本章还是着重讨论数据防泄漏的体系如何运作,包括建立和运营。同时,概念定义上,“防泄漏”强调机密性的保护,“数据”包括需要保护的电子信息和纸件信息,电子信息包括静态和流动的信息;“数据”不仅包括结构化信息,还包括非结构化信息。

CSO怎么做(8)数据防泄漏的体系应该如何运作?

WEB 3.0时代,web安全已经扩展到了业务安全,“矛”和“盾”的斗争又提升到了新的层次,这也鞭策着我们网络安全从业人员不断创新,从更多的角度和维度来思考,希望有更多新的技术和产品的出现来帮助我们的客户,可以去从容的面对业务安全的威胁。

WEB 3.0时代的应用安全新思考

随着近几年ABC(AI,Big Data,Cloud)技术的迅猛发展,终端安全的受众范围又发生了一定的变化,从单一的计算机终端分化成办公环境的终端领域,服务器终端以及新一代的移动终端等三小类。本文将重点结合实践经验,介绍企业内网中计算机终端的安全运营实践。

欧阳昕:终端安全运营的实践和思考

GDPR的严苛性不应被过度放大,只要被正确解读和合理实施,组织和个人都可以从GDPR措施中受益,而不是互相折损。通过赋予客户权力来促使组织和客户之间信任和透明度提升是一件好事。同时如果GDPR能作为变革的代理方,它能带来诸如精准用户定位,更优质的客户体验,提升业务效率等好处,增进消费者和组织之间的信任和推动组织业务创新,GDPR将成为重新建立良好客户关系的助推剂。

GDPR是否会成为悬在组织头顶的达摩克利斯之剑?

欺诈特征检测是互联网反欺诈体系的眼睛和雷达,其效率和效果,直接的影响了后续欺诈风险处置和指标等其他反欺诈工作的选择。由于欺诈场景和环境的复杂性,欺诈特征检测必然存在误报和漏报,准确率和覆盖率是衡量欺诈特征检测工作质量的2个重要指标。

互联网反欺诈体系建设系列 ( IV )——守其所攻

很高兴看到前几天360主办的互联网安全大会(ISC2018)有单独的分论坛关注“零信任”,也有点吃惊,毕竟几个月前认真谈这个的还挺少。不过,我觉得只从“身份”的角度谈“零信任”过于局限,甚至可以说“零信任”相关理念和实现框架的核心恰恰在于超越“身份”。

“零信任”的产品化路径(一)

本来这一篇的标题是“如何满足信息安全合规要求”,但是2018年发生的一些事情让我重新审视这个话题,并且根据与一些同行的交流发现,很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰,因此我修改了本篇的话题内容,并提前来聊聊这个内容。

CSO怎么做(7)信息安全、大安全与合规

ABC(AI,Big Data,Cloud)技术发展迅猛,信息安全意识不断提高,安全已成为数据中心的标配。从一个人的安全,到几千人的团队,存在皆合理。但伴随网安法、GDPR等隐私和合规要求和传统业务纷纷上云,再守着一堆安全盒子做安全运维已无法满足能力和技术持续发展和提升的要求。此次借鉴银行业数据中心信息安全团队建设及能力输出理念,参照PDCA、ASA等模型,探讨部委及大型央企中,信息安全团队从运维到运营进化路径。

信息安全从运维向运营的进化

攻防对抗是企业安全治理工作中的常态。一方面,安全团队在实际攻击场景中不断提升技术水平和对抗能力;另一方面,红蓝对抗、攻防演练可以有效检验安全工作成果,验证安全机制有效性,找出差距。本文根据近期经历的攻防演练情况,梳理技术要点,总结经验教训,作为未来网络安全重要保障工作的参考。

建立企业安全应急响应“急救箱”

从CSO的角度看,信息安全工作是一项管理工作还是技术工作?当然是管理工作,即便CSO的工作量主要投入在技术方向上,它也还是一项管理工作。为什么,因为技术工作也是需要基于框架、架构和方法论,这些框架、架构和方法论能够保障信息安全工作按照正确的方向前进、并提供企业所需要的价值,这些框架、架构和方法论在我看来就是管理体系。因此,CSO的工作范围之内必须要有信息安全管理体系。

CSO怎么做(6)如何运行企业信息安全管理体系?

品牌属于企业资产的一种,在数字化时代,也有了全新的诠释。一方面,数字时代的品牌传播别具一格,很多企业运用数字化的力量重新塑造了企业形象;但另一方面,数据泄露、网络诈骗、网络钓鱼、甚至是网络勒索和胁迫等事件的频频发生,不仅给各企业带来直接经济损失,也同样给企业品牌和商业形象带来了极大的损害。

数字品牌保护,一种业务安全的主动防御实践

信息安全的战场,没有硝烟、没有时间尽头、没有边界。威胁情报就是战场的“前哨站”,有趣的是,随着威胁情报管理能力的建设,企业的风险管理能力也能获得进一步提高,威胁情报可以成为信息安全风险管理的有机组成部分,使信息安全风险管理获得更加动态、更细颗粒度的管理能力。

洋葱式信息安全观察-初识威胁情报

随着当今网络攻击的多样化、复杂化、专业化,传统方法越来越难检测并阻止这些新式攻击。越来越多的企业认识到威胁情报的价值,威胁情报也从概念逐渐走入企业的日常运营。很多企业开始采购专业的情报,但并不是所有企业都了解如何利用好这些威胁情报,让它们发挥最大的作用。

威胁情报的艺术