论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 29 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-17 10:36 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
首先,我也不知道发在这里,或者这个版块合适不合适,如果有问题,版主见谅。同时,希望大家不要猜测或者说出来相关的背景信息,只是讨论业务与技术,谢谢各位大牛的指导~~~~

大致背景是这样的,本人工作经验有限,刚刚加入一家外资大型企业,旗下有着众多的硬件产品(快速消费类,专业设备),数字资源(正版音像制品,目前尚未在大陆开展),在线服务(有些自己提供,有些通过国内第三方提供服务)等几大类面向消费者的终端业务。因为去年的天灾人祸,公司开始重视信息安全这一块了。因为公司之前只有做过相关的对于内网的一些信息安全工作,并没有针对自己的最终产品以及服务提供相关的保障,所以把我招了进来开展负责大陆地区所有面向终端用户的产品和服务的安全。

于是问题就来了,因为中国公司也不知道该做什么,怎么做,做到怎么样。(题外话,该职位被挂靠在测试部门下面,一是可能去年的事情引起了总部集团的重视,二来该部门可能也希望通过这个新团队来提升自己在中国甚至总部的影响力,所以我才会有这次机会)

经过一周时间的了解和整理。我大致分了几块内容:

技术上的测试评估 前期针对部分产品以及服务,直接找出漏洞,最好能做成exp,或者demo,对各部门进行演示和介绍。一是在开发环节,提高大家的安全意识。二是提升团队影响力,方便日后工作开展。后期慢慢形成一个整体测试模型,针对不同设备或者不同方向进行流水线化的测试,出具评估报告。后期工作就是针对评估模型进行调整和修改

一个简单的应急响应体系 根据中国市场特色,收集整理各类信息安全方面的信息,突发事件例如0day出现,针对于我们某个产品或者服务,则立即告知项目部门进行处理,并给出预警和相应的解决方案之类

对于信息安全圈子的研究 这个就很杂了,技术上的跟进,和国内各种乙方的合作,政府部门打交道(总部很担心盗版问题,也就是数字资源的业务迟迟未在大陆开展)等

目前部门团队包括我有3人,我是负责人,擅长渗透入侵,对于服务这块我能做好。一人有5-6年的各类平台开发经验,刚刚转型到信息安全这块,我打算让他多负责例如安卓系统,应用程序这块的事物。还有一个人是非技术出生,有二外,主要负责和总部和各个事业线的借口工作。初任管理工作,十分不适应,望赐教。




以上就是我暂时能够想出来的几点,以及本人的困惑了。小弟工作才2年多点,见识比较浅薄,也未能接触到国内对终端产品做信息安全的相关人士。对内方面,公司也不知道能做到什么样,之后会有多大力度的支持我工作的开展(目前第一年,3个人的预算)。希望大牛能多多指点,欢迎各类想法,指导,批评。感激不尽!!!


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-17 11:24 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
木有人看,木有人顶?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-17 12:48 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
没有人做类似工作么?有人指点迷津么???


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-17 18:01 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
悲剧啊,下班了都没人睬我,唉~~~~
希望明天有好心人提点………………


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-17 18:54 
离线
新手

注册: 2008-11-07 08:46
最近: 2015-09-20 10:09
拥有: 176.00 安全币

奖励: 0 安全币
在线: 398 点
帖子: 9
顶LZ


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 08:40 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
悲剧,还是没有人来讨论一下嘛?怎么感觉不如以前活跃了?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 10:53 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-01-08 16:04
拥有: 10,238.00 安全币

奖励: 878575 安全币
在线: 107583 点
帖子: 3276
既然是外资公司,上面有总部,local的人应该负责根据总部安全策略制定本地安全策略并监督执行吧,我认为重点应该是合规方面的要求,说白点就是应付审计,楼主提到的工作想法虽然都挺不错,但方向好像有点问题。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 11:05 
离线
高级用户

注册: 2010-08-13 20:18
最近: 2017-08-29 18:54
拥有: 5,724.00 安全币

奖励: 2693 安全币
在线: 18317 点
帖子: 206
去年的确是蛮悲剧的,呵呵。这职位本来就定位模糊,老板自身也没这方面的知识,画个好看的饼多做些好看的ppt就能应付了。剩下的空间很大,自由发挥好咯。


--------本帖迄今已累计获得40安全币用户奖励--------


最后由 ddz_zj 编辑于 2012-04-18 12:17,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 11:32 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
phrack 写道:
既然是外资公司,上面有总部,local的人应该负责根据总部安全策略制定本地安全策略并监督执行吧,我认为重点应该是合规方面的要求,说白点就是应审计,楼主提到的工作想法虽然都挺不错,但方向好像有点问题。


的确,对于产品的审计,是工作的重心。 可惜这个外资公司,上面总部并没有针对自己的产品有安全策略(貌似今年从美国那里搞来一个信息安全的高层,也不知道是不是做的内容会涉及到中国,大家都是自己管自己的)。具体到业务,每一个产品线,都是自己管自己,重市场,安全么,懂得…………

其实这个这个岗位的存在意义我之前提到的2点,一是去年发生的事情(但他们内部总认为是在一开始得罪了人,被盯上了)是个引子,二是我所在的部门,目前预算多出来,为了扩大自己影响力做的一次“投资”吧。今天下午高层过来,我有15分钟时间汇报,看能争取到多少的支持了。支持多了,他们富裕了,也有权利了,我也有事情干了。

所以,整个工作的内容既没有top-down的现成框架,也没有具体要实施的目标,全看我自己。我的领导也都是测试出生,他们只希望我能各个方面都做起来。做好了,有预算,摊子可以做大;做不好?明年没预算了,我都不知道出路在哪里。顿感压力极大,望大大赐教。

对于方向不对,望版主能够说的详细一些。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 11:55 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-01-08 16:04
拥有: 10,238.00 安全币

奖励: 878575 安全币
在线: 107583 点
帖子: 3276
ddz_zj 写道:
XX去年的确是蛮悲剧的,呵呵。这职位本来就定位模糊,老板自身也没这方面的知识,画个好看的饼多做些好看的ppt就能应付了。剩下的空间很大,自由发挥好咯。


XX吗?我做培训过程中至少三次遇到有XX人员参加,感觉对安全方面也算重视,还是有人才储备的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 12:09 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
ddz_zj 写道:
XX去年的确是蛮悲剧的,呵呵。这职位本来就定位模糊,老板自身也没这方面的知识,画个好看的饼多做些好看的ppt就能应付了。剩下的空间很大,自由发挥好咯。


大哥,说好不谈背景…… 能编辑掉么……

您是知音啊,就是模糊的一塌糊涂,只能靠自己。第二周了,70%的时间用在了ppt上,今天下午总部高层来,然后20%的时间就是开会画饼。另您有什么高见嘛?提点意见?谢谢啊


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 12:12 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
phrack 写道:
ddz_zj 写道:
XX去年的确是蛮悲剧的,呵呵。这职位本来就定位模糊,老板自身也没这方面的知识,画个好看的饼多做些好看的ppt就能应付了。剩下的空间很大,自由发挥好咯。


XX吗?我做培训过程中至少三次遇到有XX人员参加,感觉对安全方面也算重视,还是有人才储备的。


不提背景嘛

话说可能你遇到的是对内信息安全工作部门的人吧。虽然我才做了没几天,这点感觉的的确做得不错,从新员工培训上面能看出一部分来。不少精力放在了内网审计,合规,流程,培训这方面了。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 12:29 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-01-08 16:04
拥有: 10,238.00 安全币

奖励: 878575 安全币
在线: 107583 点
帖子: 3276
monashqzha45 写道:
phrack 写道:
ddz_zj 写道:
XX去年的确是蛮悲剧的,呵呵。这职位本来就定位模糊,老板自身也没这方面的知识,画个好看的饼多做些好看的ppt就能应付了。剩下的空间很大,自由发挥好咯。


XX吗?我做培训过程中至少三次遇到有XX人员参加,感觉对安全方面也算重视,还是有人才储备的。


不提背景嘛

话说可能你遇到的是对内信息安全工作部门的人吧。虽然我才做了没几天,这点感觉的的确做得不错,从新员工培训上面能看出一部分来。不少精力放在了内网审计,合规,流程,培训这方面了。


我遇到的确实是负责内部信息安全工作的,我还真没遇到过任何公司负责消费类终端产品安全问题的人士,如果外国总部都没有相关安全策略,那您的工作在国内也太超前了,也怪不得没人发言了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 12:53 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
phrack 写道:
我遇到的确实是负责内部信息安全工作的,我还真没遇到过任何公司负责消费类终端产品安全问题的人士,如果外国总部都没有相关安全策略,那您的工作在国内也太超前了,也怪不得没人发言了。



呵呵,您这么一说,我顿感脸上贴金了,特高端!!!

其实还好拉,随着无线网络的普及,物联网的开展以及智慧城市的打造,越来越多的消费类电子产品会接入网络。随之而来的就是种种的安全问题。从产品本身而言,照相机这些设备,里面必定存放着一些私密的信息,当它一旦联网了,如何保证从系统层面,应用层面以及网络层面的安全(CIA中的C)就需要考虑了,不过不知如何系统开展。同样,产品接入了网络,也意味着网络中提供了相应的服务,确保这些服务的安全也是至关重要的(这个就有点类似于现在大家都在做的风评加固之类的事情了)。

毕竟现在我服务的公司,除了电子快速消费品以外,还有着一些专业设备,数字资源(盗版啊盗版,无论从技术防范和管理控制上,谁也不能说它和信息安全无关啊,归根结底就是非授权访问和使用嘛),第三方服务提供商(商业就有合作,但是标签还是我们的,也得管~唉~~~)等等。

所以,终端产品的安全也是需要考虑的,毕竟直接联系到了最终的客户,也就是利润的来源。相比内网安全,可能在商务方面,他们会更加在意这个。


以上都是我乱想出来的。大家献计献策啊,说不定哪天大家也遇到了这样问题呢,多思考嘛~~不要老是把信息安全固定在一个小圈子里,往外走,东西更多,不是都叫嚷着开拓新市场新业务么,这就是机会啊~~~~


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 13:28 
离线
高级用户

注册: 2004-08-03 16:33
最近: 2015-06-25 09:13
拥有: 4,332.10 安全币

奖励: 491 安全币
在线: 8148 点
帖子: 214
从你的描述来看还是工作侧重在怎么加强产品的质量方面的特殊属性-安全。这也是为什么原来挂靠在测试部门下的原因。目前软件产品有SDL,我想终端产品的安全也可以类似考虑建立产品的安全开发生命周期,围绕这个你可以做很多事情,比如安全团队建设、流程建立、产品风险评估、安全评审、安全编码、安全测试、安全推进活动,安全响应等等。
当然这只是我个人认为的,上面还是有他们自己的考虑,或者还有其他更深层次的需求,关键还是跟上面多沟通和揣摩吧,不然即使你认为是对的,管理层不认可也没有用


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 29 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012