网安星播客|第三周赛况:算法,弱口令,数字化转型,数据安全
随着网络安全成为国家战略,《网络安全法》、《数据安全法》等法规相继出台,以及企业数字化转型的深入发展,中国网络安全无论在产业端还是市场面,都正在发生着巨变。网络安全话题众所瞩目,网络安全概念层出不穷,网络安全产业百花齐放,网络安全发展风起云涌,这其中,长期奋战在企业一线的广大的网安业者,更是见证者、参与者和生力军,在中国共产党成立100年之际,移动互联网系统与应用安全国家工程实验室联合安在新媒体,举办“网安星播客”直播大赛活动,以“汇聚众智,共创安全”的定位,探讨前沿安全问题,展现优秀网络安全从业人员的风采。
每周直播结束,我们都将对上周的直播进行一次回顾和总结,同时播报当前参赛者的部分关键数据。每次直播期间,我们都会从提问当中抽取若干幸运者,获得单场活动奖励,奖品包括诸子云知识星球免费券、《2021中国网络安全产品用户调查报告》纸质版,以及各类数码潮品。
同时,本次大赛建立“打卡群”,鼓励持续学习和分享,对于收看所有直播场次或参与突出者,凭打卡记录,可获单场直播抽奖同等奖励,以及,最终大奖——大疆无人机的抽奖机会。
(本期文章所有内容皆可在千聊“安在讲堂”直播间回看,全部免费。)
01
马一烈
网络安全即算法
截至统计时:
学习人次 576
评论数量 21
作为技术和合规的载体,网络安全对全行业数字化转型举足轻重,网络安全从业者在企业市场战略上也越来越成为主要的智力支持。安全不仅是工具和手段,更重要的是,它越来越成为企业核心能力的算法。人、数据和算法构成了我们下一代企业管理的核心能力,因此通过本主题,分享一下安全管理本身的模型化研究。
直播提问精选:
Q:安全即算法,最终算法是怎么落地的?能不能显性化阐述一下?
A:首先要更深入具体地了解企业的文化模式和沟通模式,因为这样可以折射出你的沟通成本。这当中还形成了时间的复杂度,能够决定在算法当中的有效性。所以我的建议就是,先从企业文化入手,多去了解人与人之间、部门与部门之间的关系,折射自己所处的位置以及和他人之间的关系,就能够了解应该如何沟通,怎样打通数据链条,合理告诉别人你的价值,获取他人的理解和支持。
其次要看企业数据管理能力的成熟度,包括资产管理是不是足够清晰,数据如何分类分级,因为数据治理本身是一个非常基础的东西,所以我们需要了解清楚。
02
吴雪山
等保安全——弱口令安全治理
截至统计时:
学习人次 533
评论数量 22
随着网络安全成为国家战略,《网络安全法》《数据安全法》等法规相继出台,以及企业数字化转型的深入发展,中国网络安全无论在产业端还是市场面,都在发生着巨变。据统计,HVV行动有1/4来自于弱口令的攻击,本次主题围绕如何实现一套以身份为中心的接入安全框架及完整方法,阐述体系化解决弱口令问题的关键技术和实现路径。
直播提问精选:
Q:设备密码复杂度要求,如何做检测检查,管理监督?
A:密码复杂度在很多的平台都有相应的策略可以设置,但这当中有一个前提,就是接入的应用需要是统一的身份源。针对这个问题,我们目前有几个建议:
第一,使用具有密码复杂度设置能力的产品,比如AD或统一身份管理系统;第二,把这些应用都放到单点登录系统上做登录认证,在上面设置密码复杂度策略。但是,密码复杂度并不能完全解决密码变更的问题,所以我们还可以从密码本身入手,通过设置动态密码或多因素认证的方式,彻底解决密码复杂度带来的弱密码等问题,也能有更好的用户体验。
03
刘志诚
数字化转型安全创新与实践
截至统计时:
学习人次 456
评论数量 13
数字化是目前比较热点的话题,数字化转型到底该转什么,数字化的本质含义是什么,数字化对安全会有什么样的影响,这些影响从需求和实践层面会带来哪些创新的点。本次分享分别从什么是数字化转型、网络信息安全到网络空间安全、数字化安全分析、技术创新与发展、解决方案、落地实践、预测与展望这7个方面,与大家展开讨论。
直播提问精选:
Q:现在单位安全的边界怎么界定比较好?
A:安全的边界在每个公司的实际情况并不一定相同。比如说有的公司法务部门来负责合规,还有负责监管关系维护的部门也会有相应的合规需求,我们一般把他们当成合规的需求输入来看待。那么我们信息安全部门就可以成为技术解决方案,做信息安全能力建设和输出的工作,具体的策略和措施的落实,还是需要具体的业务部门来落地,在这个环节,信息安全其实是审计和检查的职责。
04
李广林
数据安全建设探索
截至统计时:
学习人次 263
评论数量 15
常态化疫情防控的现时之下,社会和行业都面临着诸多的安全挑战,而数据安全越来越成为被关注的焦点。数据安全法的颁布、个人信息保护法的出炉、接踵而至的令人震惊的数据泄露事件、监管层面对于数据安全愈发的重视...一切都使得数据安全成为企业经营绕不开的话题。如何理解数据安全,如何构建数据安全治理全景是迫切需要厘清的,基于实践经验的分析与总结,本主题就如何开展有效的数据分级,如何对数据的使用进行合适的监测和保护,与大家一起来进行深入的探讨。
直播提问精选:
Q:能不能具体说一说向供应商提供的数据怎么控制它的安全?
A:我一直有一个观点是安全分为管理和技术两个方面。所以向供应商提供数据的时候,合同是非常重要的。需要做协议的签订,提具体要求,有约束性的文件,规定好数据处理的目的、方式、采取的安全方式、配合数据出境活动的义务调查以及数据接收方的权力限制。
从技术层面来说,对数据接收方的数据安全保障能力需要进行一定的评估,包括对数据使用的合规性控制措施,对数据安全事件的预防检测及响应机制,还有一点非常重要,就是审计机制,以及日志记录和保存机制,起码要保障能够对数据泄露进行溯源。
同时我们还可以要求数据接收方回传数据使用日志,另外对他们进行风险评估,看他们漏洞方面的工作,还要在数据传输的措施上做一些防护。再就是说数据流转过程,尤其是从收集用户信息到使用到完成的全数据生命周期,要明细好大概是什么样的。最后就是提供反爬风控的措施,以免数据被通过黑产的方式泄露出去。
在上周直播中,我们已抽出数位幸运观众,现在此公布,祝贺中奖的朋友!
yjj
yhq
孙峻
叶朦胧
推荐阅读
网安星播客|第一周赛况:人工智能与APT,5G云化智能,零信任建设落地,个人信息保护
网安星播客|第二周赛况:对抗国家级APT,密码+零信任,蓝队视角安全产品,个人信息保护
齐心抗疫 与你同在
戳“阅读原文”一起来选出你最中意的人气选手吧!