Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

企业安全建设技能树v1.0 html版

wpadmin~October 28, 2018 /Finance/FinTech/InfoSec

企业安全建设技能树v1.0 html版

企业安全建设技能树v1.0 html版

基本信息

企业安全建设技能树v1.0
2018/10/20 发布
by @君哥的体历 @立言 @xysky
后续动态请关注:jungedetili(君哥的体历)

技能书

  • 1.说明
    • 关于企业安全建设实践,关注企业安全最后一公里的问题 
    • 安全有效性和最佳实践,从解决实际问题出发 
  • 2.安全观
    • 安全本质
      • 互联网本来是安全的,自从有了研究安全的人,就变得不安全了 
      • 计算机用01定义整个世界,而企业的信息安全目标是解决01之间的广大灰度数据,运用各种措施,将灰度数据识别为0(不值得信任),或1(值得信任) 
      • 信任是信息安全问题的本源,不同的信任假设决定了安全方案的复杂程度和实施成本 
      • 安全需要找到某个自己可以接受的信任点,取得成本和效益的平衡 
    • 安全原则
      • 持续改进
        • 安全防御技术本身并没有革命性的变化 
        • 持续改进,PDCA的循环,螺旋式上升,是信息安全的第一个原则 
      • 纵深防御
        • 从网络层、虚拟层、系统层、应用层,到数据层、用户层、业务层、总控层,进行层层防御,共同组成整个防御体系,是信息安全的第二个原则 
      • 非对称
        • 对于攻击者来说,只要能够找到企业系统的一个弱点,就可以达到入侵系统的目的 
        • 对于企业信息安全人员来说,必须找到系统的所有弱点,不能有遗漏,不能有滞后,才能保证系统不会出现问题 
        • 破坏比建设要容易 
        • 安全防护人员需要非对称思维,如:蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件 
        • 认识到非对称,并找到解决非对称问题的方法,这是信息安全的第三个原则。 
    • 安全观安全
      • 对于信息安全人员来说,最重要的是安全世界观的建立,即解决安全问题的思路,以及看待安全问题的角度和高度 
      • 我的安全观:信息安全就是博弈和对抗,是一场人与人之间的战争。交战双方所争夺的是对信息资产的控制权,谁能够在博弈和对抗中,牢牢地把控住各类信息资产的控制权,谁就取得了胜利 
    • 正确处理几个关系
      • 管理与技术
        • 安全政策和流程如果没有技术和自动化手段保障,无法有效落地 
        • 脱离安全技术考虑的安全政策和流程也有可能失效
          • 例如管理10台和10000台服务器,用同样的安全政策和流程肯定是行不通的 
        • 没有管理的辅助,可能会变成为了技术而技术自嗨
          • 企业安全建设中,技术很多时候不是困难,至少不是最重要的点 
          • 技术人员能跳出技术思维,站在更高层面去思考安全问题解决方案,安全人员的境界就提高了好几层 
      • 业务与安全
        • 本质上,安全是一项服务
          • 如果安全方案和安全要求设计时没有最大化这种服务的价值,那么在充分竞争的情况下,安全团队也是要被市场淘汰的 
          • 安全方案和要求,能够在少降低甚至不降低业务发展的情况下还能保障安全,业务团队和开发运维当然是欢迎的,毕竟谁愿意冒着巨大的风险强行上线新的业务 
        • 坚持安全服务的做法,会让安全团队之路走的更为顺畅 
      • 甲方与乙方
        • 甲方
          • 应对自己承担的职责负责 
          • 不管用什么方法方案,结果是必须搞定安全问题 
          • 识别什么是能搞定的方案和哪些是方案中靠谱一员的乙方 
        • 乙方
          • 对自己的承诺负责 
          • 合同落地才是刚刚开始,解决甲方问题 
  • 3.安全治理
    • 安全战略
      • 战略一致性
        • 信息安全战略应与公司战略、IT战略保持一致 
        • 信息安全应服务于公司战略、IT战略 
        • 信息安全战略目标来源于公司战略和IT战略的目标分解 
      • 建设与公司业务规模、IT规模相匹配的安全水平 
      • 安全是生产力和核心竞争力 
    • 安全组织架构
      • 公司级信息安全委员会 
      • 部门级信息安全团队 
      • 业务部门信息安全专员 
      • 安全职责
        • 信息安全委员会负总责 
        • 信息安全团队负责具体落实执行,并对结果负责 
        • 各业务部门负责本部门信息安全责任,并对本部门结果负责 
    • 业务赋能
      • 了解业务
        • 业务模式是什么 
        • 业务盈利模式 
        • 业务核心流程 
        • 业务架构 
        • 支撑性的业务流程和职能 
        • 业务职责分工 
        • 关键业务人员和业务团队 
        • 核心业务能力 
        • 核心业务系统 
        • 技术团队关键人员 
      • 业务对信息安全团队有信心和信任 
      • 业务与信息安全团队相互背书 
      • 安全为业务服务
        • 减少资损(创收) 
        • 降低系统性能压力(降本) 
        • 智能预警威胁感知(提效) 
        • 同人模型降低安全交付认证复杂度(提升用户体验) 
        • 安全应急和危机公关(保持和提升品牌公信力) 
        • 积累风险库和模型反驱动业务规则优化(反欺诈、降低坏账等) 
    • 风险管理
      • 管理原则
        • 事前预防为主 
        • 全面性 
        • 成本效益 
      • 风险偏好与容忍度 
      • 组织架构和职责
        • 董事会 
        • 一道防线:信息科技部门 
        • 二道防线:风险管理部门 
        • 三道防线:稽核审计部门 
      • 管理领域
        • IT治理 
        • 信息安全 
        • 信息系统开发、测试和维护 
        • 信息科技运行 
        • 业务连续性管理 
        • 外包管理 
        • 内部审计 
        • 外部审计 
      • 管理手段和流程
        • 操作风险管理三大工具
          • RCSARisk Control Self-Assessment,风险与控制自我评估) 
          • LDCLoss Data Collection,损失数据收集) 
          • KRIkey risk indicators,信息科技关键风险指标) 
        • 管理流程
          • 风险识别 
          • 风险分析与评估 
          • 风险控制 
          • 风险监测 
          • 风险报告 
      • 报告机制
        • 逐级上报 
        • IT业务条线、风险管理条线、审计条线各自汇报 
      • 监控指标 
      • 监督检查 
      • 制度和公文管理 
      • 业务连续性管理 
      • 分支机构管理 
    • 安全规划
      • 几个因素
        • 凡事预则立,不预则废 
        • 看起来高大上,实际实施又接地气 
        • 企业战略规划、IT战略规划、信息安全三年规划、XX年工作计划,是自上而下、一脉相承的 
        • 时间因素、监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现 
      • 规划框架
        • 概述 
        • 安全目标 
        • 现状和差距分析 
        • 解决方案和计划 
        • 当年重点项目和重点任务 
        • 上一版安全规划目标差距分析 
      • 制定步骤
        • 调研
          • 三个问题(难回答版)
            • 未来三年,本团队要做的最牛的三件事 
            • 未来三年,你认为世界最好的团队会做哪三件最牛的事(我们不做的原因) 
            • 未来三年想做但没敢写入规划的三件事;本团队领域,很有价值但技术没有可能实现的事情 
          • 三个问题(简答版)
            • 这个领域最好的团队做什么(最佳实践) 
            • 我们在同业处于什么水平(自我感知) 
            • 我们的现状(存在哪些差距) 
          • 实地调研
            • 向大型互联网企业学习
              • 拥有一定的安全圈人脉资源也是企业安全负责人的必备要求之一 
              • 多参加这些互联网企业举行的年度会议 
            • 向同业学习
              • 向规模比自己大的企业学实践中遇到过的问题 
              • 向规模差不多的企业学习了解资源配置情况 
              • 向规模比自己小的企业学习单点突破能力强的领域 
        • 确定规划目标、现状和差距
          • 总体目标,应尽可能清晰、简洁
            • 通过综合应用各类安全解决方案,发现并预防各类安全风险 
            • 能够承受除DDOS以外的黑客高手或者黑客集团的攻击 
            • 内部系统能有效防止非专业人员有意或者无意的数据泄露 
            • 能发现对内部重要服务器的普通内部黑客的攻击 
            • 对人员进行安全合规教育、违规、违纪现象持续降低,安全审计发现持续降低 
          • 具体目标,应尽可能明确、数字化
            • 非本企业组织的互联网系统漏洞发现为0 
            • 安全防护100%全覆盖 
            • 互联网基础设施风险在2小时内化解 
            • 自动化验证平台100%覆盖所有管控措施 
            • 管控措施失效能够在24小时内发现 
          • 注意事项
            • 目标绝对不合理 
            • 实现目标的行动必须合理 
          • 建议
            • 目标一定是从上往下走 
            • 目标必须是个人的目标 
            • 每一个人承接的不是目标,而是一套解决方案 
          • SMART原则
            • Specific 
            • Measurable 
            • Attainable 
            • Relevant 
            • Time-bound 
        • 制定解决方案
          • 体系化 
          • 可持续 
          • 可接受 
        • 迭代修改 
        • 向上层汇报 
        • 回顾
          • 一个看似一般但严格执行的规划,远胜于一个看似很好却无法或未能执行的规划 
          • 安全规划目标分解落实到安全重点项目和工作任务 
          • 重点项目和工作任务分解落实到安全团队每位员工的年度绩效考核 
          • 每季度开展一次重点项目和工作任务的回顾 
          • 每半年开展一次安全团队员工绩效的回顾 
          • 回顾后需要制定针对性的改进措施 
          • 方向可以大致正确,组织必须充满活力 
    • 安全体系 
    • 安全度量
      • 一项工作不能测量衡量,就很难提高 
      • 技术维度
        • 防病毒安装率、正常率,安全事件响应时长、处理时长,高危预警漏洞排查所需时间和完全修复时间 
        • 安全运维平台可用性、事件收敛率 
        • 合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等 
      • 安全运营成效
        • 覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下,有多少无人问津的灰色地带,安全能在企业内部推动的多深入,多快速 
        • 检出率和攻防对抗成功率都是衡量安全有效性的重要指标,安全不能靠运气和概率活着 
      • 安全满意度和安全价值
        • 安全对业务支撑的能力,TCOROI,安全用多少资源,支撑了多少业务 
        • 内部的影响力以及对业务的影响力 
  • 4.通用技能
    • 安全推动
      • 如果资源是无限的,每个人完成了配合工作,都可以发一枚钻石,那这个就简单了,可惜资源是有限的 
      • 考核和晋升是组织活力、推动工作的重要手段
        • 分赃要分好,还要及时分 
      • 免费的胡萝卜
        • 表扬 
        • 排名 
        • 通报 
        • 扣分 
        • 给荣誉奖项 
      • 人怕见面,树怕剥皮,为了推动工作,达到想要的目标,找到关键干系人。一次不行两次,两次不行再来,多去找几次,见面谈,成功概率很大 
    • 安全考核
      • 考核评价体系与原则
        • 几点原则
          • 赛马胜相马,让员工在实际的工作岗位中竞争,选出最终脱颖而出的人才 
          • KPI的考核成绩是德、能、勤的函数在概率分布下的结果 
          • 长短期利益相结合
            • 现金收入是短期利益,是个人价值贡献回馈体系的一部分 
            • 承担重要领域、重要任务的机会,让员工实现的个人价值提升,属于长期利益 
            • 只有日常工作的辛勤积累,才能造就每年的丰硕果实,体验奋斗带来的丰收喜悦 
          • 企业应该将部门利益和个人利益挂钩
            • 如果部门因为某个员工的努力获取了利益,就应该以某种形式反馈为员工利益 
            • 如果因某个团队的努力使部门获取了利益,也应该以某种形式反馈给团队,再由团队以公平的形式反馈给员工 
        • 评价员工的要素(德能勤绩)
          • 德代表思想品行
            • 这活给钱我干,不给钱我也干 
          • 能代表能力
            • 别人不行,我行 
          • 勤代表工作表现
            • 别人休息了,我拼搏 
          • 绩代表绩效
            • 白猫黑猫,抓了老鼠 
        • 奖惩机制
          • 奖励与惩罚并重 
          • 物质奖惩与精神奖惩相结合
            • 充分利用好人的趋利主义动机和精神主义作用 
        • 人才选拔机制
          • 择优
            • 择优包括品德、绩效、能力、贡献、合作、责任 
          • 奋斗
            • 奋斗包括额外工作时间的投入 
          • 企业应当创造多种机会以便于人才的脱颖而出
            • 虚拟条线 
            • 轮岗锻炼 
            • 跨界学习 
        • 管理者的权利和义务
          • 管理者负有帮助下属员工成长的责任 
          • 下属优秀员工的数量和质量是管理者绩效的重要指标 
      • 考核对象
        • 团队
          • 总部IT部门
            • 总部IT部门安全团队 
            • 总部IT部门非安全团队 
          • 总部非IT部门
            • 业务部门 
            • 职能部门 
          • 分支机构IT部门(或有)
            • 分支机构IT部门安全团队(或有) 
            • 分支机构IT部门非安全团队(或有) 
          • 分支机构非IT部门
            • 业务部门 
            • 职能部门 
        • 个人
          • 总部
            • 公司安全负责人 
            • 总部IT部门负责人 
            • 总部IT部门安全团队负责人 
          • 分支机构
            • 分支机构IT部门负责人(或有) 
            • 分支机构IT部门安全团队负责人(或有) 
          • 公司员工 
        • 团队考核指标
          • 安全事件数 
          • 合规率 
          • 安全建设项目完成率 
          • 扣分项 
          • IT部门内其他团队对自己的安全结果负责,安全团队对整个部门的安全结果负责 
        • 个人考核
          • 结果第一,过程也是为结果服务,能力必须通过结果体现 
          • 职责和职级匹配,薪酬高的员工,就应承担同等薪酬的职责和绩效考核 
          • 建设性、事务性工作结合,工作和学习结合,多维度考核 
      • 考核方案
        • 考核内容 
        • 考核周期 
        • 考核权重 
        • 考核分数 
        • 考核注意事项
          • 防止恶性竞争 
          • 大小团队规模不均带来的公平性问题 
          • 防止秋后算账 
          • 5%实现100%的效果 
          • 正向还是负向激励 
          • 没有唯一标准答案,在于实践 
          • 内部问责 
    • 安全汇报
      • 安全汇报是管理好你的上级非常非常非常重要的一环 
      • 理论上汇报层级越高,越能拿到令牌,管理权限越大,推动一些基础安全措施时会更顺利一些 
      • 汇报对象
        • 监管层 
        • 公司经营管理层 
        • 跨业务和IT的跨部门 
        • IT部门和总经理 
        • 安全团队内部 
      • 汇报形式
        • 正式会议 
        • 正式报告 
        • 正式流程阅签 
        • 邮件和非正式汇报(电话、微信,吃饭和路边交流) 
      • 汇报载体
        • PPT 
        • Word 
        • 邮件、短信、微信等一切可以传递交流信息的载体工具 
      • 汇报目标
        • 进展和问题报告(沟通信息、取得理解) 
        • 结果和成果(讲成绩也讲问题) 
        • 要资源和支持 
        • 推动工作(表扬先进督促后进) 
    • 安全团队管理
      • 在企业不同阶段,会采取不同的安全团队建设策略 
      • 文化建设
        • 格局为先 
        • 认同价值 
        • 专业自信 
        • 处处用心 
        • 养成习惯 
        • 培养洁癖 
      • 意识建设
        • 客户意识 
        • 责任意识 
        • 风险意识 
        • 创新意识 
        • 学习意识 
        • 沟通意识 
      • 能力建设
        • 团队成员有能力离开,团队成员不愿意离开 
        • 细分团队职能
          • 安全管理
            • 监管要求和行业组织标准
              • 国家法律法规
                • 中华人民共和国网络安全法 
                • 商用密码管理条例 
              • 国外法律法规
                • GDPR 
                • 反洗钱 
              • 监管机构
                • 中国人民银行 
                • 银保监会
                  • 商业银行数据中心监管指引 
                  • 商业银行信息科技风险管理指引 
                  • 商业银行业务连续性监管指引 
                  • 银行业金融机构重要信息系统投产及变更管理办法 
                  • 银行业金融机构信息科技外包风险监管指引 
                • 证监会
                  • 证券期货经营机构信息技术治理工作指引(试行) 
                  • 证券期货业信息安全事件报告与调查处理办法 
                  • 证券期货业信息安全保障管理办法 
                  • 证券期货业信息系统审计规范 
                • 公安部 
              • 行业组织
                • 物理安全相关的GB 50174-2017 《数据中心设计规范》 
                • 数据安全相关的GB/T 35273-2017《信息安全技术 个人信息安全规范》 
                • 等级保护相关的GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》 
                • JR/T 0068—2012 《网上银行系统信息安全通用规范》 
                • JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》 
              • 最佳实践
                • ISO27001 
                • Cobit 
                • COSO 
                • ISO20000 
            • 企业已有制度和流程
              • 企业级制度 
              • 其他部门相关制度 
              • 信息科技部门相关制度 
            • 监管要求符合性分析和排查技能 
            • 安全检查技能 
            • 安全风险监测技能 
            • 应对内外部审计和检查的技能 
          • 安全技术
            • 参见专业技能 
      • 建设路径 
      • 与其他团队关系处理 
    • 安全人员招聘
      • 招聘原则
        • 小胜在智,大胜在德 
        • 价值观一致 
        • 用人所长 
        • 中低阶考察做过什么,高阶考察过往经历是否成功 
      • 招聘渠道
        • 熟人口碑,成功概率更大 
        • 猎头 
        • 各大媒体
          • freebuf 
          • 安全牛 
          • secwiki 
          • 安在 
          • 安全大V公众号、知乎 
    • 厂商管理
      • 建立软件厂商安全标准并监督落实 
      • 对软件厂商交付的代码进行黑盒检测,有条件的白盒检测 
      • 发现未满足安全要求的进行整改,并追究内部人员(安全测试和开发人员)责任 
      • 安全要求写入合同,反复违反的进行高层约谈和行业通告,特别难推动的及时向监管层报告 
    • 产品选型
      • 自己的需求和想解决的问题放首要考虑因素,对产品功能的预期一定要克制 
      • Gartner魔力象限 
      • 用过的同业的评价 
      • 细致测试 
    • 安全知识更新
      • 首选纸质书、首选纸质书、首选纸质书 
      • 安全会议 
      • 网站、论坛、手机app 
      • 打造自己的知识管理体系
        • 每天半小时深度阅读 
        • 每天半小时速览各类安全新闻、热点安全事件 
        • 保持一定频度自己动手练习,保持基本奔跑能力 
        • 注意积累安全素材,进印象笔记(有道云等等) 
    • 安全认证
      • 认证分类
        • Hacking & Pen Testing certifications 
        • Computer Forensics certifications 
        • Management/Others certifications 
        • Auditing Certifications 
        • Web Applications Security certifications 
        • Vendor’s certifications 
      • 认证机构
        • (ISC)² 
        • CompTIA 
        • Offensive Security 
        • ISACA 
        • GIAC 
        • Mile2 
        • EC-Council 
        • EITCI 
      • 十大热门认证
        • CISSP 
        • CISA 
        • CISM 
        • GSEC 
        • CRISC 
        • CEH 
        • ECSA 
        • GPEN 
        • CompTIA Security+ 
        • SSCP 
    • 安全价值展现 
    • 安全意识与培训
      • 培训对象
        • 企业高管
          • 了解金融企业信息安全战略方向 
          • 信息安全相关法律法规 
          • 主要的信息科技监管要求和监管趋势 
          • 金融科技时代下信息安全新形势和管理新特点 
          • 信息安全组织架构 
          • 金融企业信息安全的特性 
          • 主要的风险事件案例 
          • 大数据时代下的个人隐私保护”“大数据时代下的个人隐私保护 
        • 中层管理者
          • 信息安全基本概念 
          • 信息安全相关法律法规 
          • 信息科技监管要求及趋势 
          • 信息安全管理体系 
          • 主要的风险事件案例 
          • 业界最新风险防控思路及措施等方面 
          • 理解什么是信息安全,为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全,以及怎样做好信息安全风险防控 
        • 所有部门基层员工
          • 信息安全相关的制度和流程的具体内容 
          • 信息安全行为相关的法律法规 
          • 敏感信息保护要求 
          • 敏感信息泄露行为导致的不良后果和真实案例 
          • 违规处罚措施 
          • 基本的信息安全操作技能和防护手段等方面 
          • 帮助基层员工树立信息安全保护的理念,提高合规操作、风险防范的意识,掌握具体的信息安全风险防控技能,降低员工工作疏忽、操作不规范或有意泄露造成的威胁 
        • 信息科技员工
          • 开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、安全要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理 
          • 运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等 
        • 外包人员
          • 金融企业外包制度和流程的具体内容 
          • 金融企业信息的分类和信息安全保护具体要求 
          • 与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面 
        • 外部用户
          • 具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等 
      • 培训形式
        • 现场培训 
        • Elearning在线培训 
        • 内外部信息安全专栏 
        • 以赛代训 
        • 实战演练 
        • 信息安全活动宣传周、宣传月 
        • 无处不在的安全宣传
          • 宣传动画、海报、易拉宝、屏保、邮件、安全知识笔记本 
        • 定期发送风险提示 
        • 信息安全智能机器人系统 
        • 外部提供的信息安全培训组合服务 
      • 培训时机
        • 全员每年例行做 
        • 员工入职马上做 
        • 高危人士时常做 
        • 专业人士专场做 
        • 特殊事件重点做 
      • 培训矩阵
        • 培训对象 
        • 培训内容 
    • 安全审计
      • 审计其他方
        • 审计准备
          • 审计目标 
          • 审计对象、重点 
          • 审计范围 
          • 审计计划 
          • 审计工具 
        • 审计执行
          • (也可以不通知,如飞行审计、抽查突击类审计) 
          • 审计手段
            • 安全评估 
            • 审计特有的工具与方法
              • 抽样数据测试 
              • 穿行测试 
              • 监督环境下的流程重放 
          • 沟通审计结果 
          • 审计结果跟踪
            • 结果复测 
            • 验证审计与后续优化效果 
      • 迎接审计
        • 审计准备
          • 针对审计提纲准备 
          • 被审计人员安排 
          • 先行内审一次 
        • 审计执行
          • 按需提供 
          • 不清楚不乱答 
          • 边审边改 
          • 不害怕暴露问题 
        • 审计沟通
          • 不卑不亢,论事实和依据 
          • 积极沟通,反馈支持性材料 
          • 审计问题描述和定性要慎重 
          • 问题当事方要确认,双方领导要确认 
        • 问题整改
          • 内部分工,制定措施和计划,落实责任到人 
          • 定期跟踪和反馈 
          • 因故无法整改,应说明情况,取得支持或理解 
          • 举一反三,以查促改 
    • 安全总结
      • 总结内容
        • 内外部监管任务落实情况 
        • 全年安全事件和安全指标完成情况 
        • 安全管理体系建设 
    • 安全预算和费用
      • 安全预算比例 
      • 预算分配(三三三原则)
        • 1/3投入到外部情报收集 
        • 1/3投入到安全感知系统建设 
        • 1/3投入到防御系统的建设 
      • ROITCO
        • 财务收益 
        • 非财务收益 
    • 公共关系管理
      • 监管机构 
      • 风险合规部门 
      • 业务部门 
      • 同业 
      • 安全同行 
      • 向互联网公司学习 
    • 软性技能
      • 时间管理 
      • 沟通管理 
      • 团队协作 
      • 冲突管理 
      • 激励 
    • Office能力
      • Word 
      • Excel 
      • PPT 
      • yEd 
      • Visio 
      • FreeMind 
    • 自我管理
      • 职业规划 
      • 安全从业者的未来 
  • 5.专业技能
    • 应用安全
      • 安全开发生命周期管理SDL 
      • 代码审计 
      • 黑盒测试 
      • Web安全 
      • App安全 
      • 安全资产管理 
      • 漏洞管理
        • 漏洞扫描工具 
        • 漏洞生命周期管理 
        • 漏洞管理工具 
    • 内网安全
      • 安全域隔离 
      • 邮件安全 
      • 身份认证 
      • 安全热点问题解决方案
        • 勒索软件 
    • 数据安全
      • 客户资料保护 
      • 终端数据安全 
      • 数据泄密溯源 
    • 业务安全与风控
      • DDOS 
      • 反作弊、薅羊毛、刷单刷劵、黑名单黑设备、封号、反外挂等 
      • 业务风控
        • 由于业务本身的活动与环境造成的各种风险的应对与管控 
    • 安全运营
      • 安全防护框架 
      • 安全运维框架
        • 威胁情报 
      • 安全验证框架 
      • 安全度量框架 
      • 安全大数据平台 
      • SRC 
      • 安全应急 
    • 新环境下的安全
      • 新技术应用可能会颠覆安全原有的体系、框架与技术 
      • 云计算运用下端管云安全 
      • IoT设备的系统与硬件级安全 
      • 工业控制系统安全 
    • 内控合规
      • 外包管理 
      • 安全合规 
    • 应急响应
  • 6.优质资源
      • 白帽子讲Web安全 
      • Web前端黑客技术揭秘 
      • 互联网企业安全高级指南 
      • 企业安全建设指南:金融行业安全架构与技术实践(11月底上市发售) 
      • 刑法 
      • 网络安全法 
      • 原则 
    • 站点
      • 知乎 
      • Secwiki 
      • 看雪学院 
      • Freebuf 
      • i春秋 
      • 安在 
      • 安全客 
    • 微信公众号
      • 君哥的体历(jungedetili 
      • 兜哥带你学安全(waf_ads_ids 
      • 美团技术团队 
      • 腾讯安全应急响应中心 
      • 看雪学院 
    • RSS订阅 
    • 安全平台 
    • 安全会议
      • Qcon大会安全分论坛 
      • ISC互联网大会 
      • 各大甲方公司安全峰会
        • 唯品会安全峰会 
        • 腾讯TSRC年度会议 
        • 京东安全峰会 
        • 西安CSS峰会 
        • 补天白帽大会 
      • 行业会议
        • 银行业信息安全会议 
        • 证券行业协会信息安全会议 
      • 金融企业安全建设群线下闭门会议(北京站、上海站、深圳站) 
    • 知识管理
      • 你们知道,而我们做到了 
      • 快速阅读、深度阅读、实践 
      • 工具
        • 印象笔记 
        • 微信收藏分类 

Leave a Reply

Your email address will not be published. Required fields are marked *