压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人：各位領(lǐng)導(dǎo)，各位來賓，大家下午好！非常高興在大會(huì)當(dāng)中，能夠遇到這么多熱愛安全的朋友。我是來自于京東商城信息安全部的李學(xué)慶，是在京東主要負(fù)責(zé)京東整個(gè)安全響應(yīng)、安全運(yùn)營(yíng)、京東的攻防。大家知道，京東現(xiàn)在開始有京東云了，包括在云上安全所有的內(nèi)容都由我們這邊來負(fù)責(zé)，我在京東是從2011年到現(xiàn)在做這個(gè)事情。

今天非常有幸和主辦方一起聯(lián)系了一下，還是想讓我在這個(gè)會(huì)議上給大家串個(gè)詞，所以，今天也是給大家整體做些串場(chǎng)的內(nèi)容。今天會(huì)場(chǎng)的主題還是行業(yè)當(dāng)中比較不錯(cuò)的，云安全的，電商安全。我的理解，這兩塊還是比較落地的，做的所有內(nèi)容如果你的實(shí)力不強(qiáng)，你這個(gè)網(wǎng)站，這個(gè)云絕對(duì)是扛不住的，半點(diǎn)虛的都沒有。今天很多朋友能夠來到這個(gè)會(huì)場(chǎng)我的感覺還是來著了，還是挺好的。今天的議程還是有大佬級(jí)的人物來到會(huì)場(chǎng)當(dāng)中，今天下午我們就拿出最認(rèn)真的傾聽?wèi)B(tài)度一起聽聽各位大佬來給大家講的這些內(nèi)容。

首先，有請(qǐng)國(guó)家信息中心安全管理處處長(zhǎng)邵國(guó)安給大家演講“政務(wù)云安全要求及安全態(tài)勢(shì)感知平臺(tái)建設(shè)”，有請(qǐng)！

——————分割線——————

主持人李學(xué)慶：感謝邵處長(zhǎng)的精彩演講，很多內(nèi)容，做政務(wù)云的，對(duì)大家的幫助還是挺大的。我看邵處長(zhǎng)講的每一塊還是非常細(xì)的，后面大家針對(duì)云上怎么做建設(shè)，剛才也提到PaaS層和IaaS、SaaS層，每一層應(yīng)該怎么去做，下面大家可以和邵處長(zhǎng)多聊聊。

開場(chǎng)時(shí)，大家都在說WannaCry漏洞，這個(gè)事件對(duì)整個(gè)安全行業(yè)來說還是個(gè)很好的驅(qū)動(dòng)，包括這個(gè)事件出來之后，有很多不是安全圈的人都已經(jīng)對(duì)這個(gè)事情非常了解了。大家就能體會(huì)到，我們也一直在瞧這個(gè)事情，安全無小事。在出現(xiàn)這個(gè)事情以后，后邊很多公司連電腦都不敢打開了，每一臺(tái)電腦都進(jìn)行升級(jí)。如果安全上面沒有做到位的話，對(duì)一個(gè)公司安全上的考量以及整個(gè)公司的發(fā)展還是有很大阻力的。

下一個(gè)議題是由天空衛(wèi)士合伙人楊明非與大家分享“核心數(shù)據(jù)資產(chǎn)的管理和保護(hù)”。

——————分割線——————

主持人：感謝楊總，剛才講的內(nèi)容還是比較落地的，不知道大家在企業(yè)里遇到的是什么樣子，針對(duì)電商來說，大家對(duì)數(shù)據(jù)泄露還是非常難解決的一個(gè)問題。我看到楊總這邊還是有很好的解決方案。

我們現(xiàn)在有個(gè)新的項(xiàng)目，可能和楊總這邊有點(diǎn)類似，我們也會(huì)把類似DLP一類東西全部放到我們這里面，包括外面的情報(bào)都會(huì)通過一個(gè)平臺(tái)收集過來。收集過來之后，對(duì)于我們來說這個(gè)情報(bào)可能是其中一個(gè)點(diǎn)，泄露當(dāng)中它只是作為我們參考的一部分。所以，我們過段時(shí)間要啟個(gè)項(xiàng)目叫“邁向平臺(tái)”，這個(gè)平臺(tái)是，把我們所有數(shù)據(jù)在底層鋪上。楊總剛才提到的DLP以及情報(bào)內(nèi)容全在里面，經(jīng)營(yíng)的所有資產(chǎn)以及IP域名、DNS、框架、組件全部放好。這幾年來每個(gè)資產(chǎn)上面出現(xiàn)的安全風(fēng)險(xiǎn)，把我們一些歷史的東西全部放在這兒，包括京東所有的訂單，用戶信息所有的放到一起，后面還會(huì)關(guān)聯(lián)很多。

在上層我們會(huì)做個(gè)東西，每個(gè)數(shù)據(jù)的關(guān)聯(lián)性，比如每個(gè)IP會(huì)關(guān)聯(lián)哪個(gè)系統(tǒng)，整個(gè)業(yè)務(wù)模塊是屬于誰負(fù)責(zé)的，在這個(gè)基礎(chǔ)上還有哪些人在用這上面的數(shù)據(jù)，會(huì)有很強(qiáng)的關(guān)系。再往上一層就是接口層，整個(gè)底下這兩層為我們服務(wù)的，第一出現(xiàn)大型漏洞泄露時(shí)可以通過這套系統(tǒng)完全定位風(fēng)險(xiǎn)范圍；第二類似于這種泄露的，不管是用戶泄露還是訂單泄露，我們把這個(gè)數(shù)據(jù)直接放進(jìn)去就可以把整個(gè)脈像展示出來，我們就可以從中定位我們的數(shù)據(jù)哪塊可能會(huì)出現(xiàn)問題。這是我們整個(gè)要做的項(xiàng)目，但這上面還是基于其他的數(shù)據(jù)，包括威脅情報(bào)、DLP內(nèi)容。

我的感覺，在一個(gè)企業(yè)當(dāng)中，我們慢慢做的過程中，做這套系統(tǒng)就是在解決京東遇到的重大漏洞或難以解決的問題，我們統(tǒng)稱為痛點(diǎn)，去給他建設(shè)這樣的平臺(tái)，做這樣的事情。這個(gè)思路大家可以學(xué)學(xué)。

下面一個(gè)議題是由央視網(wǎng)網(wǎng)絡(luò)安全專家黃樂為大家分享“央視網(wǎng)信息安全的前世與今生”。歡迎！

——————分割線——————

主持人：感謝黃樂給大家的精彩分享，剛才黃樂也說了，自己的團(tuán)隊(duì)還是需要去擴(kuò)張的，其實(shí)還有個(gè)選擇，京東是個(gè)很好的選擇，可以帶團(tuán)隊(duì)過來，沒有問題。剛才黃樂提到《網(wǎng)絡(luò)安全法》，對(duì)每個(gè)云安全公司、電商公司都慢慢提上一個(gè)高度，前段時(shí)間公安部也組織會(huì)議，召集大家把等保和安全方面的工作提上一個(gè)臺(tái)階，在這上面，如果大家在行業(yè)當(dāng)中能夠看一些新聞的話應(yīng)該也可以看到，現(xiàn)在每家都在解讀、學(xué)習(xí)安全法，前段時(shí)間京東也在做一個(gè)事情，《網(wǎng)絡(luò)安全法》出來之后，很多白帽子挖漏洞的時(shí)候還是說哪些行為是OK的，哪些行為是違規(guī)的，我們也幫助白帽子合規(guī)，包括合法挖漏洞的事情，甚至包括整個(gè)《網(wǎng)絡(luò)安全法》出來之后，公司級(jí)別我們有哪些制度還不完善，也梳理了一遍，這個(gè)思路大家也可以學(xué)學(xué)，包括京東在整個(gè)過程當(dāng)中，我們把相關(guān)部門整個(gè)做了一遍安全培訓(xùn)，包括法務(wù)部門。后面大家針對(duì)《網(wǎng)絡(luò)安全法》上，還是需要拿出一些時(shí)間，包括黃樂剛才提到的合規(guī)層面，大家可以多去考慮考慮。

——————分割線——————

主持人：議題繼續(xù)，下一位是由安普諾創(chuàng)始人、CEO張濤給大家介紹Webshell檢測(cè)。歡迎！

——————分割線——————

主持人：非常感謝張濤為大家做的精彩分享，針對(duì)Webshell每一家公司在檢測(cè)、發(fā)現(xiàn)感知、阻斷還是有很大的瓶頸，線下大家可以多和張總交流。

下一個(gè)議題是由北京農(nóng)信互聯(lián)科技有限公司安全服務(wù)部經(jīng)理李元龍為大家分享“登山之路——互聯(lián)網(wǎng)公司安全建設(shè)的心得體會(huì)”，歡迎！

——————分割線——————

主持人：感謝李總精彩演講，剛才提到，我也記了很多，我在這里也簡(jiǎn)單跟大家說幾個(gè)，李總提到DDoS，游戲公司最怕這個(gè)，以前互聯(lián)網(wǎng)電商可能沒有感受到，現(xiàn)在電商公司慢慢感受到了，因?yàn)橛写蟠倭耍R上就要“6·18”了，以前還有“雙十一”，我看還出來5·18”，各種各樣的大促越來越多。活動(dòng)出來之后，這種DDoS的事情肯定是難免的，這上面非常需要落地方案。我們的理念，我們也會(huì)慢慢灌輸公司CTO體系，這個(gè)DDoS攻擊，不是我們現(xiàn)在有防護(hù)就OK了，我的感覺就應(yīng)當(dāng)像測(cè)試一樣，功能測(cè)試、性能測(cè)試、自動(dòng)化，應(yīng)該慢慢成為開發(fā)生命周期當(dāng)中的一部分，我上一個(gè)什么樣的業(yè)務(wù)，上去之后必須要滿足多大量的攻擊，什么類型的攻擊。后面我們一個(gè)理念，就是把DDoS演變測(cè)試變成例行檢測(cè)。

剛才李總提到整體事件驅(qū)動(dòng)，其實(shí)在于有些公司沒有辦法，我們當(dāng)初也是一點(diǎn)點(diǎn)這樣過來的。初期時(shí)，事件驅(qū)動(dòng)是最好的一種方式，京東現(xiàn)在這個(gè)規(guī)模，事件驅(qū)動(dòng)就需要往后放放了。大家在做安全時(shí)，事件驅(qū)動(dòng)可以是個(gè)方法，這個(gè)過程中，我們還加了一些點(diǎn)，把整個(gè)事件驅(qū)動(dòng)的事件全部轉(zhuǎn)化為現(xiàn)金。出現(xiàn)這個(gè)事件之后你給京東損失多少錢，按這個(gè)方法做。

SDL，我們從去年到現(xiàn)在也在做這個(gè)，很多人都在提，國(guó)內(nèi)SDL到底能不能做成？也在考慮這個(gè)事情。很多人說合規(guī)這個(gè)東西到底有用沒用，是不是貼好就完了。其實(shí)這里面有很多靈活點(diǎn)。京東做SDL時(shí)，剛才李總提到這個(gè)思路還是很好的，我們也基本上按照這樣的思路，但我加進(jìn)去一個(gè)東西，我給每個(gè)部門施以“問診”模式去做的，比如各個(gè)部門做之前，會(huì)把他們部門出的安全風(fēng)險(xiǎn)拿出來，他們部門安全風(fēng)險(xiǎn)有什么背景，每個(gè)人員以前經(jīng)受過這樣的安全培訓(xùn)沒有？他們的安全風(fēng)險(xiǎn)以前是由于失誤導(dǎo)致的還是由于安全意識(shí)導(dǎo)致的，全部給他分析出來，最終分析出來，它會(huì)有一個(gè)打分的，比如這個(gè)部門出來有60分，我會(huì)告訴他SDL確實(shí)在哪塊了，告訴他老板達(dá)到多少分，最后告訴他哪個(gè)階段應(yīng)該怎么做，每個(gè)階段像快速培訓(xùn)一樣，我們每一個(gè)階段是兩周，做完之后會(huì)有一個(gè)考核，這需要一些靈活的方式。

李總最后提到安全意識(shí)，這是很重要的。說白了現(xiàn)在已經(jīng)灌輸?shù)轿覀僀EO層面了，這是怎么灌輸?shù)模稽c(diǎn)點(diǎn)地讓京東每個(gè)角落全部都是信息安全，每天都在關(guān)注，甚至到廁所看小報(bào)都是安全，沒辦法，這需要一點(diǎn)點(diǎn)灌輸這個(gè)東西。還需要一個(gè)強(qiáng)有力的東西，我們現(xiàn)在有個(gè)安全委員會(huì)，最高的leader是老劉，如果要把安全做好，這兩個(gè)東西哪一個(gè)都是缺不了的。

下面進(jìn)入最后一個(gè)分享，由公安部第三研究所云計(jì)算安全測(cè)評(píng)實(shí)驗(yàn)室負(fù)責(zé)人陳妍為大家分享“等級(jí)保護(hù)2.0時(shí)代下的云上用戶安全指引”，歡迎！