不管是直接使用开源技术,还是购买开源技术的商业软件都需要考虑开源技术带来的风险,只不过是规避开源技术风险的责任主体不同。 金融机构在使用或引入开源软件或代码时,除了需要考虑开源或许可证兼容风险、违约或其他法律风险、以及数据安全或隐私风险这些开源软件本身所带来的风险外,还要考虑监管合规风险等行业特定风险。

浅谈敏捷开发模式下银行业金融机构开源软件引入风险及管控举措

本文之所以跳出技术谈战术,一方面是基于客观的攻防形式,另一方面也是考虑到紧缺的安全资源。安全投入不足,缺乏人员、技术和资金,是企业安全的常态化问题。网络安全攻防对抗是相对复杂的系统性问题,守方的牌永远不够打。通过对战术的研究和思考,可以将牌在正确的时机打到正确的地方,有助于将有限资源发挥最大化作用。

浅谈网络攻防中的战术对抗

2018年“十大安全技术”换成了“十大安全项目”,所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角,而且更加强调对客户而言具有很高优先级的技术。也就是说,也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术。如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛,更加客户视角。

Gartner 2018年十大安全项目详解

在今年不同的安全会议中大家都开始宣讲一种之前国内关注不多的模式-零信任架构概念,在全球领域内该概念下实践较为前沿的是Google BeyondCorp项目。我目前所在的团队一直在各细分领域学习并对标Google&Amazon等厂的优秀安全架构方案,并有幸参与、设计公司的零信任架构项目并去实践落地,也会在不涉密的情况下持续分享一些我的拙见。

浅谈BeyondCorp(一)-受管设备与分层访问

在互联网企业移动端业务发展到一定规模后,移动安全方向所输出的解决方案也需要更加贴合到保障公司业务的层面上,而非将自身及团队局限在传统意义的攻防对抗困境中。所以,在将上文所述的移动安全基础组件上线完毕后,我们除了在已有领域的深耕之外,会持续进行一些与业务紧密贴合安全方向的探索,分享从更多角度出发,在更多领域业务安全保障经验。

漫谈互联网公司移动安全体系的探索与实践

在威胁标准首发后笔者写了一篇随笔,吕毅先生给与的积极反馈,同时提醒笔者可以写一下钻石模型,同时提到“网络杀链”,而笔者也早有就“网络杀链”模型发表些个人观点的想法,以此文对吕毅先生表示答谢。同时写在B面(BSides)沙龙在中国举行活动之前,借B面(BSides)之意。

洋葱式信息安全观察:“网络杀链”的B面!

本章还是着重讨论数据防泄漏的体系如何运作,包括建立和运营。同时,概念定义上,“防泄漏”强调机密性的保护,“数据”包括需要保护的电子信息和纸件信息,电子信息包括静态和流动的信息;“数据”不仅包括结构化信息,还包括非结构化信息。

CSO怎么做(8)数据防泄漏的体系应该如何运作?

WEB 3.0时代,web安全已经扩展到了业务安全,“矛”和“盾”的斗争又提升到了新的层次,这也鞭策着我们网络安全从业人员不断创新,从更多的角度和维度来思考,希望有更多新的技术和产品的出现来帮助我们的客户,可以去从容的面对业务安全的威胁。

WEB 3.0时代的应用安全新思考

随着近几年ABC(AI,Big Data,Cloud)技术的迅猛发展,终端安全的受众范围又发生了一定的变化,从单一的计算机终端分化成办公环境的终端领域,服务器终端以及新一代的移动终端等三小类。本文将重点结合实践经验,介绍企业内网中计算机终端的安全运营实践。

欧阳昕:终端安全运营的实践和思考

GDPR的严苛性不应被过度放大,只要被正确解读和合理实施,组织和个人都可以从GDPR措施中受益,而不是互相折损。通过赋予客户权力来促使组织和客户之间信任和透明度提升是一件好事。同时如果GDPR能作为变革的代理方,它能带来诸如精准用户定位,更优质的客户体验,提升业务效率等好处,增进消费者和组织之间的信任和推动组织业务创新,GDPR将成为重新建立良好客户关系的助推剂。

GDPR是否会成为悬在组织头顶的达摩克利斯之剑?

欺诈特征检测是互联网反欺诈体系的眼睛和雷达,其效率和效果,直接的影响了后续欺诈风险处置和指标等其他反欺诈工作的选择。由于欺诈场景和环境的复杂性,欺诈特征检测必然存在误报和漏报,准确率和覆盖率是衡量欺诈特征检测工作质量的2个重要指标。

互联网反欺诈体系建设系列 ( IV )——守其所攻