Enviar pesquisa
Carregar
1.去哪儿安全-从 0 到 1
•
1 gostou
•
556 visualizações
H
Hsiao Tim
Seguir
.
Leia menos
Leia mais
Arte e fotografia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 19
Baixar agora
Baixar para ler offline
Recomendados
面對隕石的 IMPACT 衝擊領導力
面對隕石的 IMPACT 衝擊領導力
Yves Lin
敏捷式組織架構
敏捷式組織架構
Yves Lin
2.3 g:4g usim 卡的安全性分析
2.3 g:4g usim 卡的安全性分析
Hsiao Tim
7.互联网安全人才发展现状
7.互联网安全人才发展现状
Hsiao Tim
1.手机号背后的灰色地带
1.手机号背后的灰色地带
Hsiao Tim
Xmpp
Xmpp
Hsiao Tim
2.从案件看国内 d do s 的最新方式
2.从案件看国内 d do s 的最新方式
Hsiao Tim
0.struts 2 事件两周年启示+乌云社区颁奖
0.struts 2 事件两周年启示+乌云社区颁奖
Hsiao Tim
Recomendados
面對隕石的 IMPACT 衝擊領導力
面對隕石的 IMPACT 衝擊領導力
Yves Lin
敏捷式組織架構
敏捷式組織架構
Yves Lin
2.3 g:4g usim 卡的安全性分析
2.3 g:4g usim 卡的安全性分析
Hsiao Tim
7.互联网安全人才发展现状
7.互联网安全人才发展现状
Hsiao Tim
1.手机号背后的灰色地带
1.手机号背后的灰色地带
Hsiao Tim
Xmpp
Xmpp
Hsiao Tim
2.从案件看国内 d do s 的最新方式
2.从案件看国内 d do s 的最新方式
Hsiao Tim
0.struts 2 事件两周年启示+乌云社区颁奖
0.struts 2 事件两周年启示+乌云社区颁奖
Hsiao Tim
中国外包 开放课堂_services outsourcing 2 chinese
中国外包 开放课堂_services outsourcing 2 chinese
gadylee
2011 台湾地区知识管理实践模式 陈永隆博士
2011 台湾地区知识管理实践模式 陈永隆博士
Yeong-Long Chen
第17屆新創事業獎說明會_緯育分享
第17屆新創事業獎說明會_緯育分享
Mix Taiwan
学习革命:E-Learning完全攻略(学习教练 肖刚)
学习革命:E-Learning完全攻略(学习教练 肖刚)
知行堂(zxt123.com)
網路行銷教案-壹、基本概念篇
網路行銷教案-壹、基本概念篇
p_yang
創業趨勢與準備-創業入門班-詹翔霖教授-台南
創業趨勢與準備-創業入門班-詹翔霖教授-台南
文化大學
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
文化大學
職能分析.pptx
職能分析.pptx
ottohuang5
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
KuroHuang
咨询服务整体解决方案(知行堂)【zxt123.com】
咨询服务整体解决方案(知行堂)【zxt123.com】
知行堂(zxt123.com)
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
Galaxy Software Services
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
文化大學
議題一:資安宣導與推廣
議題一:資安宣導與推廣
Nicolas su
101.06.30 創業管理-空大-詹翔霖教授
101.06.30 創業管理-空大-詹翔霖教授
文化大學
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
Ivan Chiou
中等创业公司后端技术选型
中等创业公司后端技术选型
wang hongjiang
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
張大明 Ta-Ming Chang
Michelle & Adam
Michelle & Adam
Kanban Conferences
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
張大明 Ta-Ming Chang
7.唯品会安全建设与风控杂谈
7.唯品会安全建设与风控杂谈
Hsiao Tim
The truth meter
The truth meter
Hsiao Tim
X realtime xmp-ptut-pdf
X realtime xmp-ptut-pdf
Hsiao Tim
Mais conteúdo relacionado
Semelhante a 1.去哪儿安全-从 0 到 1
中国外包 开放课堂_services outsourcing 2 chinese
中国外包 开放课堂_services outsourcing 2 chinese
gadylee
2011 台湾地区知识管理实践模式 陈永隆博士
2011 台湾地区知识管理实践模式 陈永隆博士
Yeong-Long Chen
第17屆新創事業獎說明會_緯育分享
第17屆新創事業獎說明會_緯育分享
Mix Taiwan
学习革命:E-Learning完全攻略(学习教练 肖刚)
学习革命:E-Learning完全攻略(学习教练 肖刚)
知行堂(zxt123.com)
網路行銷教案-壹、基本概念篇
網路行銷教案-壹、基本概念篇
p_yang
創業趨勢與準備-創業入門班-詹翔霖教授-台南
創業趨勢與準備-創業入門班-詹翔霖教授-台南
文化大學
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
文化大學
職能分析.pptx
職能分析.pptx
ottohuang5
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
KuroHuang
咨询服务整体解决方案(知行堂)【zxt123.com】
咨询服务整体解决方案(知行堂)【zxt123.com】
知行堂(zxt123.com)
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
Galaxy Software Services
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
文化大學
議題一:資安宣導與推廣
議題一:資安宣導與推廣
Nicolas su
101.06.30 創業管理-空大-詹翔霖教授
101.06.30 創業管理-空大-詹翔霖教授
文化大學
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
Ivan Chiou
中等创业公司后端技术选型
中等创业公司后端技术选型
wang hongjiang
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
張大明 Ta-Ming Chang
Michelle & Adam
Michelle & Adam
Kanban Conferences
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
張大明 Ta-Ming Chang
7.唯品会安全建设与风控杂谈
7.唯品会安全建设与风控杂谈
Hsiao Tim
Semelhante a 1.去哪儿安全-从 0 到 1
(20)
中国外包 开放课堂_services outsourcing 2 chinese
中国外包 开放课堂_services outsourcing 2 chinese
2011 台湾地区知识管理实践模式 陈永隆博士
2011 台湾地区知识管理实践模式 陈永隆博士
第17屆新創事業獎說明會_緯育分享
第17屆新創事業獎說明會_緯育分享
学习革命:E-Learning完全攻略(学习教练 肖刚)
学习革命:E-Learning完全攻略(学习教练 肖刚)
網路行銷教案-壹、基本概念篇
網路行銷教案-壹、基本概念篇
創業趨勢與準備-創業入門班-詹翔霖教授-台南
創業趨勢與準備-創業入門班-詹翔霖教授-台南
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
1創業趨勢與準備-創業入門班-詹翔霖教授-台南
職能分析.pptx
職能分析.pptx
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
CyberSec2022_從零開始的資安治理學習之路_Public.pdf
咨询服务整体解决方案(知行堂)【zxt123.com】
咨询服务整体解决方案(知行堂)【zxt123.com】
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
101.09.25 創業趨勢與準備-因應貿易自由化-創業入門班-詹翔霖教授
議題一:資安宣導與推廣
議題一:資安宣導與推廣
101.06.30 創業管理-空大-詹翔霖教授
101.06.30 創業管理-空大-詹翔霖教授
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
20231028 清大GDSC演講-何謂敏捷與PAIA如何透過敏捷組織企業與學生共融的開發團隊.pdf
中等创业公司后端技术选型
中等创业公司后端技术选型
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
歐摩格AMG學習小組共識圈:敏捷法、目標趨進、角色人設〈先導手冊 First Guide〉—20220706
Michelle & Adam
Michelle & Adam
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
亞太數位創業拉力營-創業智庫召集說明與介紹 2070715
7.唯品会安全建设与风控杂谈
7.唯品会安全建设与风控杂谈
Mais de Hsiao Tim
The truth meter
The truth meter
Hsiao Tim
X realtime xmp-ptut-pdf
X realtime xmp-ptut-pdf
Hsiao Tim
Js in one pic
Js in one pic
Hsiao Tim
6.ctf经验分享
6.ctf经验分享
Hsiao Tim
4.解析 p2 p 金融安全
4.解析 p2 p 金融安全
Hsiao Tim
5.云安全现场演示
5.云安全现场演示
Hsiao Tim
5.多角度对抗 waf 的思路与实例
5.多角度对抗 waf 的思路与实例
Hsiao Tim
4.由 pc 端安全问题引发的重重隐患
4.由 pc 端安全问题引发的重重隐患
Hsiao Tim
3.无人飞行器安全性分析
3.无人飞行器安全性分析
Hsiao Tim
9.“企业应急响应与反渗透”之真实案例分析
9.“企业应急响应与反渗透”之真实案例分析
Hsiao Tim
8.如何从外围进入各大公司内网
8.如何从外围进入各大公司内网
Hsiao Tim
6.web 安全架构浅谈
6.web 安全架构浅谈
Hsiao Tim
3.android 应用程序通用自动脱壳方法研究
3.android 应用程序通用自动脱壳方法研究
Hsiao Tim
社群網站資料探勘技術
社群網站資料探勘技術
Hsiao Tim
Mais de Hsiao Tim
(14)
The truth meter
The truth meter
X realtime xmp-ptut-pdf
X realtime xmp-ptut-pdf
Js in one pic
Js in one pic
6.ctf经验分享
6.ctf经验分享
4.解析 p2 p 金融安全
4.解析 p2 p 金融安全
5.云安全现场演示
5.云安全现场演示
5.多角度对抗 waf 的思路与实例
5.多角度对抗 waf 的思路与实例
4.由 pc 端安全问题引发的重重隐患
4.由 pc 端安全问题引发的重重隐患
3.无人飞行器安全性分析
3.无人飞行器安全性分析
9.“企业应急响应与反渗透”之真实案例分析
9.“企业应急响应与反渗透”之真实案例分析
8.如何从外围进入各大公司内网
8.如何从外围进入各大公司内网
6.web 安全架构浅谈
6.web 安全架构浅谈
3.android 应用程序通用自动脱壳方法研究
3.android 应用程序通用自动脱壳方法研究
社群網站資料探勘技術
社群網站資料探勘技術
1.去哪儿安全-从 0 到 1
1.
Qunar安全:从0到1 去哪⼉儿⺴⽹网安全组 郭添森 2015/07
2.
关于我 • 2001.05 –
2011.05 艺⻰龙⺴⽹网,OPS • 2011.05 – ⾄至今 去哪⼉儿⺴⽹网,安全组 • 联系⽅方式 – 微信:eyasguo
3.
⺫⽬目录 • ESG信息安全成熟度模型 • 第⼀一阶段 •
第⼆二阶段 • 第三阶段 • 如何建⽴立安全团队威信 • 业务和安全如何平衡 • 未来
4.
Enterprise Strategy Group 信息安全成熟度模型
5.
如何建⽴立安全威信 • 领导⼒力来源:专业技能、⼈人格魅⼒力、职权 • 专业技能 –
专业、靠谱的安全解决⽅方案 • ⼈人格魅⼒力 – 服务部⻔门,替对⽅方考虑,权衡ROI等 • 职权 – 组织架构 – 插⼊入关键流程 – 奖惩
6.
第⼀一阶段 • 时间范围 – 第1年 •
环境 – ⼈人员、设备、业务等 • 主要⽅方向 – 组建团队 – 熟悉环境 – 灭⽕火 – 设⽴立基础的制度流程、技术标准 – 解决⺴⽹网络层⾯面的问题
7.
⺴⽹网络 • 问题 – 办公⺴⽹网:未隔离 –
⽣生产⺴⽹网:⽆无ACL – VPN:⽤用户名/密码认证 • ⽅方案 – 办公⺴⽹网 • 做VLAN隔离:只出不进 – ⽣生产⺴⽹网 • 设置ACL:只开http/https端⼝口 • Web服务统⼀一由nginx做反向代理 • Nginx配置⾛走变更流程 – VPN • 双因素认证
8.
第⼆二阶段 • 时间范围 – 第2〜~3年 •
环境 – ⼈人员、设备、业务等 • 主要⽅方向 – 完善制度流程、技术标准 – 合规:SOX404、PCI DSS – 建⽴立⾃自动化系统、确保安全规划能落地执⾏行 – 主要解决操作系统、数据库、系统应⽤用、WEB应⽤用层 ⾯面的问题
9.
操作系统 • 问题 – ⽤用户名/密码认证 –
弱⼝口令 – 离职⼈人员帐号 – 通⽤用⽤用户名/密码 • ⽅方案 – 双因素认证 – tcp wrapper – 公钥/私钥认证 – 定期清理
10.
数据库 • 问题 – 空⼝口令/弱⼝口令:
mysql, pg,mongod – Trust: pg • ⽅方案 – 检测配置⽂文件 – Hash碰撞
11.
系统应⽤用 • 问题 – 有哪些软件?版本?配置?漏洞? •
⽅方案 – 收集软件版本、配置等信息 – 漏洞检测,告警邮件
12.
常⻅见系统漏洞 • Web server –
默认管理后台:tomcat, jboss等 – 启动帐号:nobody – ⺫⽬目录权限:root,755 – 解析漏洞:nginx fastcgi, apache httpd等 – Auto index – 压缩⽂文件 • Spring/struts • Jenkins/es等命令执⾏行 • rsyncd • Redis • ……
13.
WEB应⽤用 • 问题 – 鉴权:密码?复杂度?定期更改?离职员⼯工? –
OWASP TOP 10 • ⽅方案 – QSSO:集中管理,双因素认证 – QWAF:静态、动态 – 制定《安全标准》 – 内部测试、众测
14.
第三阶段 • 时间范围 – 第4年+ •
环境 – ⼈人员、设备、业务等 • 主要⽅方向 – 数据安全 – 业务安全
15.
数据安全 • 问题 – ⽤用户隐私、交易详情、产品技术⽂文档、源码等数据如何 有效保护 •
⽅方案 – 制定标准 – PCI DSS(⽀支付卡⾏行业数据安全标准)认证 – 数据加密、清洗、打码 – ⾃自动抽样 – 授权 – ⼈人⼯工巡查github等渠道,处罚? • 处罚⽅方式:通报批评?罚⾦金?降级?开除? • 处罚对象:当事⼈人?直接上级?
16.
业务安全 • 问题 – 帐号安全:垃圾注册?撞库? –
反欺诈:⽤用户/商户作弊 • ⽅方案 – 帐号安全 • 统⼀一⼊入⼝口,收缩防线 • 动静结合,多层防御 – 反欺诈 • 异常⾏行为分析
17.
业务和安全如何平衡 • 安全的使命 – 消除⻛风险?控制⻛风险? •
基础架构:OPS – OPS核⼼心职责:安全稳定⾼高效 – 合作共赢 • 业务部⻔门:开发/QA/产品 – 产品流程:需求-开发-测试-上线-运营 – 插⼊入时机和⽅方式 • 过早优化?过度优化? – 冲突解决办法:妥协?升级?
18.
未来 • 挑战? • 机遇?
19.
Q&A • 谢谢
Baixar agora