互联网企业安全建设之路 .docxVIP

互联网企业安全建设之路

Feei?企业级代码安全实践?Meili-Inc

AboutMe

VIPKID

安全负责人

大数据安全分析互联网在线教育行业安全体系建设探索与实践

secsky

公司安全体系建设和团

队管理

2003

七年安全从业经验

2013 现在

自学为主

专业安全公司网络攻防实验室

互联网电商公司安全负责人

在线教育公司 企业安全体系安全负责人 建设与实践

网络攻防、WEB安全JAVA、PHP、前端开发Linux、日志安全分析

2010

渗透测试、代码审计漏洞分析、工具开发安全研究、安全培训应急响应、安全加固

2016.6

自动化安全系统、平台研发开源安全产品研究、二次开发信息泄露事件调查公司安全体系建设与优化

未来

从零开始组建安全团队，构建公司整体安全体系，为公司业务快速发展提供安全保障

故事从这里开始

现在越来越多的互联网企业开始重视安全问题，想要招聘安全负责人组建安全团队，以此来提升企业整体安全水平，那么企业该如何结合自身业务从零开始构建一个相对完善的安全体系来为公司业务的快速发展提供安全保障呢？

面向用户：1、企业安全负责人2、未来想要企业安全负责人的3、企业安全爱好者4、其他感兴趣的用户

主要内容

互联网企业安全建设整体思路

互联网企业为什么要做安全？

互联网企业需要什么样的安全？

互联网企业如何做好安全？

互联网企业安全建设整体思路

挖掘安全需求

体系持续优 确认安全目化、完善标

核心业务

安全运营

安全规划、体系建设

企业安全驱动力互联网企业为什么要做安全？

企业安全驱动力

面临来自各方面的安全威胁

面临各种安全挑战

安全问题会对公司运营、业务发展造成不良影响

外部黑客、网络黑产、竞争对手、内鬼等

安全漏洞、网络攻击、勒索、敏感信息泄露等

经济损失、用户流失、声誉受损、公信力下降等

互联网企业需要什么样的安全？

核安目

核

安

目

?数据安全是所有互联网公司最核心的安全需求，也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控

心 在攻防对抗中占据主动地位?能够掌控企业整体的安全态势，可主动发现潜在安全风险，及时知道谁、什么时间、

全 做过什么样的攻击、攻击是否成功、目标系统受影响程度，并且在第一时间内解决遇到的安全问题

标 保障业务安全、连续、可用

?尽可能降低因网络攻击造成业务系统受影响的安全风险，比如最常见的DDOS、CC以及针对业务层面的攻击等

互联网企业需要什么样的安全？

核安能攻防对抗能力

核

安

能

心

全

力

安全体系、

文化建设 安全团队能力

安全态势感知能力

安全产品研发能力

互联网企业如何做好安全？

怎么做？这是一个值得思考的问题

树立正确的安全观

企业整体安全视角

整体安全建设规划

如何评估和量化安全工作效果

互联网企业如何做好安全？

安全建设是一 安全建设需要个持续的过程有持续投入

安全是动态的

安全建设需要

公司高层支持

正确的相对安全

安全观

安全不只是安

全部门的事

互联网企业如何做好安全？

?基础架构安全

企整安视

企

整

安

视

? 基础架构安全

? 内部应用安全

?业务安全（风控）

业 ?安全运营 生产网络体

全 第三方供角应商

?终端安全?安全管理

办公网络

安全合规

?第三方合作伙伴

安全

?PCIDSS、ADSS

?ISO27001、等保

?SOX

互联网企业如何做好安全？

生产网络

基础架构安全

?基础架构安全如果从网络层次上来划分的话，可以分为物理安全、网络安全和系统安全三个层面。这部分属于传统意义上的网络安全，是整个企业安

全体系中最基础的部分

应用安全

?应用安全绝对是互联网企业安全工作中的重点，也是企业投入资源最多的部分。分为WEB安全和移动安全两个方向，主要围绕SDL和应用层的攻防对抗

展开

业务安全（风控）

?业务安全（风控）专注于业务层面的安全对抗，是互联网企业安全中非常重要的组成部分，由于受业务特性影响，电商、互联网金融领域更加重视风控，这些企业中风控通常是一个独立的部门，而且汇报级别和权限都比较高。业务安全这块的市场前景广阔，现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来

解决业务安全问题

安全运营

?安全应急响应中心（SRC）

?提升安全团队对内、对外正面影响力

?第三方安全合作

互