甲方安全工作二三事

最新推荐文章于 2024-05-10 08:00:20 发布
最新推荐文章于 2024-05-10 08:00:20 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c0c0cf/article/details/52665453
版权

观点:保证基础设施安全的情况下,甲方安全是需要围绕着业务开展的,一切需要为业务服务,脱离业务去做安全是脱离企业竞争原则的,安全越贴近业务越好。

熟悉组织架构

1、熟悉组织架构,因为在甲方大多数工作是需要业务方配合的。了解一个业务线适合的安全接口人,最好对安全感兴趣并且对该业务线产品非常熟悉的人。快速了解公司的一些安全产品,每个产品提供怎么样场景的安全服务,向业务推广。

2、熟悉安全管理体系,大公司内部安全需要给各个业务做一些安全认证,也要建设集团公司层面安全体系。和一些行业法律合规方面的安全建设。也和要关注核心业务,在核心业务投入更多的经历。

PCI DSS

一般涉及信用卡支付的公司都要过PCI DSS安全标准,才能开展金融支付业务

ISO27001

我了解比如Ctrip的商旅,Kingdee的云之家、友商网、金蝶金融、58同城、腾讯云等都做了ISO27001认证。

ITIL

ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。

3、大致熟悉公司战略方向

为什么要研究公司的大致方向,因为有一些技术是需要预研,而不是临时拍脑袋。

比如小米公司出一些智能硬件方面的产品,那么需要提前投入到智能硬件的安全研究 。

比如百度公司出一些无人驾驶汽车,那么他们提前严一些相关的法律法规以技术上问题。

再比如阿里云,他们就要研究云服务安全的问题,云平台上面很多SAAS产品,当然也要研究SAAS安全问题。

比如某些公司把自己的服务搬到云上去,是不是要考虑云安全问题?

安全测试

Web安全:xss csrf xxe jsonp sqli clickhijack owasp top ten etc..

关于XSS当时学习的时候看的evilcos那边web前端黑客,很荣幸当时还得到了evilcos本人的指点。后面就改造了evilcos的xssproble增加了包括内网端口扫描等功能,还有evilcos的xssor工具新增xxe、jsonp劫持。对这些黑客工具改改用用对漏洞理解就加深了一些,在这里不得不感谢evilcos。


最低0.47元/天 解锁文章
0c0c0f
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
甲方工作手册_工程施工土建监理资料建筑监理工作规划方案报告_监理工作手册.doc
08-08
甲方工作手册》详细阐述了在工程施工土建监理过程中甲方工作流程、人员配置以及各阶段的主要任务,旨在确保项目的顺利进行、投资控制和质量保证。以下是手册中的关键知识点: 一、工作目标与管理方式 1.1 目的...
甲方信息安全建设经验
goodxianping的专栏
03-25 438
【代码】甲方信息安全建设经验。
甲方企业信息安全核心工作
Delphinidae
07-17 1001
资产、攻击威胁、风险漏洞、防护覆盖(多层能力+覆盖率)、SDL(secdevops)、解业务线安全问题等,目标建设内生安全能力产品服务在上线后自带抵御攻击能力,自身自动免疫对抗外部威胁。监管部门(信息安全要求)apt(国家级攻击武器化)黑产(薅羊毛、广告传播)恶意利用自动化脚本(弱口令、RCE利用挖矿、DDos)白帽子(现金收入)红蓝对抗(监管和内部团队)终极目标零安全故—依靠全自动的多层检测和防护系统。日常工作—解漏洞消风险 和 检测防护能力 以及应急响应。
网络安全行业火热,你却还对网络安全一无所知?_网络安全工程师在甲方好还是乙方好(1)
最新发布
m0_60691292的博客
05-10 794
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
安全架构--2--关于企业安全体系建设历程的思考
武天旭的博客
04-12 4291
博主是涂鸦安全部门最早期成员之一,虽然不是安全负责人,却也有幸参与和见证了涂鸦安全体系从无到有的建设历程。本文是博主关于甲方安全体系建设历程的思考,分为三部分: 一、安全体系建设v1.0---快速治理 二、安全体系建设v2.0---系统化建设 三、安全体系建设v3.0---全面完善
极客时间课程笔记:业务安全
Leonardo的博客
12-10 593
业务安全和基础安全在本质上就有很大的不同:在基础安全中,黑客将技术作为核心竞争力;在业务安全中,黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源,谁就能窃取公司更大的利益。因此,作为防守方,我们在关注业务安全的时候,也应当将关注的重点放在如何提高黑产的资源成本上,这样才能够为公司提供有力的业务安全防护。
甲方安全防御体系建设的随笔
weixin_33955681的博客
04-05 445
2019独角兽企业重金招聘Python工程师标准>>> ...
单位网络安全工作月报模板.docx
09-30
网络安全工作月报模板 一、 网络安全管理工作开展状况 * 网络安全管理工作的重要性:网络安全管理工作是确保单位网络安全的重要环节。本月,单位需要收到上级单位对于漏洞及预警信息的响应、核查整改状况,落实...
网络安全保密协议.doc
05-12
二、网络安全保密协议的内容 网络安全保密协议的内容包括: 1. 双方共同遵守国家有关信息安全的法律和规则,遵守医院相关的规则和制度。 2. 未经甲方书面批准,乙方不得以直接或间接方式向第三方透露医院相关保密...
安全集成项目工作流程图.doc
10-11
安全集成项目工作流程详解》 安全集成项目是一项复杂且系统性的工作,涉及到多个环节和部门的协同。本文将详细解析从售前到售后的整个工作流程,旨在为相关人员提供清晰的操作指南。 一、售前阶段 1. 销售代表...
甲方企业整体网络安全建设思路及坑点
05-16
甲方企业整体安全建设思路及坑点
《企业安全体系建设—理论与实践本》PDF版本下载.txt
07-17
《企业安全体系建设—理论与实践本》PDF版本下载
安全模型和业务安全体系
01-06
网络安全和业务安全 网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。 业务安全中,黑灰产基于非正常的资源(IP、手机号、身份信息等),通过正常的产品流程,获取利益,影响业务正常运营。比如:黑灰产通过大量手机号注册新号,获取企业新户奖励,最终批量套现。 网络安全中,攻击者的意图多种多样:有挖漏洞卖钱的,有卖隐私数据赚钱的,有恶意报复的,也有纯粹炫技的。但对于业务安全,黑灰产的目的其实很直接,就是钱。 由于国外网络安全发展较早,且国外对于
安全管理责任书.docx
10-01
1. 管理处主任全面负责安全工作,各部门需根据职责分工定期分析安全形势,制定整改措施。 2. 水电工要熟悉设备情况,定期巡查,保证设备安全,及时维修。 3. 绿化工在使用农药和工具时须遵循安全规程,确保工具安全...
何为业务安全,业务安全部门的具体职责是什么?
GaleZhang的博客
10-28 2969
互联网安全的发展史 一提到互联网领域的安全问题,我想大多数人的第一反应是利用网络、软件的漏洞进行的各种攻击,或者用手指在键盘上跳舞的黑客们,这似乎是一个老生常谈的问题。 我们每个人都能随口说出几种攻击,比如SQL注入、中间人攻击、DDOS攻击等,然而每个概念在历史发展的不同阶段,却都有着迥异的内涵,互联网安全就是如此。 在互联网行业发展的初期,我们会更关注传统安全领域,如黑客,漏洞等上文所提到的内容,实际上这些大致可归类于操作系统、网络、应用软件层面的安全。再之前呢,我们的安全甚至会囊括硬件基础、设备层
业务安全
7hinkSource的博客
09-09 260
业务安全识别点 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制、session和cookie校验机制,是否能规避验证码绕过、暴力破解和SQL注入等漏洞。 支持系统存在的安全风险 如用户访问控制机制是否完善,是否存在水平越权或垂直越权漏洞。系统内加密存储机制是否完善,业务数据是否明文传输。系统使用的业务接口是否可以未授权访问/调用,是否可以调用重放、遍历,接口调用参数是否可篡改等 业务
谈谈甲方视角下网络安全产品及安全建设
专注网络安全,聚焦数据安全。
10-29 470
产品复用能力,当前这个需求我们在很多地方都有类似的痛点存在,比如当前的edr产品,每家都在做,有自己的核心能力,也有通用的一些能力,如何取长补短,在轻量化客户端的同时形成核心能力的整合,进一步按照甲方安全体制的建设,逐渐去进行对接。甲方对于乙方来说,除我们已知的帮助之外,特别是在产品的能力建设,产品的场景化应用以及场景能力的迭代,产品力的提升,包括产品的设计,产品自身安全,产品解耦能力等等。其次,对于产品和技术在初期应该做出最坏的结果预测,反向推导产品向实际需求的出发点去进行考虑评估。
甲方安全建设】DevOps初体验
今天是几号的博客
02-01 1505
临近春节,笔者经过半年北漂,实习期间辗转几家公司,同时也接触了几种不同岗位,也算对安全有了个初步的了解目前在一家公司做安全开发相关实习,期间接触到一些比较有意思的技术,特此记录一下之前写一些小的工具,无论是Bash、Python还是Java,都是顶多几百行的工作量,感觉不到开发的魅力,也没有开发和安全相结合的感觉,后面在公司有机会写一下完整的系统,以及后续的部署发布,体验到了创造的魅力(增删改查 hah)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值