，快速實(shí)現(xiàn)檢測(cè)能力。做到這兩點(diǎn)，對(duì)政治敏感圖片的識(shí)別才能是基本可用。

二是漏洞管理是我們都能遇得到的。甲方的需求很簡(jiǎn)單，快速發(fā)現(xiàn)漏洞、快速治理。廠商給我們做服務(wù)，他們都是用標(biāo)準(zhǔn)模式、標(biāo)準(zhǔn)服務(wù)流程，進(jìn)行漏洞掃描，然后出報(bào)告、整改意見(jiàn)。還有一些新漏洞，我可以通報(bào)給你或者協(xié)助你。站在廠商的角度，做到這些已經(jīng)可以了。從另一個(gè)角度，如果可以在兩個(gè)方面幫甲方做的更好，漏洞管理的效率會(huì)好很多。首先還是快速發(fā)現(xiàn)。不知道乙方的漏洞掃描周期是多長(zhǎng)，我們?cè)?jīng)是3個(gè)月，漏洞在我們的網(wǎng)里待3個(gè)月，黑客可以把想干的不想干的都干了。如果可以把漏洞發(fā)現(xiàn)的時(shí)間壓縮到1周，甚至1天異類(lèi)，這就是不同的場(chǎng)景。另外一點(diǎn)就是綜合治理。乙方、廠商、服務(wù)商把漏洞交給甲方，大家做甲方的都知道內(nèi)部調(diào)動(dòng)起來(lái)是很難的，他有100個(gè)理由告訴你修不了，怎么辦？這個(gè)問(wèn)題的解決方案也沒(méi)有那么復(fù)雜，現(xiàn)在也有開(kāi)源的漏洞管理平臺(tái)。我在去年匯報(bào)的時(shí)候也提到了我們也在做漏洞管理平臺(tái)，我們把一個(gè)漏洞在系統(tǒng)上流轉(zhuǎn)起來(lái)，搞排名，把大家的積極性調(diào)動(dòng)起來(lái)。這樣更好的幫助甲方把漏洞治理起來(lái)。

我們自己也在研究如何快速發(fā)展。目前得出的結(jié)論就是1萬(wàn)臺(tái)以下的主機(jī)每天掃一輪是完全沒(méi)有問(wèn)題的。我們希望把漏洞變成動(dòng)態(tài)的信息、動(dòng)態(tài)的數(shù)據(jù)，綜合治理起來(lái)。

二是應(yīng)急響應(yīng)。我理解它分為快速響應(yīng)、快速恢復(fù)、精準(zhǔn)溯源三個(gè)層面。仔細(xì)分析，廠商可以幫助甲方真正掌握的就是快速響應(yīng)。如果甲方支持力度不夠，你讓乙方投入多大的精力，后面兩個(gè)也沒(méi)辦法做。因?yàn)榛謴?fù)的權(quán)限在甲方手里。溯源的很多情況是乙方不掌握的，應(yīng)急響應(yīng)團(tuán)隊(duì)不是長(zhǎng)期駐場(chǎng)的，他對(duì)情況不了解。應(yīng)急響應(yīng)這件事一定是由甲方主導(dǎo)，有些工作乙方做不到。我認(rèn)為甲方做好應(yīng)急響應(yīng)至少要實(shí)現(xiàn)四個(gè)層面，有思路、有辦法、能溯源、搞建設(shè)。

有思路。一個(gè)應(yīng)急事件來(lái)了，我們總要知道干點(diǎn)什么、怎么干。是請(qǐng)?jiān)姡空{(diào)誰(shuí)？?jī)?nèi)部跟誰(shuí)聯(lián)系？外部跟誰(shuí)聯(lián)系？我們就遇到過(guò)突然就亂了的，所有人都慌了，導(dǎo)致這個(gè)事跟沒(méi)干一樣，效果非常差。所以，有思路是非常重要的。

有辦法。你有思路以后，你想調(diào)內(nèi)部的資源，應(yīng)急恢復(fù)的時(shí)候我們靠運(yùn)維，運(yùn)維部門(mén)愿不愿意支持我們？這要靠品市的積累。還有工具，我們有沒(méi)有很好的工具？有些工具做起來(lái)可能就是一個(gè)批處理，這件事經(jīng)常發(fā)生。廠商資源能不能調(diào)集得過(guò)來(lái)，在合同中有沒(méi)有這種約束，人家是不是愿意管我們。

能溯源。溯源這件事，大家都能理解，我分享一個(gè)我們內(nèi)部工作的小技巧。我們的溯源會(huì)分別從兩個(gè)方向展開(kāi)。第一個(gè)肯定是應(yīng)急的方向，A主機(jī)被滲透了，我到B主機(jī)看。B主機(jī)被滲透了，我再去C主機(jī)看。這個(gè)過(guò)程是反著的，可以發(fā)現(xiàn)安全手段存在什么問(wèn)題，它為什么可以進(jìn)來(lái)？這條線理完以后，我調(diào)過(guò)來(lái)看，作為黑客的角度，我為什么這么做？為什么是走這線？這條線是不是因?yàn)槟撑_(tái)主機(jī)很弱，比較好搞？還是說(shuō)有什么東西吸引了他？還是他外面有情報(bào)，我們沒(méi)遇到過(guò)？一條很詭異的線，他為什么這么走？因?yàn)樗那閳?bào)有問(wèn)題。這個(gè)時(shí)候我們才知道設(shè)的坎兒有沒(méi)有絆住他。

搞建設(shè)。我們知道哪兒有問(wèn)題、哪兒不到位，我們就開(kāi)始建設(shè)。這是我們申請(qǐng)預(yù)算的非常好的辦法。平時(shí)申請(qǐng)預(yù)算難，領(lǐng)導(dǎo)覺(jué)得安全沒(méi)什么事，天天要錢(qián)，還挺貴。出事了就批點(diǎn)錢(qián)，給我們一些經(jīng)費(fèi)。比如，因?yàn)槿趺艽a進(jìn)來(lái)了。可不可以把CA搞起來(lái)，多一層認(rèn)證。

這幾件事做完以后才是整體的應(yīng)急響應(yīng)過(guò)程。

四是態(tài)勢(shì)感知。這對(duì)我們來(lái)說(shuō)是很沉重的話題，因?yàn)槲覀冞x擇了自研，遇到了很多問(wèn)題。訴求很簡(jiǎn)單，好看、實(shí)用。我們看到的安全廠商的訴求是好看、通用。

好看這一點(diǎn)很好理解。甲方的安全部門(mén)就指著這張好看的皮給領(lǐng)導(dǎo)做匯報(bào)，這個(gè)東西很重要。

通用也好理解，廠商沒(méi)有通用的東西，去搞定制確實(shí)是不理智的行為。

其實(shí)，從我們的角度，我要的是實(shí)用。

首先是數(shù)據(jù)處理。安全日志特別多，一旦有應(yīng)急事件了，或者有一條內(nèi)部的分析線，分析出一個(gè)新的攻擊類(lèi)型，我們會(huì)把專(zhuān)家叫過(guò)來(lái)給我們講為什么我沒(méi)看出來(lái)，你是怎么看出來(lái)這條線是有問(wèn)題的。把他的邏輯記下來(lái)以后，丟給開(kāi)發(fā)，幫我實(shí)現(xiàn)。我們搞一些基本的分析能力，我們就左右前后的拼裝這些東西，希望盡量把人的經(jīng)驗(yàn)放到系統(tǒng)里面。因?yàn)槿瞬豢赡?×24，系統(tǒng)可以。

第二塊是安全評(píng)分。我們不關(guān)心現(xiàn)在的分是80分，還是100分，我們關(guān)心的是它跟上一個(gè)時(shí)段的分有什么變化。它跟昨天的分、上周的分有什么變化。假設(shè)分越高越危險(xiǎn)，昨天60分，今天70分，高了10分，為什么？漏洞多發(fā)了？還是攻擊增加了？還是新業(yè)務(wù)上線？拿到后面的結(jié)果就可以馬上知道后續(xù)的動(dòng)作，該干什么，不該干什么。如果是越來(lái)越好了，我們也知道。這樣跟領(lǐng)導(dǎo)匯報(bào)的時(shí)候就可以說(shuō)哪塊做的越來(lái)越好、哪塊做的越來(lái)越差。現(xiàn)在的總體思路是這樣的，真正想粗略的實(shí)現(xiàn)并不是很難。它是一個(gè)態(tài)勢(shì)，前后有一個(gè)對(duì)比。

第三塊是業(yè)務(wù)邏輯。我現(xiàn)在想到的態(tài)勢(shì)感知就是地圖，都是地圖。我是看膩了。大家做IT的都知道，很多東西都在云上，地域信息對(duì)我們真的那么重要嗎？至少我不是這么認(rèn)為。我更關(guān)心的是業(yè)務(wù)邏輯，老板關(guān)心的也是業(yè)務(wù)邏輯。好看的同時(shí)能不能把業(yè)務(wù)邏輯展現(xiàn)出來(lái)，某一個(gè)中間環(huán)節(jié)出現(xiàn)了安全風(fēng)險(xiǎn)，或者它的風(fēng)險(xiǎn)值很高，可以一目了然的了解它會(huì)影響后面哪些業(yè)務(wù)。

五是安全運(yùn)營(yíng)。我們一直想做這件事，機(jī)緣巧合之下，終于找到了夢(mèng)想中的那個(gè)人，招了一個(gè)運(yùn)營(yíng)，幫我們把運(yùn)營(yíng)工作做起來(lái)。整體思路分對(duì)內(nèi)、對(duì)外兩個(gè)層面。

對(duì)內(nèi)分制度設(shè)計(jì)、安全教育、企業(yè)文化三個(gè)方面。我們發(fā)現(xiàn)一個(gè)安全漏洞，跟業(yè)務(wù)說(shuō)要修復(fù)。業(yè)務(wù)會(huì)找100個(gè)理由告訴你修不了。安全部門(mén)以前就會(huì)說(shuō)，反正我給你了，風(fēng)險(xiǎn)在這兒，你看著辦。業(yè)務(wù)說(shuō)，反正我們修不了，你看著辦。內(nèi)部的人也是一樣的，就是不鎖屏，就是弱密碼。這根本不是技術(shù)問(wèn)題。我們的想法是讓大家更理解我們，一個(gè)是領(lǐng)導(dǎo)更理解我們。我沒(méi)聽(tīng)說(shuō)哪個(gè)領(lǐng)導(dǎo)不支持安全，他至少會(huì)支持你，只是不知道該怎么支持你，所以我讓他知道該怎么支持我。一個(gè)是員工，讓他知道怎么做安全，也讓他知道我們是在幫他。我們遇到過(guò)一種情況，網(wǎng)安來(lái)了解情況，員工真的不敢露面。與其現(xiàn)在這么害怕，告訴你的時(shí)候干嘛不這么做呢？所以我們把風(fēng)險(xiǎn)和思路告訴他們。安全教育有很多方式。企業(yè)文化如果做到了安全是央視網(wǎng)企業(yè)文化的一部分，安全團(tuán)隊(duì)的重要性也就提升了。我今天穿的這件衣服，運(yùn)營(yíng)的同事告訴我必須穿，這也是企業(yè)文化的一部分。

對(duì)外要樹(shù)立一些我們自己的形象，至少讓大家覺(jué)得這家公司還不是很爛。樹(shù)立形象干什么呢？招人。我們遇到過(guò)這種情況，遇到熟人，問(wèn)他愿不愿意來(lái)央視網(wǎng)工作。人家可能會(huì)覺(jué)得，央視網(wǎng)體制內(nèi)，數(shù)據(jù)氛圍不會(huì)好。技術(shù)輸出是我們求財(cái)若渴，我們?cè)诨ヂ?lián)網(wǎng)圈不行，但我們可以在廣電圈混，你覺(jué)得我們行的話，我可以搞一些服務(wù)，甚至給公司創(chuàng)造點(diǎn)收益，我們就不是成本中心了。

安全運(yùn)營(yíng)這個(gè)部分沒(méi)有提乙方，是我沒(méi)有發(fā)現(xiàn)哪個(gè)乙方可以幫我們做這些事。

?三、一些思考

一是服務(wù)和產(chǎn)品意識(shí)。這里說(shuō)的是甲方團(tuán)隊(duì)的。如果我們發(fā)現(xiàn)一個(gè)漏洞，最后出了問(wèn)題，誰(shuí)都好不了。如果甲方安全團(tuán)隊(duì)有自己的服務(wù)和產(chǎn)品意識(shí)，如果你修不了，我們?cè)囋囂摂M補(bǔ)丁的方案行不行？好歹幫你把一些東西過(guò)濾掉。如果你有這種配合的態(tài)度，我相信運(yùn)維團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)一定會(huì)幫你想辦法。我們基本上把這個(gè)事情想通了，未來(lái)的工作思路就是要這樣干。我們跟廠商和服務(wù)商學(xué)習(xí)，把服務(wù)和產(chǎn)品的意識(shí)灌輸下去，在公司內(nèi)部成為服務(wù)性質(zhì)的團(tuán)隊(duì)。

二是先鎖門(mén)、再造鎖。之前跟一個(gè)乙方公司聊過(guò)，覺(jué)得自己很牛，萬(wàn)惡的甲方就是不理解。后來(lái)我跟他聊，我說(shuō)很有可能有一個(gè)問(wèn)題是你走的太快了。大家還沒(méi)有意識(shí)到要鎖門(mén)的時(shí)候，鎖匠造再好的鎖也是沒(méi)有用的。我曾經(jīng)頂著很大的壓力把我們公司內(nèi)部的滲透和注冊(cè)的項(xiàng)目否了。因?yàn)槲易约耗弥_(kāi)源掃描器掃，發(fā)現(xiàn)的全是漏洞。我們先把基本的工作先做好，最后再做那些高大上的東西。一個(gè)方面還有一些疑慮，貫徹程度是50%。

三是什么樣的情報(bào)好。我曾經(jīng)跟一個(gè)非常好的情報(bào)師交流，他跟我說(shuō)好像某業(yè)務(wù)被黑產(chǎn)拿了權(quán)限，要不要我?guī)湍惆堰@個(gè)情報(bào)換回來(lái)。如果是白換，我不好意思。如果是花錢(qián)，我們沒(méi)有預(yù)算。我說(shuō)算了，我回去查查。兩天之后，就是那個(gè)業(yè)務(wù)出事了。我們溯源看到那個(gè)業(yè)務(wù)出事了。我再反過(guò)頭來(lái)想，這個(gè)情報(bào)的價(jià)值密度好高。現(xiàn)在我們最能看到的情報(bào)是什么？IP、域名、漏洞。這種情報(bào)價(jià)值密度比較低的有那么大一個(gè)庫(kù)，黑客隨便搞一個(gè)肉雞很容易。這是我的幻想，我也沒(méi)想通該怎么做，黑產(chǎn)圈的事搞不定，涉及到很多問(wèn)題，但這個(gè)事值得我們思考。

四是如何交付確定性。我們做安全的都知道安全沒(méi)有百分之百的，一定是不斷的提高門(mén)檻，攻擊者不斷的想別的辦法。但是，我們猛然發(fā)現(xiàn)我們?cè)诓粩嗟奶岣唛T(mén)檻，黑客用更大的代價(jià)進(jìn)來(lái)的同事，給領(lǐng)導(dǎo)的感覺(jué)就是你們這幫笨蛋每年都被人攻進(jìn)來(lái)。我們?nèi)绾谓o領(lǐng)導(dǎo)交付一個(gè)確定性的東西？我們能達(dá)到什么程度？怎么量化它、定義它？這是甲方安全團(tuán)隊(duì)最需要做到的一件事，怎么是一個(gè)確定的東西，怎么是最終給領(lǐng)導(dǎo)交付的東西。這也是一個(gè)想法，但還沒(méi)有好的辦法。