压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人：各位領導，各位來賓，大家下午好！非常高興在大會當中，能夠遇到這么多熱愛安全的朋友。我是來自于京東商城信息安全部的李學慶，是在京東主要負責京東整個安全響應、安全運營、京東的攻防。大家知道，京東現(xiàn)在開始有京東云了，包括在云上安全所有的內容都由我們這邊來負責，我在京東是從2011年到現(xiàn)在做這個事情。

今天非常有幸和主辦方一起聯(lián)系了一下，還是想讓我在這個會議上給大家串個詞，所以，今天也是給大家整體做些串場的內容。今天會場的主題還是行業(yè)當中比較不錯的，云安全的，電商安全。我的理解，這兩塊還是比較落地的，做的所有內容如果你的實力不強，你這個網站，這個云絕對是扛不住的，半點虛的都沒有。今天很多朋友能夠來到這個會場我的感覺還是來著了，還是挺好的。今天的議程還是有大佬級的人物來到會場當中，今天下午我們就拿出最認真的傾聽態(tài)度一起聽聽各位大佬來給大家講的這些內容。

首先，有請國家信息中心安全管理處處長邵國安給大家演講“政務云安全要求及安全態(tài)勢感知平臺建設”，有請！

——————分割線——————

主持人李學慶：感謝邵處長的精彩演講，很多內容，做政務云的，對大家的幫助還是挺大的。我看邵處長講的每一塊還是非常細的，后面大家針對云上怎么做建設，剛才也提到PaaS層和IaaS、SaaS層，每一層應該怎么去做，下面大家可以和邵處長多聊聊。

開場時，大家都在說WannaCry漏洞，這個事件對整個安全行業(yè)來說還是個很好的驅動，包括這個事件出來之后，有很多不是安全圈的人都已經對這個事情非常了解了。大家就能體會到，我們也一直在瞧這個事情，安全無小事。在出現(xiàn)這個事情以后，后邊很多公司連電腦都不敢打開了，每一臺電腦都進行升級。如果安全上面沒有做到位的話，對一個公司安全上的考量以及整個公司的發(fā)展還是有很大阻力的。

下一個議題是由天空衛(wèi)士合伙人楊明非與大家分享“核心數(shù)據資產的管理和保護”。

——————分割線——————

主持人：感謝楊總，剛才講的內容還是比較落地的，不知道大家在企業(yè)里遇到的是什么樣子，針對電商來說，大家對數(shù)據泄露還是非常難解決的一個問題。我看到楊總這邊還是有很好的解決方案。

我們現(xiàn)在有個新的項目，可能和楊總這邊有點類似，我們也會把類似DLP一類東西全部放到我們這里面，包括外面的情報都會通過一個平臺收集過來。收集過來之后，對于我們來說這個情報可能是其中一個點，泄露當中它只是作為我們參考的一部分。所以，我們過段時間要啟個項目叫“邁向平臺”，這個平臺是，把我們所有數(shù)據在底層鋪上。楊總剛才提到的DLP以及情報內容全在里面，經營的所有資產以及IP域名、DNS、框架、組件全部放好。這幾年來每個資產上面出現(xiàn)的安全風險，把我們一些歷史的東西全部放在這兒，包括京東所有的訂單，用戶信息所有的放到一起，后面還會關聯(lián)很多。

在上層我們會做個東西，每個數(shù)據的關聯(lián)性，比如每個IP會關聯(lián)哪個系統(tǒng)，整個業(yè)務模塊是屬于誰負責的，在這個基礎上還有哪些人在用這上面的數(shù)據，會有很強的關系。再往上一層就是接口層，整個底下這兩層為我們服務的，第一出現(xiàn)大型漏洞泄露時可以通過這套系統(tǒng)完全定位風險范圍；第二類似于這種泄露的，不管是用戶泄露還是訂單泄露，我們把這個數(shù)據直接放進去就可以把整個脈像展示出來，我們就可以從中定位我們的數(shù)據哪塊可能會出現(xiàn)問題。這是我們整個要做的項目，但這上面還是基于其他的數(shù)據，包括威脅情報、DLP內容。

我的感覺，在一個企業(yè)當中，我們慢慢做的過程中，做這套系統(tǒng)就是在解決京東遇到的重大漏洞或難以解決的問題，我們統(tǒng)稱為痛點，去給他建設這樣的平臺，做這樣的事情。這個思路大家可以學學。

下面一個議題是由央視網網絡安全專家黃樂為大家分享“央視網信息安全的前世與今生”。歡迎！

——————分割線——————

主持人：感謝黃樂給大家的精彩分享，剛才黃樂也說了，自己的團隊還是需要去擴張的，其實還有個選擇，京東是個很好的選擇，可以帶團隊過來，沒有問題。剛才黃樂提到《網絡安全法》，對每個云安全公司、電商公司都慢慢提上一個高度，前段時間公安部也組織會議，召集大家把等保和安全方面的工作提上一個臺階，在這上面，如果大家在行業(yè)當中能夠看一些新聞的話應該也可以看到，現(xiàn)在每家都在解讀、學習安全法，前段時間京東也在做一個事情，《網絡安全法》出來之后，很多白帽子挖漏洞的時候還是說哪些行為是OK的，哪些行為是違規(guī)的，我們也幫助白帽子合規(guī)，包括合法挖漏洞的事情，甚至包括整個《網絡安全法》出來之后，公司級別我們有哪些制度還不完善，也梳理了一遍，這個思路大家也可以學學，包括京東在整個過程當中，我們把相關部門整個做了一遍安全培訓，包括法務部門。后面大家針對《網絡安全法》上，還是需要拿出一些時間，包括黃樂剛才提到的合規(guī)層面，大家可以多去考慮考慮。

——————分割線——————

主持人：議題繼續(xù)，下一位是由安普諾創(chuàng)始人、CEO張濤給大家介紹Webshell檢測。歡迎！

——————分割線——————

主持人：非常感謝張濤為大家做的精彩分享，針對Webshell每一家公司在檢測、發(fā)現(xiàn)感知、阻斷還是有很大的瓶頸，線下大家可以多和張總交流。

下一個議題是由北京農信互聯(lián)科技有限公司安全服務部經理李元龍為大家分享“登山之路——互聯(lián)網公司安全建設的心得體會”，歡迎！

——————分割線——————

主持人：感謝李總精彩演講，剛才提到，我也記了很多，我在這里也簡單跟大家說幾個，李總提到DDoS，游戲公司最怕這個，以前互聯(lián)網電商可能沒有感受到，現(xiàn)在電商公司慢慢感受到了，因為有大促了，馬上就要“6·18”了，以前還有“雙十一”，我看還出來5·18”，各種各樣的大促越來越多。活動出來之后，這種DDoS的事情肯定是難免的，這上面非常需要落地方案。我們的理念，我們也會慢慢灌輸公司CTO體系，這個DDoS攻擊，不是我們現(xiàn)在有防護就OK了，我的感覺就應當像測試一樣，功能測試、性能測試、自動化，應該慢慢成為開發(fā)生命周期當中的一部分，我上一個什么樣的業(yè)務，上去之后必須要滿足多大量的攻擊，什么類型的攻擊。后面我們一個理念，就是把DDoS演變測試變成例行檢測。

剛才李總提到整體事件驅動，其實在于有些公司沒有辦法，我們當初也是一點點這樣過來的。初期時，事件驅動是最好的一種方式，京東現(xiàn)在這個規(guī)模，事件驅動就需要往后放放了。大家在做安全時，事件驅動可以是個方法，這個過程中，我們還加了一些點，把整個事件驅動的事件全部轉化為現(xiàn)金。出現(xiàn)這個事件之后你給京東損失多少錢，按這個方法做。

SDL，我們從去年到現(xiàn)在也在做這個，很多人都在提，國內SDL到底能不能做成？也在考慮這個事情。很多人說合規(guī)這個東西到底有用沒用，是不是貼好就完了。其實這里面有很多靈活點。京東做SDL時，剛才李總提到這個思路還是很好的，我們也基本上按照這樣的思路，但我加進去一個東西，我給每個部門施以“問診”模式去做的，比如各個部門做之前，會把他們部門出的安全風險拿出來，他們部門安全風險有什么背景，每個人員以前經受過這樣的安全培訓沒有？他們的安全風險以前是由于失誤導致的還是由于安全意識導致的，全部給他分析出來，最終分析出來，它會有一個打分的，比如這個部門出來有60分，我會告訴他SDL確實在哪塊了，告訴他老板達到多少分，最后告訴他哪個階段應該怎么做，每個階段像快速培訓一樣，我們每一個階段是兩周，做完之后會有一個考核，這需要一些靈活的方式。

李總最后提到安全意識，這是很重要的。說白了現(xiàn)在已經灌輸?shù)轿覀僀EO層面了，這是怎么灌輸?shù)模稽c點地讓京東每個角落全部都是信息安全，每天都在關注，甚至到廁所看小報都是安全，沒辦法，這需要一點點灌輸這個東西。還需要一個強有力的東西，我們現(xiàn)在有個安全委員會，最高的leader是老劉，如果要把安全做好，這兩個東西哪一個都是缺不了的。

下面進入最后一個分享，由公安部第三研究所云計算安全測評實驗室負責人陳妍為大家分享“等級保護2.0時代下的云上用戶安全指引”，歡迎！