论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 29 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 13:46 
离线
中级用户

注册: 2010-06-24 21:00
最近: 2012-11-06 10:36
拥有: 1,259.00 安全币

奖励: 0 安全币
在线: 526 点
帖子: 86
地址: ttonyyao@yahoo.com
看了楼主的描述,首先,2年多的工作经验,能够在一个大的甲方公司负责信息安全应该是一个很有能力的人。包括你前面提到的服务安全。每个公司的最终目的均是盈利,靠产品,靠服务,靠信用。当然,服务,是承载公司和客户直接的桥梁,包括信任的建立。所以,加固这个桥梁,比如客户关怀等手段,都是,如你提到的信息安全,应该会成为一个点。最终,你们的用户也会收益“安全”所带来的利益。安全,也会随着服务和产品在交付时,体现!
另外,终端安全必须考虑,终端的体验会影响客户的满意度。另一点,现在的手机、平板等几乎能做电脑能够做的事情。
对于你的处境,我建议:
1. 如果母公司等没有安全策略和标准,建议作为子公司,开发一个子公司层面适用的安全策略和标准。具体包括哪些内容需要结合你本地业务,和安全工作的切入点来定制。
2. 有安全要求,必有检查。所以定义相关审计要求。
3. 对于产品本身安全,建议在产品设计之处就能够考虑,把一切在将来可能发生的风险点都挖掘出来。当然要做到这点,会和很多部门沟通,协调。
4. 建立初步信息安全,响应流程。一旦发生事件,如何处理等。
5. 你挂在测试部门,我想更多的关注点也应该在这里。很多时候,组织架构能够带来促进,也能带来制约。关键,你自己怎么看待你这个职位的,你的心有多大,定位也很重要。

简单的写了些,我想有很多我没提及的,欢迎补充。


--------本帖迄今已累计获得57安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 15:55 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
klompe 写道:
从你的描述来看还是工作侧重在怎么加强产品的质量方面的特殊属性-安全。这也是为什么原来挂靠在测试部门下的原因。目前软件产品有SDL,我想终端产品的安全也可以类似考虑建立产品的安全开发生命周期,围绕这个你可以做很多事情,比如安全团队建设、流程建立、产品风险评估、安全评审、安全编码、安全测试、安全推进活动,安全响应等等。
当然这只是我个人认为的,上面还是有他们自己的考虑,或者还有其他更深层次的需求,关键还是跟上面多沟通和揣摩吧,不然即使你认为是对的,管理层不认可也没有用



嗯嗯,谢谢谢谢。的确我可以去参考下SDL,总之有个模型框架以后,做事情就方便多了。

第二点也是,揣测圣意啊。我的ppt做好了,给领导看,再改,再给领导的领导看,再改。在介绍给领导的领导的领导。真是痛苦啊~~~


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 17:14 
离线
初级用户

注册: 2010-04-17 15:23
最近: 2013-10-21 20:27
拥有: 214.00 安全币

奖励: 0 安全币
在线: 219 点
帖子: 26
看了大家的讨论,忽然想到思科的无边界安全网络解决方案,楼主可以关注一下,看看是否有所帮助。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 17:47 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
onlyzzcc 写道:
看了楼主的描述,首先,2年多的工作经验,能够在一个大的甲方公司负责信息安全应该是一个很有能力的人。包括你前面提到的服务安全。每个公司的最终目的均是盈利,靠产品,靠服务,靠信用。当然,服务,是承载公司和客户直接的桥梁,包括信任的建立。所以,加固这个桥梁,比如客户关怀等手段,都是,如你提到的信息安全,应该会成为一个点。最终,你们的用户也会收益“安全”所带来的利益。安全,也会随着服务和产品在交付时,体现!
另外,终端安全必须考虑,终端的体验会影响客户的满意度。另一点,现在的手机、平板等几乎能做电脑能够做的事情。
对于你的处境,我建议:
1. 如果母公司等没有安全策略和标准,建议作为子公司,开发一个子公司层面适用的安全策略和标准。具体包括哪些内容需要结合你本地业务,和安全工作的切入点来定制。
2. 有安全要求,必有检查。所以定义相关审计要求。
3. 对于产品本身安全,建议在产品设计之处就能够考虑,把一切在将来可能发生的风险点都挖掘出来。当然要做到这点,会和很多部门沟通,协调。
4. 建立初步信息安全,响应流程。一旦发生事件,如何处理等。
5. 你挂在测试部门,我想更多的关注点也应该在这里。很多时候,组织架构能够带来促进,也能带来制约。关键,你自己怎么看待你这个职位的,你的心有多大,定位也很重要。

简单的写了些,我想有很多我没提及的,欢迎补充。


谢谢,您的建议很全面。第一点很重要,今天和高层做完汇报以及讨论之后,发现总部目前也没有系统的方案。目前也只能结合情况自己分析了,自己也刚刚进入公司,有点盲人摸象的味道。

主要是第二点,也是团队近期工作的主要任务。不过问题就是,不是所有的产品都是功能丰富,网络接入的,一些产品的硬件方面,底层的检测,至少目前没有技术实力,也不知如何开展。所以啊,技术检测和如何写一份好看的report还是2回事情。唉,只能船到桥头自然直了。

第三点目前来讲就有些远了。毕竟没有一个top-down的支持,各个部门都是各自为政,作为一个新团队很难插手进去。只能做好第二点,慢慢提升影响力了,呵呵。

对于第四点,我也是考虑过的。富有富做,穷有穷做。主要就是对于信息的收集,分析,评估,预警和响应。问题是最后2步,我们预警给谁?响应给谁?归根结底还是牵涉到了业务。新团队,工作开展难啊~~~

最后一点就是所有大公司的通病吧,关系复杂,势力盘根错节,我作为新人,只能独善其身,从做好本职工作开始吧。以后的事情?以后再说,如果没有出成果(其实安全也出不了“成果”),到时候求好心人收留了。

最后还是谢谢回复。这贴终于有人气了!!!


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-18 17:48 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
xiaoliang_2000 写道:
看了大家的讨论,忽然想到思科的无边界安全网络解决方案,楼主可以关注一下,看看是否有所帮助。


好的,谢谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-19 08:26 
离线
超级用户

注册: 2005-02-01 12:56
最近: 2015-09-16 19:05
拥有: 8,005.80 安全币

奖励: 84 安全币
在线: 6414 点
帖子: 340
地址: Beijing
如果俺是领导啊,想法会比较简单:问题在哪儿?定位是否准确?谁来解决?怎么解决?花多少银子?不解决会怎样?

就这个事情,领导肯定是想去年的情况再也不会发生。内部有没有共同认可的,去年事件的报告?那种报告可能会反映出风险点和缺失控制的地方。从那个入手,先把那些已知的窟窿补了。记着,各部门第一反应肯定是,去年这事和我部门的关系不大,其实都是xxxx那部分没做好。可以考虑让各部门提出自己的建议,就针对单一事件。你也先别急着把职责都安自己头上,先探探直接老大的意思,告诉他揽这种活儿的难点在哪儿。

如果俺没猜错公司的话,你们那公司人员的水平还可以的(我现在有俩同事就是从那儿来的),看起来是缺失统一管理,尤其是应急响应,和危机公关。


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-19 14:02 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,666.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
monashqzha45 写道:
首先,我也不知道发在这里,或者这个版块合适不合适,如果有问题,版主见谅。同时,希望大家不要猜测或者说出来相关的背景信息,只是讨论业务与技术,谢谢各位大牛的指导~~~~

大致背景是这样的,本人工作经验有限,刚刚加入一家外资大型企业,旗下有着众多的硬件产品(快速消费类,专业设备),数字资源(正版音像制品,目前尚未在大陆开展),在线服务(有些自己提供,有些通过国内第三方提供服务)等几大类面向消费者的终端业务。因为去年的天灾人祸,公司开始重视信息安全这一块了。因为公司之前只有做过相关的对于内网的一些信息安全工作,并没有针对自己的最终产品以及服务提供相关的保障,所以把我招了进来开展负责大陆地区所有面向终端用户的产品和服务的安全。

于是问题就来了,因为中国公司也不知道该做什么,怎么做,做到怎么样。(题外话,该职位被挂靠在测试部门下面,一是可能去年的事情引起了总部集团的重视,二来该部门可能也希望通过这个新团队来提升自己在中国甚至总部的影响力,所以我才会有这次机会)

经过一周时间的了解和整理。我大致分了几块内容:

技术上的测试评估 前期针对部分产品以及服务,直接找出漏洞,最好能做成exp,或者demo,对各部门进行演示和介绍。一是在开发环节,提高大家的安全意识。二是提升团队影响力,方便日后工作开展。后期慢慢形成一个整体测试模型,针对不同设备或者不同方向进行流水线化的测试,出具评估报告。后期工作就是针对评估模型进行调整和修改

一个简单的应急响应体系 根据中国市场特色,收集整理各类信息安全方面的信息,突发事件例如0day出现,针对于我们某个产品或者服务,则立即告知项目部门进行处理,并给出预警和相应的解决方案之类

对于信息安全圈子的研究 这个就很杂了,技术上的跟进,和国内各种乙方的合作,政府部门打交道(总部很担心盗版问题,也就是数字资源的业务迟迟未在大陆开展)等

目前部门团队包括我有3人,我是负责人,擅长渗透入侵,对于服务这块我能做好。一人有5-6年的各类平台开发经验,刚刚转型到信息安全这块,我打算让他多负责例如安卓系统,应用程序这块的事物。还有一个人是非技术出生,有二外,主要负责和总部和各个事业线的借口工作。初任管理工作,十分不适应,望赐教。




以上就是我暂时能够想出来的几点,以及本人的困惑了。小弟工作才2年多点,见识比较浅薄,也未能接触到国内对终端产品做信息安全的相关人士。对内方面,公司也不知道能做到什么样,之后会有多大力度的支持我工作的开展(目前第一年,3个人的预算)。希望大牛能多多指点,欢迎各类想法,指导,批评。感激不尽!!!


O,my god!
没看懂要干什么,终端产品安?终端产品去定义和范围,我可不可以理解就是单个产品的安全,比如像防火墙,或许你们的产品更像智能手机这类吧。那就从产品的生命周期开始呗,安全开发、测试(按CC标准来测或制定你自己的测试标准)、修复流程、升级管理、产品灭失(产品内部的访问控制、加密处理)等 :mrgreen: ,IPhone都能天天被人搞,所以你们没啥。
应急响应,这个就可大可小,先把范围搞搞清楚。
回复中有很多方法,先堵后补,规划、标准、流程,实践产生经验。
实在不行,找某个四大,和IBM来,说我们有这类项目,让他们做个PPT来看下,先学习一把,找点思路 :P
怎么大家都能猜到背景,表示诧异。
你去才一个星期就做规划,老板看好你。那啥,你把PPT发我看看。 :shock: 有前途的领导。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-20 10:01 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
jerry6 写道:

O,my god!
没看懂要干什么,终端产品安?终端产品去定义和范围,我可不可以理解就是单个产品的安全,比如像防火墙,或许你们的产品更像智能手机这类吧。那就从产品的生命周期开始呗,安全开发、测试(按CC标准来测或制定你自己的测试标准)、修复流程、升级管理、产品灭失(产品内部的访问控制、加密处理)等 :mrgreen: ,IPhone都能天天被人搞,所以你们没啥。
应急响应,这个就可大可小,先把范围搞搞清楚。
回复中有很多方法,先堵后补,规划、标准、流程,实践产生经验。
实在不行,找某个四大,和IBM来,说我们有这类项目,让他们做个PPT来看下,先学习一把,找点思路 :P
怎么大家都能猜到背景,表示诧异。
你去才一个星期就做规划,老板看好你。那啥,你把PPT发我看看。 :shock: 有前途的领导。



产品范围就是只要是中国大陆地区和客户打交道的产品和服务,都可以管。你理解的对的,防火墙这种是安全产品,我这里是电子产品的安全,我们公司出的产品(包括一些服务,数字资源等等)。目前的问题就是,领导(我们部门)什么都想管(提高自己的话语权),但是,别人不会让你管(大公司部门之间,分公司之间,懂得)。因为我们是测试部门,所以目前都是拿手头的测试项目直接进行一些信息安全方面的检测,然后告诉别人,慢慢提升影响力吧。然后再与其他部门开展更多的合作,如果将来有机会的话。

应急响应的确可大可小,目前还没开始呢。我就是想根据中国的一些特色进行信息收集,分析,预警,采取措施这些步骤,主要针对中国市场销售的产品,同时可以针对性的提供report给集团。

找咨询公司?没有这个预算啊,呵呵。不是看好我,是部门都是测试出生,不懂这个啊~~~每个领导意见不统一,木有top-down的支持,撑死middle-down,而且middle就是赌一把,看看能不能做大,哪天也能慢慢变成top了。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-21 22:39 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,384.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
终端安全目前集中在:

准入
身份认证
授权管理(U盘、移动硬盘)
安全审计(打印、文件、刻录等)

目前做主机层面的入侵防御的很少,建议用微点这样的就OK了
产品,因为中国的HIPS真不多
国外的,比如Symantec、比如McAfee都做的不错


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-22 23:14 
离线
中级用户

关注按钮

注册: 2011-11-07 10:31
最近: 2012-08-07 17:20
拥有: 255.00 安全币

奖励: 76 安全币
在线: 1095 点
帖子: 60
monashqzha45 写道:
首先,我也不知道发在这里,或者这个版块合适不合适,如果有问题,版主见谅。同时,希望大家不要猜测或者说出来相关的背景信息,只是讨论业务与技术,谢谢各位大牛的指导~~~~

大致背景是这样的,本人工作经验有限,刚刚加入一家外资大型企业,旗下有着众多的硬件产品(快速消费类,专业设备),数字资源(正版音像制品,目前尚未在大陆开展),在线服务(有些自己提供,有些通过国内第三方提供服务)等几大类面向消费者的终端业务。因为去年的天灾人祸,公司开始重视信息安全这一块了。因为公司之前只有做过相关的对于内网的一些信息安全工作,并没有针对自己的最终产品以及服务提供相关的保障,所以把我招了进来开展负责大陆地区所有面向终端用户的产品和服务的安全。

于是问题就来了,因为中国公司也不知道该做什么,怎么做,做到怎么样。(题外话,该职位被挂靠在测试部门下面,一是可能去年的事情引起了总部集团的重视,二来该部门可能也希望通过这个新团队来提升自己在中国甚至总部的影响力,所以我才会有这次机会)

经过一周时间的了解和整理。我大致分了几块内容:

技术上的测试评估 前期针对部分产品以及服务,直接找出漏洞,最好能做成exp,或者demo,对各部门进行演示和介绍。一是在开发环节,提高大家的安全意识。二是提升团队影响力,方便日后工作开展。后期慢慢形成一个整体测试模型,针对不同设备或者不同方向进行流水线化的测试,出具评估报告。后期工作就是针对评估模型进行调整和修改

一个简单的应急响应体系 根据中国市场特色,收集整理各类信息安全方面的信息,突发事件例如0day出现,针对于我们某个产品或者服务,则立即告知项目部门进行处理,并给出预警和相应的解决方案之类

对于信息安全圈子的研究 这个就很杂了,技术上的跟进,和国内各种乙方的合作,政府部门打交道(总部很担心盗版问题,也就是数字资源的业务迟迟未在大陆开展)等

目前部门团队包括我有3人,我是负责人,擅长渗透入侵,对于服务这块我能做好。一人有5-6年的各类平台开发经验,刚刚转型到信息安全这块,我打算让他多负责例如安卓系统,应用程序这块的事物。还有一个人是非技术出生,有二外,主要负责和总部和各个事业线的借口工作。初任管理工作,十分不适应,望赐教。




以上就是我暂时能够想出来的几点,以及本人的困惑了。小弟工作才2年多点,见识比较浅薄,也未能接触到国内对终端产品做信息安全的相关人士。对内方面,公司也不知道能做到什么样,之后会有多大力度的支持我工作的开展(目前第一年,3个人的预算)。希望大牛能多多指点,欢迎各类想法,指导,批评。感激不尽!!!


其实呢,无非就是一些常规的终端信息安全防护策略。 我倒是有些资源可以供lz参考,如果方便,可加QQ :314215414 或者 E-mail: liu15889935939@163.com


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-23 09:27 
离线
高级用户

注册: 2004-08-03 16:33
最近: 2015-06-25 09:13
拥有: 4,332.10 安全币

奖励: 491 安全币
在线: 8148 点
帖子: 214
网路游侠 写道:
终端安全目前集中在:

准入
身份认证
授权管理(U盘、移动硬盘)
安全审计(打印、文件、刻录等)

目前做主机层面的入侵防御的很少,建议用微点这样的就OK了
产品,因为中国的HIPS真不多
国外的,比如Symantec、比如McAfee都做的不错

明显没有看帖子内容直接回帖了。和我刚看到帖子标题反应一样,不过我还是看了下内容,终端产品安全非终端安全 :D
牛人也会犯了经验主义


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-23 12:38 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,666.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
网路游侠 写道:
终端安全目前集中在:

准入
身份认证
授权管理(U盘、移动硬盘)
安全审计(打印、文件、刻录等)

目前做主机层面的入侵防御的很少,建议用微点这样的就OK了
产品,因为中国的HIPS真不多
国外的,比如Symantec、比如McAfee都做的不错


......这个有点方向性偏差


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-23 12:39 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,666.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
monashqzha45 写道:
jerry6 写道:

O,my god!
没看懂要干什么,终端产品安?终端产品去定义和范围,我可不可以理解就是单个产品的安全,比如像防火墙,或许你们的产品更像智能手机这类吧。那就从产品的生命周期开始呗,安全开发、测试(按CC标准来测或制定你自己的测试标准)、修复流程、升级管理、产品灭失(产品内部的访问控制、加密处理)等 :mrgreen: ,IPhone都能天天被人搞,所以你们没啥。
应急响应,这个就可大可小,先把范围搞搞清楚。
回复中有很多方法,先堵后补,规划、标准、流程,实践产生经验。
实在不行,找某个四大,和IBM来,说我们有这类项目,让他们做个PPT来看下,先学习一把,找点思路 :P
怎么大家都能猜到背景,表示诧异。
你去才一个星期就做规划,老板看好你。那啥,你把PPT发我看看。 :shock: 有前途的领导。



产品范围就是只要是中国大陆地区和客户打交道的产品和服务,都可以管。你理解的对的,防火墙这种是安全产品,我这里是电子产品的安全,我们公司出的产品(包括一些服务,数字资源等等)。目前的问题就是,领导(我们部门)什么都想管(提高自己的话语权),但是,别人不会让你管(大公司部门之间,分公司之间,懂得)。因为我们是测试部门,所以目前都是拿手头的测试项目直接进行一些信息安全方面的检测,然后告诉别人,慢慢提升影响力吧。然后再与其他部门开展更多的合作,如果将来有机会的话。

应急响应的确可大可小,目前还没开始呢。我就是想根据中国的一些特色进行信息收集,分析,预警,采取措施这些步骤,主要针对中国市场销售的产品,同时可以针对性的提供report给集团。

找咨询公司?没有这个预算啊,呵呵。不是看好我,是部门都是测试出生,不懂这个啊~~~每个领导意见不统一,木有top-down的支持,撑死middle-down,而且middle就是赌一把,看看能不能做大,哪天也能慢慢变成top了。


只是找个咨询公司,来讲解一下PPT,不是真的要他们做,讲PPT不花钱。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: [求指导]关于终端产品以及服务的安全保障
帖子发表于 : 2012-04-24 17:27 
离线
高级用户

注册: 2010-03-03 13:07
最近: 2014-02-21 12:20
拥有: 2,932.00 安全币

奖励: 416 安全币
在线: 2568 点
帖子: 206
楼上。。。。这种事我还真不好意思做呢。。。。目前我下面2个人,都不太好意思安排多余的工作给他们…………放不开阿


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 29 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012