刘志诚，乐信集团信息安全中心总监

中科院心理研究所管理心理学博士，印第安纳大学kelley商学院金融硕士（MF），香港理工大学软件理学与工商管理（MBA）双硕士。前中国移动电子认证中心（CMCA）负责人，OWASP广东区负责人，CSA大中华区数据安全专家，FreeBuff、安全牛、安在、网安家、安全村等安全智库特聘安全专家。关注智慧城市，企业数字化过程中网络空间安全风险治理，对大数据、人工智能、区块链等新技术在金融风险治理领域的应用，以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

云原生作为CNCF定义的新一代信息基础设施与基础架构的底层逻辑，是整体上适应数字化时代业务数字化转型的技术体系革命性升级。网络信息安全日益面临严峻的挑战，安全的边界逐渐蔓延，安全的场景日益复杂，安全面临的问题日益严峻，在云原生技术体系升级的前提下，云原生存在什么样的安全需求，在云原生场景下如何为业务提供网络信息安全的全面挑战，是每一位安全人都会面临的挑战和机会。

在了解云原生安全怎么做之前，首先需要搞懂云原生：云原生诞生的背景与逻辑是什么？云原生本质上是什么？只有对云原生技术体系诞生的背景阐述清楚，了解云原生的本质，才能对网络信息安全在云原生体系下面临的挑战，存在的机会，以及如何创新与发展进行清晰的探讨。

一、数字化是云原生体系诞生的基础

相对于信息化、数字化从三个方面进行了全面升级。首先，信息化关注的是管理，数字化关注的是运营，信息化通过功能性管理应用系统的建设，提升组织管理的效率，数字化是通过生产运营系统的信息化，实现组织运营整体的信息化。其次，信息化是功能竖井的部分信息化，数字化是业务湖的整体信息化。第三，数据在信息化时代的作用是辅助决策的分析驱动，在数字化时代，数据是组织生产的核心要素之一。数字化的三个特征，从本质上改善了信息化的定位。

数字化时代的诞生在技术驱动的同时，也离不开营商环境面临的巨大挑战，何帆教授认为2020年是一个分水岭，从营商环境的角度来看，有三大特征决定了分水岭和数字化的必然模式，第一是更加复杂，美国实体清单制度会让世界更清晰明了的定义了技术是有国界的，而创新模式与产品的层出不穷，明显带来传统编纂目录中的品类不够用了，元宇宙的崛起，数字孪生日益受到重视，无不预示着传统行业面临巨大的挑战。第二是当下变化的频繁性，2020年初的新冠，本以为是2003年非典的重演，在即将到来的2022年，才发现，其中的跌宕起伏远超预期，这也预示着为了适应变化，数字化系统的需求处于动态的流动，传统商业软件以年为单位的版本变动，很难适应业务的快速变化，无不预示着唯一不变的是变化这句经典名言。第三是不可避免的内卷，内卷这个词用于人之间的竞争，组织之间同样适用。为了竞争，无不预示着速度更快，功能更强，成本更省的需求，这就要求组织面对市场需求时，永远不能停下创新的脚步。

数字化与信息化的区别以及数字化的特征，对信息化的技术要求体现在两个传统的管理要素，降本、增效。增效容易理解，要做到技术体系简单，便捷，快速，兼容。降本则需要从弹性、协同、匹配三个角度出发，能够满足动态的调整，业务发展的需要，以及战略的匹配，既不能浪费又不能匮乏。

云原生的几个特征：容器云是弹性基础设施的升级版，相对于虚拟化云计算的模式，进一步减少了操作系统层资源的占用，从基础资产持久化的模式变更为动态的资产分配模式，更具有弹性的成本和效率上的简单，便捷，快速。Devops是系统实现与运维的新模式，在传统的商业软件套件（COTS）难以满足业务数字化需求时，自主研发模式的瀑布模型也难以适应快速的市场需求，持续迭代的敏捷模式，以及研发运维一体化的新模式，对快速响应市场需求，从而实现即时交付提供了技术的底层架构。微服务是相对传统功能集合的信息系统架构的解耦，拆解传统的业务逻辑实现能力和服务的原子化，这依赖于API技术的进步和设计模式的提升，是新型架构对数字化的支撑，也更容易实现开发，部署，持续发布的粒度控制。

综上所述，可以得出云原生是组织面向数字化转型挑战，面对复杂营商环境实现核心竞争力的基础技术体系，可以在满足业务战略高速发展的需求的基础上，最大程度上实现降本增效的管理需求。

二、云原生引发的新安全

从云原生的四个关键技术出发，解读新的安全需求，源自于云原生技术发展过程中安全的新需求与新挑战。

Devops作为研发运维一体化的应用软件实现方法论，关注的是持续开发的集成和交付，这两年关注的焦点主要是两个关键词，左移和工具链。左移是指在软件开发的生命周期管理过程中要把安全的需求、设计、实现前移到需求和设计阶段。这个需求，严格意义上并不是伴随DevOps出现的，早在微软在传统软件开发生命周期的安全管理提出的安全管理模型中就提出了S-SDLC的理念，提出了在需求阶段通过威胁建模实现安全需求的分析，并在设计阶段集成安全的相关措施，实现预防能力，结合测试阶段的安全检测和加固能力，提升软件自身的安全性。从实践的角度来看，安全左移有效的降低了在集成和发布阶段发现安全漏洞返工带来的复杂性，从管理成本的角度来看，问题发现的越早，修复的成本越低。在DevSecOps的理念中，由于更强调流水线的作业模式，全面质量管理（TQM）的理念与S-SDLC的左移理念不谋而合，更受青睐。

同样S-SDLC也重视自动化工具能力的建设，白盒代码测试，黑盒集成与渗透测试，都体现了发现漏洞和问题，提前解决的思路。在DevSecOps场景下，流水线作业模式需要降低等待时间，避免因安全造成的停机时间。因此，自动化的检测，修复和加固建议，避免制成品在库等待等线下流程的参与十分关键。为了降低白盒的误报，提升黑盒的业务逻辑覆盖，灰盒的交互式安全检测（IAST）提升研发阶段自动化的漏洞检测，应用动态运营形式保护（RASP）实现运维阶段的应用层漏洞防护和安全保障，都是自动化安全能力集成工具链的典型应用。

容器云的安全相对于主机和虚拟主机的安全（HIDS），由于其资产的动态性和非持久化特征，需要重点关注两个层面，一是静态POD的安全，一是POD运行时的安全。静态POD的安全，涉及到name space空间的操作系统以及相关环境的安全，需要检测系统级的漏洞和风险以及配置的相关风险，并进行加固，另外通过数字签名机制，保障pod的完整性不会受到破坏，避免存在风险的pod上线。运行时的pod安全主要关注pod运营过程中网络连接的安全性，以及遭受攻击和破坏的相关风险，这需要类似hids的检测与监测预警和处置能力，提供相应的安全保障。目前业界两种实现方式，一种通过pod内置agent实现，一种是通过特权pod实现，两种实现方式各有利弊，主要考虑pod的运营场景和业务特征，如何在性能、可持续性和成本之间保持平衡。另外，不容忽视的是容器化管理平台自身的安全性，例如k8s的安全也需要重点关注。

微服务作为当下业务系统逻辑能力原子化抽象，降低耦合，在保持小团队模式下实现快速敏捷开发，需求分割上线的前提下，提供了业务集成的灵活性。当然，这也对设计和架构，以及业务逻辑的更高要求。同样，restful API天然的安全灵活度交给研发团队的模式相对于具有一些列标准的SOAP而言，存在着更多可能的漏洞和风险，认证鉴权缺失，机器人攻击，爬虫，数据泄漏等风险都来自于不安全的设计引起。因此API安全成为2021年2022年的当红炸子鸡，无数的创业公司和资本疯狂的涌入这个领域，希望在这个赛道上拔得头筹。微服务另外一个关键的问题在于东西向流量治理的复杂度进一步增加，东西向流量的问题在云原生之前已经有所涉及，在边界安全对南北流量进行管制之后，为了进一步实现IDC内部流量的全面治理，东西向流量日益受到重视，而微服务和容器化由于ingress流量的不可见，和容器的非持久化，更进一步对东西向流量的治理带来了复杂性。如何实现微隔离，服务治理，也是安全面对的问题。

持续交付的需求，对安全而言的需求和两个关键词相关，自动化编排（SOAR）和数据驱动的安全。数据分析建立模型，通过SOAR基于场景脚本的自动化实现管控，构成了安全的自动化运营，从而以支持业务的快速交付。自动化编排的需求中，传统的工具更关注于企业内部的安全场景，而忽略，应用，业务，数据的安全需求，而在数字化转型中，这些往往是安全的核心诉求，从这个角度而言，无论是自动化编排还是数据驱动，都仍有较长的道路要走。

三、数据驱动安全的云原生流量难题

云原生流量难题主要来自于容器云的底层网路架构和弹性的非持久化架构，以及微服务和devops，持续交付带来的数据驱动安全需求。在CNCF的相关项目中，定义了流量可视化的关键需求，监控，日志，跟踪，预警，从传统网络安全的角度而言，已经实现了对网络层内外部安全漏洞和攻击的检测和监测能力。但这显然不是云原生数据驱动安全需求的全部，例如在业务安全日益关注的EDR，NDR之上的行为检测分析（XDR），例如数据安全关注的数据防泄漏（DLP），敏感数据全生命周期的监控与管理，显然没有被考虑到云原生流量安全的范畴，这往往需要全流量的支撑。

在单机和虚拟机时代，通过核心交换机镜像和分光设备可以实现全流量的分析和处置，在容器云和微服务时代，涉及到容器内的ingress非持久化流量，难以实现全流量的采集和处置，这对数据驱动的安全带来了巨大的挑战。

容器云全流量可以从几个维度进行分析可能的采集点，容器云的底层网络协议封包模式支持ebpf，而ebpf具备软件定义网络（SDN）的特征，在处理传统网络协议的基础上，已经开始服务网格（service mesh）的支持解决方案，基于ebpf的开源项目包含在安全层取代iptables的cilium以及上层应用的hubble。可以作为网络层流量采集的备选方案。在微服务和服务网格中对3-7层流量进行处理的enovy也是一个全流量采集的备选方案，结合lstio的管理面数据面分离的方案，实现全流量的处置有了一定的技术基础，关键是如何选择。

容器云全流量带来数据驱动的安全，也存在难以克服的难点问题，一是如何解决海量数据的筛选存储问题，同时对采集点的性能业务造成巨大的压力，这也是决策数据采集点的关键要素。另外一个问题，涉及到数据安全和隐私保护的风险，全流量数据涉及到个人敏感信息和业务敏感信息的，全量采集存在数据机密性和用户隐私合规的风险，避免安全合规的风险也是需要考虑的重点。这里存在的创新点和可能的突破，是边缘计算的技术突破，在边缘节点实现人工智能的数据预处理，并通过隐私计算的模式实现个人隐私的保护，是实现全量数据处置的前提。

四、云原生安全能力原子化

图1：安全平台整体架构

安全平台的构建大致可以分为管理平台，运营平台和能力平台，运营平台我们在云原生数据驱动安全中对其重点和难点进行了分析与阐述，管理平台更多的是我们在讨论devops过程中安全的流程，制度，培训，审批，审核，审计。第三方认证等管理的能力的整合，和云原生自身的关联性有限，是通用的安全平台需求。但相对而言，安全能力平台由于从部署模式，部署架构和部署形式上与传统单机和虚拟化模式差距较大，需要考虑安全能力如何集成建设的问题。

传统的基础安全，包括传统三宝：防火墙、入侵检测、防病毒，目前防病毒有被主机威胁检测（HIDS）替代的趋势。在互联网和APP普及下的应用安全模组，主要包含应用防火墙（WAF）以及应用运行时防护（RASP），API安全网关，进一步的包含常见的预防能力集成，安全检测和安全控制。这些能力，在单机和虚拟化场景往往通过物理设备的模式提供，而且是不同厂商的不同产品的集合。在云原生容器云的环境下，需要考虑如何集成与部署的问题，传统的模式受到挑战，而对上述的能力原子化，形成能力的微服务，纳入整体云原生架构中，将是发展的趋势。

云原生安全涉及到新生技术带来的新需求，也面临着网络信息安全的产品与方案在云原生技术体系下适应和变革的挑战，本文仅对这两个专题进行初步的探讨。其实，谈及到云原生安全在考虑数字化技术体系的安全创新，挑战的前提下，还需要考虑数据化安全自身的安全热点，这相对于传统网络信息安全创业

者是个出圈的话题，包括业务安全，数据安全，与隐私保护，限于篇幅的原因，针对出圈的安全热点，有机会另文以飨读者。

本篇文章来源于微信公众号: 阿肯的不惑之年

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从业务视角看安全团队工作年度总结

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

步入12月份，各个业务和能力单元都进入了复盘时刻，准备本年度的工作总结，规划来年的工作重点和相关预算。网络与信息安全团队的工作总结，由于涉及到行业的专业性和风险的不确定性，团队的工作总结不容易完成，涉及到专业的复杂性和细节，完整的呈现受到挑战，从成本角度出发，对公司的价值体现的量化存在难点，而从专业领域升上来的安全负责人缺乏组织业务视角的思考和展现能力，都会使安全团队工作的年终总结变得索然无味。本文尝试从组织业务视角的角度分析网络与信息安全年度工作总结，需要建立的思考和呈现框架，涉及到的利益相关者以及关心的重点，避免逻辑陷阱，突出展现价值和组织业务战略的相关性，从而体现安全团队的组织价值，为安全团队后续工作的开展，提供信任基础和执行依据。

01

NEWS

受众与目的

图一、工作总结的受众与目的

安全团队的年终总结，首先需要明确阅读和听取报告的利益相关者，最直接的利益相关者当然是汇报的直接对象，从安全在组织结构的位置来看，有直接向董事会或董事长汇报的CISO角色，也有向CTO、CIO、CRO、CSO等汇报的中层管理者，当然也不排除向运维总监，行政总监等汇报的经理和组长角色，基层的网络信息安全管理者受制于在组织层级中的地位，仅作为执行的相关角色，对组织的风险识别和管理缺少决策支持的相关资源和能力，其实难以适应以数字化和互联网+的时代需求，不在本文讨论之列，本文讨论的角色至少是组织中层管理者，具备一定的业务视觉，思维，在组织网络与信息安全相关风险的治理具备资源与决策建议能力，这也是当下和未来一定时间内主流的组织架构形式。

CXO作为公司决策管理层，一般不再局限于自己职能和分管的业务视觉，会关注职能模块对公司整体业务和价值的影响，因此，即使对网络信息安全管理工作的年终总结，关注其中的绩效评估成分，但也不是仅作为绩效评估的用途来了解网络与信息安全团队工作的重心。在关注团队做的如何的评价基础上，会关注网络与信息安全团队的自身组织建设，能力建设，以及团队工作对组织整体绩效的影响，团队工作的规划能力，执行能力，持续改进能力。另外，对团队在行业中的地位，在风险的预知，判断，处置方面的前瞻性和领先性的判断，是建立对安全团队的信任感的基础，而CXO的信任感是网络与信息安全团队工作顺利开展的必备条件。

网络与信息安全负责人要清楚的认知到，团队是年终总结的重要受众，年终总结涉及到团队工作的精华和提炼，每个团队成员对自己工作产生的价值和在团队中的作用充满期待，对自己一年来努力的付出和成果的价值体现，是对个人工作，绩效评价的标尺和指南。希望能够在年终总结中具有一席之地，对个人的成就感，信心，工作满意度都具有促进作用。同样，对于团队成员的不足，对于执行过程中的风险和问题引起的偏差，其中的原因，改进措施，对团队成员自身的成长也具有指导意义。通过总结分析给出的来年的规划，是指导后续工作开展的基础，对于团队成员的认知一致性和协同，目标一致性和明确性，也对团队成员对团队的信任感直接相关，一个团结一致，目标明确的团队，战斗力上会有明显的体现。

年终总结第三个不应该忽略的受众是公众，这里提到的公众广义上来讲，对于上市企业，或其网络信息安全工作对公众而言，具有从监管和舆论监督角度具有重大意义的企业，需要考虑其年终总结的公众披露问题。在当下《网络安全法》《数据安全法》《个人信息保护法》立法密集出台的背景下，向公众负责任的披露网络与信息安全工作的年终总结，可以体现企业的透明，开放，安全工作的专业，也是建立公众对企业业务信息了解的良好方式。从狭义的角度来定义公众，是指其他相关的利益相关者，例如，组织内部的其他部门，业务部门和各级领导，从安全的意识传播和组织共识的角度，认知到组织网络信息安全工作开展过程中的风险从发现、评估到处置和持续优化的过程，建立组织内部的各部门对网络与信息安全工作的信任。

从受众的角度分析，根本在于建立信任感，包含上级，团队和所有利益相关者对组织网络与信息安全工作开展的信任感。

受众与目的明确相关，那么网络与信息安全工作开展的目的就是如何建立个利益相关者的信任感，信任感从三个方面进行阐述。一是绩效评估，这里绩效评估可以理解为你做了什么以及做的如何的SMART分析，实证意义上的具体工作成果，这是必不可少也是最重要的目的。二是价值体现，价值体现的分析相对而言更加复杂，客观量化的难度较大，从业务角度，从组织战略角度的分析和判断，势必会有主观的分析判断，也涉及到组织内外部对网络与信息安全工作的认知和理解，因网络与信息安全工作的专业性，在不同受众的认知和理解上可能存在较大的偏差，更需要网络信息安全团队清晰的阐述和逻辑严谨的论证，以促进受众的理解和认可。三是持续改进，总结的目的在总结成绩，体现亮点的同时，也要对工作开展过程的问题，环境变化带来的动态的风险变化对工作规划的影响进行分析总结，并提出进一步的规划，以支持网络信息安全工作的持续优化与改进，明确未来的目标和路径。

过去的成绩，明确的价值，未来的目标和路径，共同构成了受众对网络信息安全团队的信任感基础。

02

NEWS

避开网络与信息安全年终总结的陷阱

图二、网络与信息安全年终总结陷阱

网络信息安全工作的专业性在工作总结的时候，容易陷入一些陷阱，导致工作总结难以读懂，难以理解，对安全团队的绩效评估，价值体现和持续改进目的没有起到良好的论证作用，错失了传达信息，形成共识的良好机会。因此，为了清晰的实现不同受众信任感的建立，需要注意表达上的相关技巧，规避相关陷阱，从而形成表达简洁清晰，逻辑清楚，言之有物的年终总结。

首先要避免专业过度带来的障碍，由于网络信息安全工作的专业性，细分领域众多，概念和产品繁多，在安全领域和圈子内形成统一认知就需要传播和持续学习，离开安全圈很对概念显得生涩难懂，更别提英文首字母组合的复杂性了。安全从业者，往往希望通过对热点技术的追踪，对领先方案的理解，应用和实践以营造专业的形象，但工作总结中如果充斥这样的术语，概念，和产品，就容易陷入过度专业的陷阱。除了团队受众之外，领导和公众对这部分的理解都可能出现偏差，要么听不懂，要么觉得故弄玄虚或故意炒作概念，反而起到的是反作用。同理，对技术细节的过度阐述，可以在技术分享和专题汇报中用来阐述对技术的理解与把握，在年终总结中暴露，首先理解上存在制约因素，其次也容易给人带来不分轻重缓急，眉毛胡子一把抓的感觉。这一点，其实，关键要避免网络信息安全团队的虚荣心作祟，希望通过对专业术语和技术细节的卖弄打造专业的形象，这其实是大忌。

其次是避免堆砌数据，量化和数字化驱动以及数据分析的价值，日益影响工作汇报的可信性，适度的，合适的数据有锦上添花的作用，可以作证策略的有效性，和相关成果的价值，但一定要避免为了数据而数据的尴尬局面。数据方面的陷阱有两个，一个是无效数据，数据作为论据论证论点的说服力不足，比如关于攻击日志数据的相关问题，仅停留在攻击次数的预警维度，显然对与攻击次数带来风险的评估，处置和变化缺少相关的环境因素，通过简单的数据维度难以论证论点。另一个是无关数据，针对具体安全风险的根本因素识别和控制措施的有效性，需要逻辑上的相关性进行验证，如果采集了无关数据作为佐证，同样难以论证观点的有效性。表面上是对数据的分析，本质上是对安全的风险评估与处置逻辑的论证，只有合理的数据才能佐证风险的应对措施的合理与有效。

第三个是要言之有物，从问题的角度和业务价值的角度分析风险评估与控制的关键要素，涉及到团队的工作实践，而不仅是对乙方推动的热门概念的追捧，例如零信任，零信任作为一种安全理念，解决的是复杂应用场景下，用户的身份和用户的计算环境，网络环境超越了传统的内网范畴，带来的身份，设备，应用的信任风险问题，以及在可信网络环境中，对不同用户访问不同应用的安全策略在网络层进行细化管控的问题，这个时候，关注的是业务场景带来的安全问题风险，例如互联网企业的运营人员的后台服务安全性的问题，如何用零信任的理念和方案，通过对身份，环境的认证和业务系统细粒度的管控策略抽象成业务或业务在传统概念上理解的语言，例如业务系统内网化，就比零信任的概念更容易达成共识，当然，安全概念的接受和传播会有相应的时间效应和延迟，有些概念逐步为受众理解，是可以简化其中的沟通成本的，在概念尚未充分传播时，就要注意概念与实际场景问题的融合，达到言之有物，表达事实的程度，以达到受众可以理解的程度。

当然，安全团队的年度总结需要避免的陷阱还有诸多因素，但上述三个因素对建立信任感而言容易起到负面作用，需要重点规避。

03

NEWS

安全团队年度工作总结内容框架

图三、安全团队工作总结内容框架

安全团队年终工作总结按照目的和受众的需求，避开常见的陷阱，内容框架可以从几个方面入手，首先需要对年初的规划进行回顾，回头看原来做了什么样的预测和重点工作的安排，然后需要根据运营成果对照规划做相应的差距分析，分析总结相对于年初的情景发生了什么样的变化，变化的原因，导致的后果，以及调整的内容，形成逻辑清晰的总结。第三步，需要对实际完成的工作价值进行业务和组织战略支撑层面的复盘，对业务正面的支持和对战略支撑的成果，展现业务价值。第四步，是根据差距分析，对没有做到位的工作内容，或因主观原因未实现的成果，或从发展的角度应该进一步改进和完善的内容形成改进计划。最后，要给出从组织层面的专业洞察，向高层管理者提供决策的建议，为后续的网络信息安全工作制定基础目标。

从回顾规划的角度来看，需要关注五个层面，这也是网络信息安全工作的重心，第一是关于组织网络信息安全风险的管理洞察，在风险评估的方法体系，工具能力建设，持续运营优化上，形成组织独有的网络信息安全风险治理机制。第二是安全策略的建设上，网络与信息安全的风险治理需要安全能力的支撑，组织层级的安全策略是实现信息安全治理的落实方案，安全策略的制度化建设和执行落实为安全能力体系的建设，包括自动化的工具和运营管理系统，要根据组织风险的图谱规划相应的安全能力建设，以实现预防，检测，监测和审计，响应的具体能力。网络信息安全风险治理的水平需要数据运营指标的支撑，而逻辑清晰，实证验证的运营指标设计定义出合理的运营目标，是网络信息安全工作的重点，避免数据的无关性和无效性是难点，这需要行业标杆的参考和实际工作开展过程中的持续优化。不能忽视的重点是关于团队成长的规划，网络信息安全的专业性和网络信息安全工作与业务关联的密切性和潜在冲突，注定安全团队成员的要求，既需要专业的硬素质，也需要项目管理，沟通管理等软性素质。要针对不同团队成员的特点进行针对性的能力提升规划。

回顾规划是工作的展示，那么总结价值就是展现网络信息安全团队的成绩，这个成绩是从组织的维度与业务团队的拉通对比，关注的不是网络信息安全专业领域的技术能力和领先突破，而是对业务的价值提升和对组织的战略影响。需要从业务的维度阐述对业务的价值，例如，APP的合规性安全检查和测试工具就是保障APP符合《数据安全法》《个人信息保护法》的重要支撑，避免APP的合规下线和禁止更新风险，从滴滴事件可以看出安全能力建设对业务具有决定性的价值。这里面的分析重要的关注的是安全对业务的影响，涉及到社会热点话题，需要重点阐述社会影响带来的价值。这在组织战略层面上对业务的价值是网络信息安全团队需要当仁不让的成绩呈现，而不能仅作为内部安全保障部门和成本中心进行汇报。

如果总结价值就是安全团队的成绩展示，那么分析偏差是对规划总结的问题发现和解释，分析偏差需要从几个维度进行跟进，第一个是安全事件的梳理总结，安全规划的核心工作是风险的管理，而安全事件是因为安全风险暴露造成的，根据安全事件的总结分析，整理安全风险的预测和管控水平是差距分析的关键要素，第二个是针对安全预警或安全事件的应急响应，如果说安全事件是对安全风险管控水平的全面检验，那么对安全的检测和监测能力以及对安全事件的处置和降低影响与损失的能力，主要靠应急响应水平的检验，因此，相对于规划而言，应急响应的相关记录也是重要的差距分析指标。第三个是关于安全能力建设的指标，建设相关成果是否能够如计划发挥相应的价值，是否符合预期水平，和安全团队的预测能力和把控能力相关，也是不容忽视的差距分析样本。另外，就是关于全面运营数据的相关指标，如果说安全事件和应急响应关注的是重点风险，那么运营数据关注的就是日常运作的水平，通过日常数据的分析总结，防微杜渐，也是分析偏差的重要手段。

对于偏差的总结未必都是需要改进的部分，对于做的好的部分，成绩可以阐述，但是关键存在负面偏差的部分，重点要有改进计划，要清晰的表明存在的问题，是因为专业度不够，资源投入不足，技术决策错误，项目管理不足所引起的未达到预期的目标，都需要有明确的方案，和改进的关键里程碑。这是体现安全团队闭环管理和执行力的关键，要做到事事有跟进，事事有结果。

网络信息安全团队年度工作总结不能停留在事务性的总结基础上，要根据团队自身的安全总结，以及业务和组织的战略调整，技术的发展和情景的变化，体现出风险管理的动态性洞察，要透过表象看到本质，体现出专业的判断能力，为组织提供网络与信息安全领域的专业洞察，并向董事会和执行层提出顶层设计的决策建议，这也是为了后续的工作规划制定目标奠定初步的基础。

综上所述，网络信息安全工作的年度总结绝对不是针对领导绩效考核的事务性专业领域总结，而是考虑其综合的受众与广泛的目的，既有高屋建瓴的组织风险管控的总结和网络信息安全工作对组织和业务的战略价值，对未来网络信息安全风险的专业洞察和决策建议，也有对年初工作规划的复盘和分析，对具体成绩和问题的阐述以及持续改进的计划。是和网络与信息安全整体规划密不可分，环环相扣的闭环关系。做好网络信息安全团队年度工作总结的复杂度因组织的性质，组织的模式，关系的复杂度而不同，希望本文可以提供一个参考本文的框架以供需要的同学以此为基础进行调整和优化。

戳原文阅读查看往期征文合集

齐心抗疫 与你同在 

你怎么这么好看

本篇文章来源于微信公众号: 安在

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从供应链安全到生态安全

——情景化安全的创新与挑战

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

中科院心理研究所管理心理学博士，印第安纳大学kelley商学院金融硕士（MF），香港理工大学软件理学与工商管理（MBA）双硕士。前中国移动电子认证中心（CMCA）负责人，OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理，对大数据、人工智能、区块链等新技术在金融风险治理领域的应用，以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

中美贸易战引发的科技封锁，以及全球新冠大流行引起的地域隔离风险，在物理、网络两个边界掀起了供应链风险治理的热潮。华为在高科技限制，物理上在芯片的制约中，网络空间在android操作系统等相关的开源软件协议制约下，消费者业务遭受重创，更为高科技企业的发展敲响了警钟，在关注传统物理世界供应链安全的同时，网络空间的供应链日益重要，solarwind等一系列商业和开源软件的问题，导致漏洞被勒索病毒，网络犯罪集团，国家战争武器库的应用案例层出不穷，迫使企业审视自身依赖环境的供应链安全，完善供应链风险评估，治理机制，避免造成重大的业务风险。

从本质上而言，单纯从供应链的角度探讨安全，已经不能涵盖企业生态环境的网络空间安全风险，供应链的视角仍然是基于企业内部的观点来观察，从内部安全延伸出供应链的安全关注，是因为企业对供应链的依赖关系，但进一步来讲，企业或所处的环境，已经不再是以物理环境为关键要素，网络控制作为管理支撑补充的时代，随着互联网+的普及和数字化变革浪潮，企业需要关注的不再是内部的安全场景，而是在网络中的网状结构场景，供应链只是诸多外部场景之一。因此，不能局限于供应链安全一个点来探讨企业安全面对的新的挑战与机遇，本文尝试从企业在网络安全生态中的场景，来探讨安全的创新与挑战。

一、 场景为王

图一、企业网络环境从一企业为中心到网状结构

传统视角中，企业作为网络安全的中心视觉关注In B的内部安全风险，通过网络边界建立信任边界。在互联网业务和数字化战略中，由于业务的运作模式依赖于信息化系统，传统线下模式的交互方式迁移为系统中的对接，更多的信息流通过网络在线传输。企业已经不仅是单线的与某一业务实体线性交互，会涉及到针对供应商，合作伙伴，2B客户的整体上B2B安全生态的问题，同时，针对C端用户，也需要考虑用户的业务处理环境以及账号，交易的安全风险。在网络空间安全监管日益加强的背景下，监管部门的及时，准确，全面掌握行业的网络空间安全风险，也需要关注企业与监管部门的线上对接的场景安全风险。因此，企业的安全视角要从以企业为中心的In B评估视角转换为，企业生态环境的场景2B、2C、2G的安全风险视角。

图二、供应链场景

目前涉及到供应链场景，讨论较多的就是软件供应链安全的问题，包括商业软件（COTS）的漏洞利用带来的风险，也包括开源软件的漏洞风险和许可证风险，商业软件漏洞的修复与安全责任的承担可以通过供应商服务等级条款（SLA）进行约束，转移风险。但开源软件因免费和免责的原因，难以通过向开发者追责的方式转移风险，现在也是各软件成分分析（SCA）供应商关注的重要话题，另外，因为对开源软件的授权协议了解和分析不足，也存在违反开源方规定，需要承担额外风险的问题。

数据作为生产要素，在《数据安全法》《个人信息保护法》出台后，明确了数据处理者的义务和责任，合法数据产品的发展和流通受到国家法律法规的鼓励和保护，对促进数据的应用与发展具有重要的意义。在数据作为数字化经济核心生产力的前提下，数据供应链的安全至关重要。目前对数据合规、质量、安全的评估机制，定价机制，流通保护机制缺乏相应的方案和手段以及落地实践，这个领域将是创新创业的热土领域。

如果数据是数据时代的能源石油，算法就是数据时代的发动机，人工建模的算法实现以及人工智能算法体系的实现，将是业务竞争的核心竞争力，而算法的产品化也必然是不可逆转的趋势，但由于人工智能算法的可解释性，可信性仍面临挑战，而企业为了追求组织利益最大化，而可能损害消费者，行业和国家的相关利益，大数据杀熟，差异定价，垄断等经济问题的根源就在于算法的不透明性和不受监管，11月14日出台《数据安全管理办法（征求意见稿）》提出了算法披露接受社会监督的条款，虽然可能面对巨大的争议，但如何在企业的商业机密和算法的透明性，可解释性之间达到平衡，仍将是一个需要持续创新和探讨的话题。

依赖于专业机构的专业服务来降低企业的运营成本日益成为企业提升专业能力降低成本的必备手段，例如在安全领域，由厂商提供专业的渗透测试以及攻防演练的资源，提升企业的纵深防御的安全防守能力，面临着企业内部资源的外部暴露风险，外部系统和外部工具的介入，涉及到数据资源的处理以及服务功能对企业原由流程的变更风险。服务的质量、效果评估评价，服务的水平保障和安全责任承担，均需要深入的分析与管控。

人力资源作为企业的核心资产，在自有人员的选、育、留层面的安全管控已普遍形成共识，但企业日益依赖于动态人力资源调配的外部模式，以支持分布式，不均衡，周期性、快速试错的业务发展需求。而外包人力资源的管理，不仅是解决阶段性人力动态调配的问题，也需要关注人力资源变更对企业的效率和效能的影响，目前不少大厂的外包人力资源在质量，口碑，效果上风险日益增高，从安全的角度而言，临时性人员的安全意识教育培养，存在较大的安全风险。

图三、场景分析

企业2B的网络安全场景分析可以参考供应链的分析，只不过，除了作为需求方要求供应链企业保障上游安全的同时，需要考虑作为下游的供应链保障下游的安全，下游的风险评估，需求分析，安全保障能力建设，服务水平协议的签署，需要做好提前的准备工作。

2C的网络安全保障需求散落在不同的业务需求或不同团队之中，涉及到终端安全的保障能力，相应的终端厂商和独立第三方2C安全产品厂商有对应的解决方案，这里面存在一个主动与被动的问题，问题用户的环境自然不会通过加强终端的安全保障而限制自己的欺诈行为，因此企业对C端的终端安全保障不能依赖于用户的主动保护，对终端安全的检测和监视，也是需要关注的重点领域。

应用的安全因移动互联网的发展APP成为当下安全的重点方向，从国家层面的APP作为数据入口和移动操作系统权限的关键节点，做好用户的保护工作，同样企业要做到终端应用的安全，从防篡改开始，保障应用的完整性，可用性，防假冒至关重要，作为用户业务和数据的承载环境，数据的安全性在终端环节的保护也需要具备相应的措施。

账号和交易安全保障能力，很多企业纳入业务风控团队管理，涉及到风控的话题，不同语境可能含义未必完全相同，例如金融相关企业的风控主要依赖用户数据和模型，做企业盈利的相关控制策略，是一个比较重的后评估模型，但互联网属性明显的企业往往通过技术手段做技术相关的风险控制，例如设备指纹，IP，地理位置，终端行为相关的基于威胁情报的安全风险处置。这里的边界在于前置评估还是后置评估，对流程和性能的影响以及创造价值的综合判断。

2G主要设计面向监管科技的未来的在线监管场景的配合，从目前来看主要关注对用户数据相关的权利保护以及从反垄断，反歧视的市场公平性监管，体现在数据的应用以及算法的透明性和可视性监管。传输内容的安全保障，需要关注。

综上所述，企业在数字化动态环境中，线下信息流的线上化趋势难以避免，对企业传统信息化关注的安全边界造成巨大的冲击，必须从企业In B的视角转换为企业生态网路安全的视角。

二、 风险闭环

图四、生态安全治理模型

相对于In B视角的安全治理，涉及到跨组织，跨能力的安全生态链建设，传统的安全治理模型难于在相应的制约因素下，完成治理工作。需要创新的方法论和管理治理流程，完善供应链安全的治理。

首先需要进行影响分析，了解业务过程涉及到的相关利益相关者，明确各利益相关者在生态链的位置，功能，承担的网络安全责任。风险评估的前提是信息资产的确定，由于跨组织带来的资产不确定性，风险难以准确评估，因此需要影响分析前置，做好相应的评估准备工作。

其次是风险评估的相关工作，重点关注利益相关者自身的安全能力，安全水平和安全策略的落实情况，分析利益相关者安全治理和管理的实践中存在的漏洞和脆弱性，面对可能的攻击，以及利益相关者的相关风险处置能力对企业的安全治理和管理带来的影响和可能性，从而形成对生态链利益相关着的风险评估。

利益相关者的风险评估结果作为风险接受水平下的安全策略处置，相对于内部风险安全策略实施的便利性，对利益相关者一般通过服务协议，规定双方的义务和责任，从而转移和规避相关的安全风险。当然，对于双方交互的边界安全可以通过部署创新的安全产品降低相关风险，并提升安全事件的检查和预防能力，实时监控相关安全风险。

持续监测是服务协议落实的依据，因此，通过技术手段实现利益相关者安全风险持续监测，是发现安全事件，界定安全责任，避免安全事件影响扩大，追溯和调查安全事件必备的技术手段，需要企业具备相应的解决方案和能力，才能有效落实服务协议规定的权利和义务。

安全的预防，检查措施难以避免安全事件的发生，安全事件的相应，在响应，调查，恢复，追责的基础上，需要关注跨组织的利益相关者的责任界定与追责，涉及到服务协议的修改调整以及商业上的赔偿措施。并进一步引起影响分析，形成闭环。

生态安全是在传统企业以自我为中心的In B视角到以生态为中心的2B、2C、2G视角的转换，也对安全企业提出了关注In B到2B、2C、2G中的产品空白，通过产品创新，模式创新，实现生态安全体系的构建。但确实由于场景的复杂性，安全企业的现有产品体系存在对生态场景覆盖的空白点，也难以落实相关需求，这就需要各行业的领先企业，加强影响分析和风险评估，确认相关的空白场景，结合安全厂商的能力，共同打造出创新的安全产品，适应生态安全需求。

推荐阅读

诸子笔会 |11月征文合集《供应链安全》

蔚晨：金融机构供应链安全的分析方法和应对之道

张永宏：从供应链安全看企业信息化系统风控

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

 

诸子笔会 |8月征文合集《数据安全》

---

赵锐 刘顺 刘志诚 杨文斌 张永宏

蔚晨 王振东 孙琦 肖文棣 月奖公布

诸子笔会 | 7月征文合集《安全自动化》

---

张永宏 肖文棣 杨文斌 于闽东 孙琦 

刘志诚 蔚晨 赵锐 季奖公布

诸子笔会 | 6月征文合集《安全数字化》

---

张永宏 刘志诚 孙琦 李磊 赵锐 于闽东

肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布

戳原文阅读查看往期征文合集

齐心抗疫 与你同在 

你怎么这么好看

本篇文章来源于微信公众号: 安在

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从网络安全周看安全宣传与意识教育

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

中科院心理研究所管理心理学博士，印第安纳大学kelley商学院金融硕士（MF），香港理工大学软件理学与工商管理（MBA）双硕士。前中国移动电子认证中心（CMCA）负责人，OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理，对大数据、人工智能、区块链等新技术在金融风险治理领域的应用，以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

中国政府高度重视网络信息安全在国家安全战略层面的意义，习近平主席在党和国家的重要会议场合多次强调网络安全对国家安全的战略会议，党中央成立了网络安全与信息化办公室统筹和协调网络安全的相关工作，把网络安全提高到与信息化同样的高度，在信息化建设的过程中，同步关注网络安全基础设施的建设与运营。《国家安全法》对不同领域的安全提出了基本要求，《网络安全法》进一步落实了相关主体的业务与责任，指导网络安全工作的全面落实，近些年，进一步的细分法律法规陆续出台，对国家安全相关的关键基础设施的安全，对关系国计民生的数据安全，对当下事关电信诈骗百姓生活的个人信息保护，均通过细分领域的法律，规范相关的关系，保护相关的权益。

从国家宏观维度，网络信息安全需要关注政策的引导作用，利用国家力量通过政策指引，立法强化，聚集社会各界资源，加强产业的发展，鼓励技术创新，服务创新，模式创新，营造网络安全促进经济发展，保障社会稳定的宏观环境。在组织架构上，人才培养上，政策扶持上均有相关的政策与指引出台。同时，为了扩大社会的知情度，加强社会各界的参与感，推动自上而下的执行力，需要在宣传上，教育上下功夫，通过丰富多彩的形式，人民群众喜闻乐见的内容，吸引社会舆论的注意力，占领舆论宣传的桥头堡，已形成社会共识。于是国家推出了国家网络安全周的系列活动，通过标准化，形式化，持续化的宣传手段，打造宣传的名片。实现“网络安全为人民，网络安全靠人民”的全民共识，推动网络信息安全事业的蓬勃发展。

中国模式经过近60年的打磨，已经逐渐彰显其集中力量办大事的高效和成果，从经验上来看，符合当下科学管理的系列特征，政策为纲，组织架构和干部为领，始终抓住宣传的制高点，营造一致的目标与愿景，统一思想与意识，集中资源分解目标逐层推动，持续优化调整与改进。而其中的宣传制高点对建立共同愿景和目标，保障执行协调一致至关重要。对于企业而言，网络信息安全工作的开展，也需要借鉴中国经验，在宣传教育方面，可以参考国家网络安全周的组织，运营和实践，提升企业网络信息安全工作的落实效率与效果。

图一、网络安全宣传交易框架

一、 注重目标

网络安全为业务，网络安全靠业务

网络信息安全工作的目标也是宣传教育的目标与目的，国家网络安全周的“网络安全为人民，网络安全靠人民”转换为企业的目标，就是网络安全为业务，网络安全靠业务。

从网络信息安全的目的而言，企业网络信息安全的建设是保障公司业务战略的顺利开展，为业务的发展保驾护航，脱离了业务目标的网络信息安全建设，即使是铜墙铁壁也不具备实践价值，不能舍本逐末，脱离业务情景谈安全。安全固步自封，划定业务与安全边界的做法也时常听闻，这就违背了网络安全为业务的目标。

从《网络安全法》的角度，业务负责人是网络信息安全的第一负责人，业务负责制需要自上而下的贯彻网络信息安全的保障，是业务必尽的义务。有些企业业务负责人错误的把网络信息安全当作专职的网络信息安全部门的责任，本质上也是对法律责任的错误解读。

这样的一个标语和口号，准确的传达了网络信息安全工作的本质，是对网络信息安全技术部门和业务部门义务和权利的清晰定义，指明了宣传和安全意识教育的方向。

二、 关注形式

运动式安排，发挥基层力量

国家安全周的成功主要体现在集中时间，集中地点，集中资源，吸引足够的注意力，扩大宣传教育的影响力，逐渐以某个省市为主，举行盛大的开启仪式，推动年度的网络安全周。然后每个省市各显神通，在自己的地域范围内开启各种各样的活动，从厂商宣传，技术交流，典型案例，颁奖活动，形式多样，内容丰富多彩，源自于各自自下而上的策划与执行。统一指挥，分头行动，各自精彩。

企业的网络信息安全往往缺少运动式的安排，仅靠文字，图画以及自助式的宣传与教育，缺少阶段性的统一动员，统一组织，全员参与，往往容易埋没在日常的业务运营工作中，徒有形式，缺少参与，达不到实际的的宣传教育效果。如果响应国家网络安全周的倡导，在企业内部发起网络安全周的相关活动，在为期一周的时间内，充分组织与动员。要求各业务支撑部门，策划，发起自己领域内的网络安全宣传活动，发挥基层的主观能动性，就可以提高全员的参与度，吸引全员的注意力，从而提高宣传教育的效果。

三、 内容为王

吸引注意力，实现有效传播

如果只是表面做到花团锦簇，老百姓不愿看，看不懂，没收获，那么网络安全周就会沦为形式，或产业界的自言自语，没有达到真正的宣传教育效果，这其实涉及两个问题，一个是如何在信息过载社会实现信息的有效传达，能够真正让人想看，另外需要关注内容是否适应真正的受众认知，能达到宣传教育的有效传播。

各地网络安全周宣传的主题面向广大人民群众在形式上往往多姿多彩，关注受众的认知与感受，做到内容看得懂，表达丰富多彩，人民群众参与度高。这些成果建立在扎实的调研和细致的分析研究上，离不开6年来网络安全周的持续更新与改进。

企业的网络信息安全同样面临着注意力分散的问题，因此需要一是紧抓安全热点，二是与业务运营密切相关，紧抓员工切身问题的风险和解决方案，通过生动活泼的形式吸引员工的注意力。据研究发现，即使经过多轮的意识教育，像钓鱼测试等社交工程的安全攻击，也能实现10%左右的成功率，而这些人群往往是属于闭目塞听的非受众人群，吸引到他们的关注，以他们认可的方式避免安全意识教育的盲区是安全教育成功的关键环节。

四、 闭环管理

有效性度量，持续改进

图二、网络宣传教育目的与评价指标设计

安全意识教育关于人的认知，思考，行为，逻辑模式的变革，和心理学，行为学，社会科学密切相关，不能仅靠经验思维或者主观认知去做规划，设计，编排，展示，这样往往难以达到预期的效果。需要在前期做好受众的相关调查，对当下的热点问题，重要的风险，以及相关方案对问题解决的普遍认知，受众的范围，认知层次，理解水平，进行充分的调查研究，建立在数据之上的规划设计，通过科学的手段推动网络安全意识教育的落实。

另外需要关注对网络安全宣传教育的结果的度量，需要有相应的指标支撑，以进行评价，涉及目标用户群与真实的受众人群的触达率，受众认知和理解宣传教育和意识宣传渗透率，受众在接受相关安全宣传和意识教育后对风险理解和认知的激活率，受众在激活后面对实际风险合理处置的转化率都属于可以有效度量网络安全宣传效率和效果的指标，对宣传教育的投入产出比也可以进行有效的度量，评价不同内容，形式的投入产出之间的关系。

目前，并未发现网络安全周期间各地实践活动中关于这部分度量的内容，其实对网络安全周的持续进行和改进缺少科学决策的依据，更多的仍是当作必须完成的政治任务，不计投入产出的完成。

从企业的角度来看，如果改变传统的网络安全教育宣传模式，就需要有客观的评价评估依据，以进行资源投入的决策，因此，建立闭环的度量和持续改进模式就至关重要。

五、 发展展望

运动变常态，宣传教育变实践

网络安全宣传周的模式在现阶段起到了至关重要的承上启下作用，把老百姓日常相关却又难以理解的网络空间安全风险的技术复杂度用显而易见的方式，进行教育宣传，激起人民群众对网络安全的关注，了解对相关权利的使用和义务的承担，实现认知上的进步。掀起全民热潮，推动产业的进步与发展，对相关工作的推动大有裨益。但也存在网络安全周期间成为热点，事后恢复平静，这也是运动式的网络安全宣传带来的弊病。那么如果从网络安全周到网络安全月，甚至进一步到网络安全宣传教育成为常态，才是网络安全走进人民群众中间的，成为生活一部分的前提。

宣传教育，意识建设仍属于认知层面的工作，从陌生到熟悉和了解，但对行为的改变，对义务的承担，对权利的使用，仍是一个从认知到行为的过程，只有实现了行为的改变，底层思维逻辑的改变，才真正达到了网络安全意识教育的目的。

相对于国家网络安全周，企业的网络安全宣传交易工作目的性更强，常态化的网络安全宣传教育嵌入到业务运营过程中是理想的状态，在企业运作的关键节点做到风险的评估，度量和管控策略的落实与有效性审计，把思想意识改变为行为，在业务设计，开发，运营过程中始终保持安全意识指导下的安全行为，实现网络安全的全面闭环管理。

2021年的国家网络安全周已经结束了，给企业留下了无数宝贵的网络安全宣传教育的内容与形式可以借鉴，同样企业网络安全意识教育的实践和度量，国家网络安全周不妨也能借鉴和效仿，共同推动国家的网络安全教育和宣传工作的全面发展。

推荐阅读

诸子笔会 |10月征文合集《安全周》

张永宏：网络安全周，教育是抓手

王振东：星星之火，可以燎原——深远长久的网络安全宣传

赵锐：网络安全意识教育的业务价值

蔚晨：金融科技助力国家网络安全宣传周

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐

 

诸子笔会 |8月征文合集《数据安全》

---

赵锐 刘顺 刘志诚 杨文斌 张永宏

蔚晨 王振东 孙琦 肖文棣 月奖公布

诸子笔会 | 7月征文合集《安全自动化》

---

张永宏 肖文棣 杨文斌 于闽东 孙琦 

刘志诚 蔚晨 赵锐 季奖公布

诸子笔会 | 6月征文合集《安全数字化》

---

张永宏 刘志诚 孙琦 李磊 赵锐 于闽东

肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布

戳原文阅读查看往期征文合集

齐心抗疫 与你同在 

你怎么这么好看

本篇文章来源于微信公众号: 安在

2021年7月10日，国家互联网信息办公室发起了《网络安全审查办法（修订草案征求意见稿）》征求意见，据2020年4月13日12部委联合发布《网络安全审查办法》仅过去15个月，这也是对7月2日开始对以滴滴为首的6月份美国上市企业集中发起网络安全审查的后续立法方面的动作和策略，核心仍在于原来的《网络安全审查办法》对此系列事件管辖覆盖的部分欠缺。我们从本次修改的内容做下分析和简述：

新征求意见稿：第一条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。

变更：征求意见稿相对于原办法增加了“《中华人民共和国数据安全法》”

新征求意见稿：第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

变更：相对于原办法增加了“数据处理者（以下称运营者）开展数据处理活动”

简析：这两条变更是对2021年6月10日通过，2021年9月1日生效的《数据安全法》“第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”形式呼应。

新征求意见稿：第六条 掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

变更：新增

简析：规定了具体的数据安全审查的依据，100万条个人信息运营者赴海外上市，个人认为该条过于具体到数量和数据种类的细节，不利于数据安全涉及到国家安全的审查，国家安全不仅涉及到个人信息，尚包括涉及到国计民生的相关数据，例如地理测绘信息，经济运行数据等统计性数据，包括网上传闻滴滴涉及到部委加班的统计数据，以及《汽车数据安全管理若干规定（征求意见稿）》2021年5月12日涉及到的相关数据，虽然部分数据可以参照保密法相关规定予以规制，但从数据安全法的角度，此条文仍有待进一步丰富。

新征求意见稿：第八条 运营者申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；

（四）网络安全审查工作需要的其他材料。

变更：新增“拟提交的IPO材料”

简析：这是对中办、国办2021年7月6日《关于依法从严打击证券违法活动的意见》第十九条“

加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定，压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理。坚持依法和对等原则，进一步深化跨境审计监管合作。探索加强国际证券执法协作的有效路径和方式，积极参与国际金融治理，推动建立打击跨境证券违法犯罪行为的执法联盟。”的回应，但仍然只是形式上的呼应，仅增加对IPO材料的要求，但对已经海外上市企业的审查，包括网上猜疑与美国证券交易委员会SEC审计底稿要求相关的冲突，均未涉及，是否需要对海外证监提交审计文件进行提交审核，未做明确规定，对存量上市企业的监管存在空白空间。

新征求意见稿：第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。

变更：新增“（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；”“和国家数据安全的”

简析：是对审查的范围和潜在风险增加对数据安全领域的覆盖，主要涉及数据安全和出境风险，国外政府影响、控制、恶意利用风险的反制，这是对美国为首的西方围堵中国联盟的长臂管辖法案做出反应和反制，具体的风险评估和风险处置策略，预计需要在细则中持续优化。

在原文中“（五）其他可能危害关键信息基础设施安全和国家安全的因素”“国家安全”被修订为“国家数据安全”缩小了安全范围，窃以为“数据安全等国家安全”更为恰当合适，避免管辖范围狭窄，不能覆盖其他国家安全的情景。

新征求意见稿：第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

变更：新增“数据处理活动以及国外上市行为，”

简析：这是对本办法覆盖范围调整的补充说明，重点依据数据安全法和《关于依法从严打击证券违法活动的意见》补充相关安全审查范围。

新征求意见稿：第二十条 运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

变更：修改了第19条“运营者违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理。

简析：原文对处理规定仅限于网络安全法第65条，“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”惩戒范围和力度均不足，甚至未能涵盖《网络安全法》关于数据安全方面的处罚规定，例如第64、66、68条关于个人信息和数据安全相关的处罚，例如第64条“情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”可以对违法行为处以极刑。当然，这也和本次《网络安全审查》范围的扩大有关，另外也为9月1日生效的数据安全法相关处罚的落地出台了行政法规。

整体来看，本次《网络安全审查》网信办在短时间内协调十二部委达成共识，增加对数据处理和海外上市涉及国家安全的关键行为的审查，有效的弥补了网络安全审查的空白，承接《数据安全法》的数据安全审查执行办法，呼应中办国办关于海外上市的强监管，体现了规范和效率前提下依法治国精神的落实。但也可以看到，《网络安全审查办法》以网络安全产品和服务为切入点进行安全审查的局限性，以此为基础的范围扩大，由于审查内容，审查依据，审查程序的不同，势必带来一定的制约。在具体条款的拟定上，对底线的把握，对情景的适应，对应用的尺度，存在优化的空间。当然，这也是征求意见稿吸纳社会意见，逐步完善的意义所在。相信在新的网络安全审查办法出台后，对数据安全和海外上市等涉及到国家安全领域的行为监管会进一步规范化，标准化，透明化，保障国家安全有法可依。

本篇文章来源于微信公众号: IT的阿土

本篇文章来源于微信公众号: IT的阿土

本篇文章来源于微信公众号: IT的阿土

本篇文章来源于微信公众号: IT的阿土

通过开源项目实现企业安全，需要从办公域、业务域的安全需求开发，注重业务生命周期的研发、集成运维阶段的安全预防、检测、处置技术公共能力建设，通过管理运营平台，覆盖企业的信息化安全需求，具备攻击能力，实现以攻为守，通过sorceforge、github最近3年内比较活跃的评价较高的项目梳理，形成本文，供参考。

图一、开源项目分类全景图

一、安全能力公共组件

图二：安全公共能力组件

1        密码技术

1.1       CA中心

EJBCA is an enterprise class PKI Certificate Authority built on JEE technology. It is a robust, high performance, platform independent, flexible, and component based CA to be used standalone or integrated in other JEE applications.

https://sourceforge.net/projects/ejbca/

1.2       签名服务

The SignServer is an application for server side signatures called by other systems. It is flexible and can be customized to specific needs. 

https://sourceforge.net/projects/signserver/

2        身份

2.1单点登录

Atricore’s JOSSO is an open source and commercially supported Internet Single Sign-On (FSSO) solution for point-and-click and standards-based (SAML2) Internet-scale SSO implementations.

https://sourceforge.net/projects/josso/

2.2身份管理

versatile identity management solution.

https://www.unity-idm.eu/

2.3多因素认证

2.3.1   智能卡认证

Virtual Smart Card Architecture is an umbrella project for various projects concerned with the emulation of different types of smart card readers or smart cards themselves.

http://frankmorgner.github.io/vsmartcard/

2.3.2   指纹认证

SourceAFIS is a software library for human fingerprint recognition.

https://sourceforge.net/projects/sourceafis/

3        协议

3.1可信计算

Integrity Measurement Architecture to know EXACTLY what has been run on your machine.

https://sourceforge.net/projects/linux-ima/

IBM’s TPM 2.0 TSS

https://sourceforge.net/projects/ibmtpm20tss/

This is a user space TSS for TPM 2.0. It implements the functionality equivalent to (but not API compatible with) the TCG TSS working group’s ESAPI, SAPI, and TCTI API’s (and perhaps more) but with a hopefully simpler interface.

Open Source Tripwire^® is a security and data integrity tool for monitoring and alerting on file & directory changes. This project is based on code originally contributed by Tripwire, Inc. in 2000.

https://github.com/Tripwire/tripwire-open-source

3.2数据协议

gsoap toolkit development toolkit for web services and xml data bindings for c&C++，The gSOAP toolkit is an extensive suite of portable C and C++ software to develop XML Web services with powerful type-safe XML data bindings. Easy-to-use code-generator tools allow you to directly integrate XML data in C and C++. Serializes native application data in XML. Includes WSDL/XSD schema binding and auto-coding tools, stub/skeleton compiler, Web server integration with Apache module and IIS extension, high-performance XML processing with schema validation, fast MIME/MTOM streaming, SOAP and REST Web API development, WS-* protocols (WS-Security, WS-Policy, WS-ReliableMessaging, etc), XML-RPC and JSON. Licensed under GPLv2.

https://sourceforge.net/projects/gsoap2/

4   应用

4.1微服务安全

Istio is an open platform for connecting, securing, and managing microservices. It provides a uniform way of integrating microservices, managing traffic flow, enforcing policies and aggregating telemetry data. 

https://sourceforge.net/projects/istio.mirror/

https://github.com/spring-projects/spring-security

https://github.com/spring-projects/spring-security-oauth

4.2API安全

API-aware Networking and Security using eBPF and XDP 

https://github.com/cilium/cilium

二、基础安全设备

图三、基础安全设备

1、防火墙

1.1NG防火墙

Netdeep Secure is a Linux distribution with focus on network security.
Is a Next Generation Open Source Firewall,

https://sourceforge.net/projects/nds/

1.2SOHO防火墙

OPNsense is an open source, easy to use firewall and routing platform

https://sourceforge.net/projects/opnsense/

BrazilFW is a mini Linux distribution designed to be used as a Firewall and Router that runs easily on older computers.

https://sourceforge.net/projects/brazilfw/

The IPCop Firewall is a Linux firewall distribution. It is geared towards home and SOHO users. The IPCop web-interface is very user-friendly and makes usage easy.

https://sourceforge.net/projects/ipcop/

Smoothwall is a best-of-breed Internet firewall/router, designed to run on commodity hardware and to provide an easy-to-use administration interface to those using it. Built using open source and Free software, it’s distributed under the GNU Public License.

https://sourceforge.net/projects/smoothwall/

An iptables based firewall for systems running the Linux 2.4 or later kernel. Very flexible configuration allows the firewall to be used in a wide variety of firewall/gateway/router and VPN environments.

https://sourceforge.net/projects/shorewall/

“TKMsense” an easy to use secure OpenBSD based firewall distribution. 

https://sourceforge.net/projects/tkmsense/

1.3WEB防火墙

ModSecurity is a web application firewall that can work either embedded or as a reverse proxy. It provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring, logging and real-time analysis.

https://sourceforge.net/projects/mod-security/

2、安全网关

2.1防垃圾邮件

Anti-Spam SMTP Proxy Server

https://sourceforge.net/projects/assp/

2.2云安全网关

Falco is a open source project to detect abnormal application behavior in a cloud native environment like Kubernetes. This cloud native runtime security project allows you to detect unexpected application behavior and alerts on threats.

https://sourceforge.net/projects/falco.mirror/

2.3UTM网关

Untangle is a Linux-based network gateway with pluggable modules for network applications like spam blocking, web filtering, anti-virus, anti-spyware, intrusion prevention, bandwidth control, captive portal, VPN, firewall, and more.

https://sourceforge.net/projects/untangle/

Endian Firewall Community (EFW) is a “turn-key” linux security distribution that makes your system a full featured security appliance with Unified Threat Management (UTM) functionalities. The software has been designed for the best usability: very easy to install, use and manage and still greatly flexible.

https://sourceforge.net/projects/efw/

3、入侵检测

Snort

It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging.

https://www.snort.org/

OSSEC is an Open Source Host-based Intrusion Detection System that performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response.

https://github.com/ossec/ossec-hids

3.1网站防篡改

WebESC detects changes in your list of local or web files. 

https://sourceforge.net/projects/webesc/

4、抗DDOS攻击

OpenDDS is an open source C++ implementation of the Object Management Group (OMG) Data Distribution Service (DDS).

https://opendds.org/

SNĒZ is a web interface to the popular open source IDS programs SNORT® and Suricata. IDS output can be unified2 or JSON formats.

https://sourceforge.net/projects/snez/

三、运营分析

图四、运营分析

1、资产管理

i-doit is a web based IT documentation and CMDB. i-doit documents IT-systems and their changes, defines emergency plans, displays vital information and helps to ensure a stable and efficient IT operation:

https://sourceforge.net/projects/i-doit/

2、数据源

2.1网络监控

Security Onion is a Linux distro for IDS (Intrusion Detection) and NSM (Network Security Monitoring). It’s based on Ubuntu and contains Snort, Suricata, Bro, Sguil, Squert, ELSA, Xplico, NetworkMiner, and many other security tools. 

https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md

2.2日志管理

Cyberoam iView; the Intelligent Logging & Reporting solution provides organizations network visibility across multiple devices to achieve higher levels of security, data confidentiality while meeting the requirements of regulatory compliance.

2.3威胁情报

https://sourceforge.net/projects/cyberoam-iview/

Sigma is a generic and open signature format that allows you to describe relevant log events in a straight forward manner.

https://github.com/Neo23x0/sigma

3、数据分析

3.1流量分析

Flexible web-based firewall log analyzer, supporting netfilter and ipfilter, ipfw, ipchains, cisco routers and Windows XP system logs, and mysql or postgresql database logs using the iptables ULOG or NFLOG target of netfilter others mapped to the ulogd format with a view. 

https://sourceforge.net/projects/webfwlog/

3.2日志分析

3.3访问行为分析

AWStats is a free powerful and featureful server logfile analyzer that shows you all your Web/Mail/FTP statistics including visits, unique visitors, pages, hits, rush hours, os, browsers, search engines, keywords, robots visits, broken links and more

https://sourceforge.net/projects/awstats/

4应用服务

4.1管理前端

NagiosQL is a professional, web based configuration tool for Nagios 2.x/3.x/4.x. It is designed for large enterprise requirements as well as small environments. Any Nagios functionalities are supported.

https://sourceforge.net/projects/nagiosql/

4.3取证分析

Xplico is a Network Forensic Analysis Tool (NFAT).

https://sourceforge.net/projects/xplico/、

Autopsy® is a digital forensics platform and graphical interface to The Sleuth Kit® and other digital forensics tools. 

https://sourceforge.net/projects/autopsy/

MantaRay Forensics

MantaRay is designed to automate processing forensic evidence with open source tools.

https://sourceforge.net/projects/mantarayforensics/

5、威胁分析

5.1病毒分析

The goal of this project is to build an add-on for browser that passively audits the security posture of the websites that the user is visiting. Assume that the tool is to be used on non-malicious websites, currently not under attack or compromised. Add-on wants to report security misconfigurations, or failure to use best security practices.

https://sourceforge.net/projects/web-security-audit/

Antivirus Live CD is an official 4MLinux fork including the ClamAV scanner. It’s designed for users who need a lightweight live CD, which will help them to protect their computers against viruses. 

https://sourceforge.net/projects/antiviruslivecd/

Cuckoo Sandbox uses components to monitor the behavior of malware in a Sandbox environment; isolated from the rest of the system. It offers automated analysis of any malicious file on Windows, Linux, macOS, and Android.

https://sourceforge.net/projects/cuckoosandbox.mirror/

5.2WEB漏扫

Wapiti is a vulnerability scanner for web applications.

https://sourceforge.net/projects/wapiti/

web application attack and audit framework, the open source web vulnerability scanner.

https://github.com/andresriancho/w3af

一款完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc 

https://github.com/chaitin/xray

Web Application Security Scanner Framework 

https://github.com/Arachni/arachni

Next generation web scanner

https://github.com/urbanadventurer/WhatWeb

A PHP script designed to detect trojans, viruses, malware and other threats within files uploaded to your system wherever the script is hooked, based on the signatures of ClamAV and others.

https://sourceforge.net/projects/phpmussel/

5.3网络安全

Network Security Toolkit (NST) is a bootable ISO image (Live DVD/USB Flash Drive) based on Fedora 30 providing easy access to best-of-breed Open Source Network Security Applications and should run on most x86_64 systems.

https://sourceforge.net/projects/nst/

OSS Next Gen Network Management System (NG-NetMS)OPT

https://sourceforge.net/projects/ngnms/

openQRM is a web-based open source datacenter management and hybrid cloud computing platform that integrates flexibly with existing components in enterprise data centers.

https://sourceforge.net/projects/openqrm/

Netdisco is an SNMP-based L2/L3 network management tool designed for moderate to large networks. Routers and switches are polled to log IP and MAC addresses and map them to switch ports. Automatic L2 network topology discovery, display, and inventory.

https://sourceforge.net/projects/netdisco/

5.4数据安全

Parrot Project

Security, Development and Privacy Defense, all in one place.

https://sourceforge.net/projects/parrotsecurity/

5.5攻击模拟

An open source Breach and Attack Simulation tool to evaluate the security posture of your network.

https://www.guardicore.com/infectionmonkey/

四、研发安全

图五、研发安全

1、         代码安全

1.1源代码审计

Source Code Security Audit (源代码安全审计)

https://github.com/WhaleShark-Team/cobra

VCG is an automated code security review tool for C++, C#, VB, PHP, Java, PL/SQL and COBOL, which is intended to speed up the code review process by identifying bad/insecure code.

https://sourceforge.net/projects/visualcodegrepp/

Bandit is a tool designed to find common security issues in Python code.

https://github.com/PyCQA/bandit

scanner detecting the use of JavaScript libraries with known vulnerabilities

 http://retirejs.github.io/retire.js/

https://github.com/securego/gosec

HTML5 Security Cheatsheet – A collection of HTML5 related XSS attack vectors 

https://html5sec.org/

2、    组件安全

2.1依赖关系检查

OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.

https://github.com/jeremylong/DependencyCheck

2.2开源组件漏洞挖掘

OSS-Fuzz – continuous fuzzing of open source software. 

https://github.com/google/oss-fuzz

WhiteSource Bolt for GitHub/Azure DevOps is a FREE app/extension, which scans all of your projects and detects vulnerable open source components.

https://sourceforge.net/projects/whitesource-bolt/

3、   接口安全

3.1接口检查

https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md

3.2检查列表

https://github.com/danielmiessler/SecLists

4、    集成安全

4.1漏洞挖掘

A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

https://github.com/aquasecurity/trivy

r

Rules engine for cloud security, cost optimization, and governance, DSL in yaml for policies to query, filter, and take actions on resources 

https://github.com/cloud-custodian/cloud-custodian

4.2自动化渗透

Fully automated offensive security framework for reconnaissance and vulnerability scanning

 https://j3ssie.github.io/Osmedeus/

4.3审计检查

InSpec: Auditing and Testing Framework

https://github.com/inspec/inspec

五、教育训练

图六、教育训练

1、WEB安全

Web Security Dojo is a virtual machine that provides the tools, targets, and documentation to learn and practice web application security testing.

https://sourceforge.net/projects/websecuritydojo/

OWASP Juice Shop is probably the most modern and sophisticated insecure web application! It can be used in security trainings, awareness demos, CTFs and as a guinea pig for security tools! Juice Shop encompasses vulnerabilities from the entire OWASP Top Ten along with many other security flaws found in real-world applications!

https://owasp.org/www-project-juice-shop/

Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable.

https://github.com/ethicalhack3r/DVWA

WEB安全学习

https://github.com/CHYbeta/Web-Security-Learning

2、APP安全

The Mobile Security Testing Guide (MSTG) is a comprehensive manual for mobile app security development, testing and reverse engineering. 

https://github.com/OWASP/owasp-mstg

3、安全加固

https://github.com/imthenachoman/How-To-Secure-A-Linux-Server

4、渗透测试

This is Metasploitable2 (Linux)

Metasploitable is an intentionally vulnerable Linux virtual machine. This VM can be used to conduct security training, test security tools, and practice common penetration testing techniques.

https://sourceforge.net/projects/metasploitable/

六、渗透测试

图七、渗透测试

1、    渗透测试

1．1载荷攻击

Nishang is a framework and collection of scripts and payloads which enables usage of PowerShell for offensive security, penetration testing and red teaming. Nishang is useful during all phases of penetration testing.

https://github.com/samratashok/nishang

1.2渗透框架

面向中国信息安全白帽子人员的红方渗透作战操作系统，内容工具更适用于中国的环境，避免大而全精简不常用的工具软件，集成国内优秀的开源渗透工具帮助红方人员更好的实施工作！

https://sourceforge.net/projects/taie-redteam-os/

We are excited to announce the availability of Blackhat-Global OS Lite. We’ve condensed the full Blackhat-Global experience into a streamlined operating system that’s fast, user-friendly, desktop-oriented operating system based. Which is available immediately for download.

https://sourceforge.net/projects/blackhat-global/

Automated pentest framework for offensive security experts

https://github.com/1N3/Sn1per

2专项攻击

2.1DDOS攻击

UFONet – is a toolkit designed to launch DDoS and DoS attacks.

https://sourceforge.net/projects/ufonet/

2.2钓鱼攻击

Gophish is a powerful, open-source phishing framework that makes it easy to test your organization’s exposure to phishing.

https://getgophish.com/

2.3社会工程

Trape is an OSINT analysis and research tool, which allows people to track and execute intelligent social engineering attacks in real time. 

https://github.com/jofpin/trape

七、办公安全

图八、办公安全

1、内网接入

OpenVPN is a robust and highly flexible tunneling application that uses all of the encryption, authentication, and certification features of the OpenSSL library to securely tunnel IP networks over a single TCP/UDP port.

https://sourceforge.net/projects/openvpn/

2、网络准入

A network access control (NAC) system featuring a captive-portal for registration and remediation, wired and wireless management, 802.1X support, isolation of devices, integration with IDS; it can be used to secure networks from small to large.

https://sourceforge.net/projects/packetfence/

3、密码管理

Bitwarden is an easy-to-use and secure desktop vault for managing passwords and other sensitive data. It helps individuals and teams share, store and sync sensitive data, and create and secure passwords. All data is fully encrypted before it even leaves your device, with end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256.

https://sourceforge.net/projects/bitwarden.mirror/

本篇文章来源于微信公众号: IT的阿土