互联网企业安全建设思考与实践-ThreatBook.PDFVIP

互联网企业安全建设思考与实践 -- 靳晓飞-- VIPKID安全负责人 关于我 姓名：靳晓飞 公司与职位：VIPKID安全负责人、高级安全专家 网络ID ：secsky 个人经历：8年安全从业经验、先后在安全公司网络攻防实验室、电商、在线教育公司从事安全研究、攻防对抗、安全体系建设等工作 从这里说起 国家 行业 个人 安全与业务的关系 安全与业务的关系 安全跑在业务前面 安全做的不好 安全做的好 •从安全维度全面保障和支撑公司业务正常运营和快速发展，领先竞 无力应对企业面临日趋复杂的网络 可主动掌控公司整体安全态势，有 争对手，在商业竞争中处于主动地位 攻击，在网络攻防对抗中处于被动， 效控制安全风险在可接受范围内； 公司运营与业务发展 制约公司正常运营和业务发展，成 从安全维度全面保障和支撑公司正 安全与业务同步发展 为公司发展瓶颈 常运营和业务快速发展 安全落后于竞争对手，在商业竞争 安全领先于竞争对手，在商业竞争 •勉强保障和支撑公司业务正常运营和发展，大多数时候安全会充当 商业竞争 中处于被动地位 VS 中处于主动地位 救火队员角色 影响品牌形象，用户无安全感，客 维护、提升品牌安全影响力和美誉 品牌形象 户流失 度，让用户有安全感 安全落后于业务发展 在满足安全合规、法律要求的同时， •无力应对企业面临的网络攻击和无法有效控制安全风险，安全成为 面临监管部门处罚，严重时受到法 合规与法律风险 建立并持续运营符合公司实际情况 律制裁，无法在某些领域开展业务 影响公司正常运营和业务快速增长的瓶颈和风险点 的安全管理体系 互联网企业安全建设整体思路 原则： 挖掘安全需求 挖掘安 目标导向，对结果和效果负责 全需求 明确安全目标 对象：公司高层、 兄弟部门、业务部 安全规划、体系建设 持续完 门、安全团队 要点：1、合理、 善和优 明确安 要点：1、知晓面 清晰、量化、可衡 要点：1、方向和 安全运营 量 化 核心业务 全目标 临安全威胁、风险、2 、区分长、中、 思路对 持续优化和完善 核心数据 挑战和现有安全能 短期目标 2 、区分紧急度和 要点：1、持续、 力 指标化、量化、可