weblily 10:50:03
安全 总监 啥本事
F 10:51:52
安全范围内的事全他管
weblily 10:52:10
恩
weblily 10:52:22
F,你们公司做安全外包吗
F 10:54:04
简单点说,给你个新公司,从公司选址开始,
公司选址,防火防雷防潮防静电防磁处理,IT系统建设安全设置,程序开发安全管理,应用系统安全管理,操作安全,人员管理安全,业务持续性,灾备,网络环境安全,
F 10:54:13
做啊,安全服务啊
weblily 10:54:38
防雷??
weblily 10:54:40
靠
weblily 10:55:06
能跟哥聊聊IT建设的安全设置吗
F 10:56:54
你让他做个名词解释就好了,给你个简单点的列表
ISO27001,子版本多少,啥内容
Cobit干啥的
ITTL干啥的
IATF干啥的
SOC是啥
IPS,IDS,UTM是啥子
国内的安全厂商有哪些
国外的安全厂商有哪些
加密怎么区分,怎么处理
人员安全怎么管理,处理
如何保证操作性的安全,
怎么去做审计,审计什么内容
F 10:56:59
东西多了
F 10:57:05
大叔要聊啥子
weblily 10:57:07
简单的说说
weblily 10:57:20
一个IT安全建设,,,那几部?
F 10:57:26
我换个姿势,趴着太难受了
weblily 10:57:27
我想学习一下啊
F 10:57:41
大概说下,可能有漏了,嘎嘎
weblily 10:57:47
恩
weblily 10:57:49
说吧
F 10:59:05
1 选址,指机房的,办公环境一般不管
选址要求交通便利,靠近救火站,公安局啊等,但要远离人多的地方,而且周围不能有太明显的标志,建筑啥的
weblily 10:59:37
weblily 10:59:52
你这个是针对啥公司的?
F 11:00:27
2 是机房建设
国家机房建设是有标准的,可以去看,一般好点的机房,防火防雷,防磁,防潮,防偷盗,啥都要有,如果有需要还要有防磁空间,TEMPEST等
F 11:00:40
你要聊哪块嘛,详细点,不然太泛了
weblily 11:00:43
直接说IT安全级社
weblily 11:00:47
IT
weblily 11:01:01
IT系统建设安全设置
F 11:01:13
这些也是
F 11:01:16
哈哈
weblily 11:01:41
还有呢
F 11:01:51
那主要就是网络和通信安全,操作安全,应用安全,相关IT人员安全
F 11:01:58
不提灾备了
weblily 11:01:59
问个我想知道的吧
F 11:02:08
说
F 11:02:11
想知道啥
weblily 11:02:13
比如多台服务器的 用户管理
weblily 11:02:23
你们有啥 好方法
F 11:02:55
我给你说下某个大型银行对帐户管理是怎么操作的吧,大概说下
weblily 11:03:02
恩
weblily 11:03:33
ROOT密码,登录信息,权限管理,日志过滤,问题通知
weblily 11:03:39
等等,我想了解的
weblily 11:04:10
还有他们的网站,的网络安全的架构,比如防火墙几层
weblily 11:04:18
基本策略
weblily 11:04:52
公司要聊安全策略。。。 我想跟你学习一下
weblily 11:05:22
最好把你们的文档,机密的。。。发给我一份。。 某银行的案例指导分析啥的。。。
F 11:08:36
1. 所有的用户申请,变更,删除等都需要经过OA系统,且建立一个用户数据库,所有机器上的用户都必须在上面有登记,如果没有,由系统管理员进行删除等处理
2. 系统内的角色大概分四种,系统管理员,安全管理员,应用管理员(包含数据库等),个人实名帐户,使用role进行控制
3. 定期审计,不止是登录信息,包含网络连接信息等
4. 特权用户管理,一般情况下是不允许使用特权用户的,特权用户比如root应该有个备份用户,平时密码是严格管理的(密码信封保存在保险箱中),定期更换,但备份的特权用户从不改动。需要root密码需要将所有要操作的流程列印出来,审核完成之后才能操作,并严格审计root的操作行为
5. 职责分离,职位轮转,系统不能只有一个人去管理,多个人轮转管理
F 11:08:50
。。。你们的安全策略不是这一层的
F 11:10:50
防火墙几层是根据需要来的
比如说你们的财务数据库,首先肯定是网段隔离,防火墙使用白名单的方式进行限制。
再就是根据需要对数据流过来时,根据应用来设置防火墙.
比如说数据库--数据库审计系统--应用防火墙--网络防火墙--
F 11:12:02
案例分析啥的就不要想了,安全从业人员的基本道德之一就是保密,
F 11:13:01
聊下网站整个交易的安全吧,估计你关心这个
weblily 11:13:31
F,你说的这些我也算了解,能说一下细节吗
weblily 11:13:40
比如 3. 定期审计,不止是登录信息,包含网络连接信息等
weblily 11:13:44
如何审计?
F 11:14:03
....么子系统.有第三方审计的玩意
weblily 11:14:16
第三方审计??
weblily 11:14:28
现成的东西?
F 11:14:28
第三方的程序做审计功能
F 11:14:34
要卖钱的
F 11:14:52
数据库也有审计产品的,也要卖钱的
weblily 11:15:05
比说: 你提前发现一个LINUX漏洞,如果你负责安全审计的服务器200台。。。你们怎么给打的patch
weblily 11:15:21
你就不能开源一下,总卖钱
F 11:15:39
不是我开源,我没有产品,我只知道有这种东西
F 11:16:25
不清楚你们怎么管理的,一般情况下没啥好办法,只能去一台一台弄
F 11:16:35
事实上这种是完全不必要的
F 11:17:19
安全不是漏洞就可以搞定的,一个风险存在,不是只有一种解决办法的
F 11:18:57
比如说你的说的200台linux,有个漏洞,
1. 全部打补丁,操作估计只能一台一台去处理,费力不讨好,还容易出事故
2. 在他们前面加个安全设备,断开外界不安全的因素,比如堡垒机,防火墙,IPS,啥的
F 11:19:55
如果你一定要去修补的话,除非你开个yum源点,使用类似wsus功能的去自动升级
F 11:21:31
大叔,建议你往高处点想
F 11:22:08
就IT层面来说,
普通员工,主管,经理,CTO,CIO
F 11:22:50
技术到顶还是要转业务,你的职业进化最终1是老板,2是CTO,再上去是CIO
c_D 11:23:09
域
F 11:23:32
所以你说的公司安全策略,其实是CIO去考虑的事,而不是procedure
weblily 11:23:37
呵呵
c_D 11:23:41
用 域 来管理好多服务器的漏洞统一更新,系不?
weblily 11:24:17
行,多谢 F
weblily 11:24:20
我要上火车了
F 11:24:24
.....
F 11:24:28
辛苦的娃
c_D 11:24:31
F 这些可以发到我blog上吗
F 11:24:44
,,,,不加名字就可以,纯文字可以
c_D 11:24:59
比如这样
c_D 11:25:04
F 1:24:44
,,,,不加名字就可以,纯文字可以
c_D 11:25:13
F 11:25:29
不要了,直接A,B就好了
F 11:26:06
大叔,你理解下policy,stardard,baseline,guideline,procedure,对你去公司扯淡有好处
weblily
恩,我就是想怎么说呢
weblily 11:26:29
不知道从何下手
weblily 11:27:06
我想老板会直观的涉及到一些问题,就是账户管理,权限范围,,,这个我倒是可以搞定。。。
F 11:27:14
policy,一般是很大,公司的主要安全方向,设置岗位啊,风险归置啊啥的
weblily 11:27:34
对各个方面的policy呗
F 11:27:39
你要往 上一层去说,去体现你的价值
F 11:28:49
那往上跳一点就是从整个应用层面去看,从整个网络层面去看
weblily 11:29:44
现在我们也有了F5,CISCO ASA
weblily 11:29:53
VLAN分段,ACL控制
F 11:30:04
等你稍微闲一点,你去看下GB/T 22238也就是等级保护基本要求内容,下个报告模板,去看下
F 11:30:40
你现在说的这些安全设备也好,ACL也好,其实是最底层的procedure里的内容
F 11:30:46
是具体怎么去做
weblily 11:30:49
恩
weblily 11:31:05
还有一些是脱离 这些的安全管理
F 11:31:18
领导更希望你再上一个层,去看整个环境要怎么弄,
F 11:32:01
最简单的就是比如说要加强用户管理
你就给下面的人去弄,他们就会去建用户数据库,去完善用户审计
F 11:32:59
再往上就是,领导说要加强主机层面的管理
那你就跟下面的人说,主机层面安全的话,1是用户管理,2是系统审计,3是访问控制,4.资源使用等
F 11:33:04
你能明白我说啥吗
weblily 11:33:35
我的智商 还可以
F 11:34:09
那领导再要求你说,你要加强网上交易安全,那你要考虑的范围就是1.网站安全,2.应用安全,3.数据库安全,4.网络设备安全5.主机安全6.数据安全等
c_D 11:37:31
归档了