安全村文集 第3辑

第三辑 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 独立思考协奏成章 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 第三辑文集申阅主编： Bruce ZHANG 编辑： Rachel ZHANG, Amy SUN 装帧设计：书名：安全村文集第三辑印发时间：2019 年 8 月第 1 版 2019 年 8 月第 1 次印刷网站：www.sec-un.org 投稿邮箱：[email protected] 致读者一，对抗时间。知识与信息不同，真正的知识应该可以对抗时间，文集就是这个初衷。从开始的立意、命名，选题、装帧，都是为了对抗时间，希望大家再翻开第一辑时，能看到时代与行业的变化，而我们的变化，也在其中。二，对抗距离。互联网无孔不入的今天，坚持纸质的传递，不觉两年，文集，也到了第三辑。这两年里，体验了蛮多事。有坚持。比如博客，念念不忘，必有回响，近来时常有素未谋面的作者投稿，成为新的朋友。为服务好读者们，曾特地将博客页面改版了 1 次，从土土的丑变为诡异的丑，引来恶评如潮，近期应该会再次改版，欢迎继续点评。文创还在坚持，从贴纸，到网络安全全景图，再到 APT 明信片，还有许多在策划的路上。手上的这本文集，也算是小小坚持的证明。有放弃。比如沙龙，我的锅。刚签下 BSides 之时，热情高涨，专门邀了朋友开闭门策划会，然后用了 1 个月时间做首期选题“开源与安全的未来”，参加了无数开源行业会议做调研，眼界倒是开拓了不少，但临要办时，又总觉得缺点什么，最终还是罢了。也算倔强。安全村微店是从第二辑才开启的，最初只是为方便零散的需求衔接，但过去 1 年，不知不觉间，后台竟也有了过千个订单。订单里看不到行业，身份，头衔，职责这些，只能看到地址，蚌埠，厦门，珠海，河池，六盘水，金华，南充，潍坊，银川，沧州，荆州，永州，白山，连云港，宝鸡，全国各地。有时深夜无眠，会倒一杯酒，看着这些地址，畅想着这一座座城，一个个人，是什么样子，在做些什么，不知道有没有机会一起喝一杯。最后，约个稿吧，安全是个完整的生态，还有些维度的话题，普遍的困惑，比如人力资源管理、梯队建设，比如销售管理、渠道策略，比如品牌规划、PR 应急，这类话题，依然少有人提及。希望有同样思考的读者，能来一起交流。愿大家一切都好。有新尝试。安全村并不仅仅是一个媒体，我们更期待成为一个文化服务机构。在这个定位下，从去年开始尝试为影视文娱行业提供一些版权保护相关的服务，在北京电影节等行业展会上也做了实地亮相，一场更为奇异的探索。这许多的日常里，有两个小的心得，也分享下。 2019 年 6 月 26 日目录观点管理技术资本致读者 1 浅析组织 IT 和安全战略（导论）… ………………………………… 吕毅 31 互联网企业安全建设思考与实践………………………… 靳晓飞 secsky 49 小规模团队如何开展信息安全工作？………………………… truebasic 65 漫谈互联网公司移动安全体系的探索与实践……………… 周群 B1nGzL 77 Gartner2019 年十大安全项目详解…………………………………… 叶蓬 107 从创业团队看 RSAC Innovative Sandbox 2019… ………………… 邬怡 117 送给 CSO 的三个安全锦襄… ……………………………………… 张海仓 133 安全与信任的半毛钱关系…………………………………………… 辛巴达 139 数字风险防护 DRP 初探… ………………………………………… 杨大路 155 堡垒机哲学史…………………………………………………………… 吴强 165 安全进化的终极猜想— 以“AI 之盾”对抗“AI 之矛”………… 李忠宇 171 The Productization of “Zero Trust”……………………………… 杨洋 179 美国网络安全态势感知发展过程与建设阶段……………………… 李鹏飞市场 191 WEB 3.0 时代的应用安全新思考……………………………………… 刘勇 213 威胁情报，突出重围的引航者……………………………………… 刘广坤销售 235 802.1X 的故事… ……………………………………………………… 郑磊 249 乙方视角的安全防御 15 年… ……………………………………… 陈世雄科普 267 网络安全行业不会一家独大…………………………………………… 许俊 275 从美国网络安全 ETF 基金所选 58 家企业看全球网络安全产业格局…… ………………………………………………………………………… 王文宇 285 那些对创业公司做 Marketing 最重要的事………………………… 岑义涛 299 销售如何验证与别人的关系？…………………………… Bruce ZHANG 附录中国网络安全产品分类及全景图 -19H1……………………………… 仙儿 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 观点 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 浅析组织 IT 和安全战略（导论）吕毅中国人民银行 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 金融信息中心信息安全部副主任 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 习近平总书记在 419 讲话中提到“从社会发展史看，人类经历了农业革命、工业革命，正在经历信息革命”。安全的发展史也是如此，从农业社会的人身安全，工业社会的生产安全到信息化社会的网络安全，逐步演进。以网络安全为例，在信息革命过程中已经历通讯安全、操作系统安全、系统安全、网络安全四阶段，网络和信息安全（以下简称信息安全）的内涵和外延不断扩展，从自我保护逐渐 1 浅析组织 IT 和安全战略（导论）行动的持续的过程，其关键词有二，一是利益协调，二是持演进至对抗和赋能。续行动。照此理论，可将治理特征分解为四是四非：是过程而非程序，是协调而非控制，是公私兼顾而非仅公共服务，是持续互动而非制度强制。一般而言，探讨 IT 治理时会同时提到 GRC，即治理（Governance）、风险（Rsik management）、合规（Comppliance）。三者的关系描述虽各有说法 , 但普遍认为依据职责和防护重点不同，我国信息安全从组织概念可分国治理是一种过程和方法，而不是一种结果，其是对风险和合家、社会、企业三层。就像军队保卫国家、公安保障社会、规行为的均衡以期达到利益相关方的共同目标。保安守护企业一样，国家有国家力量保障网际空间安全、社会有公安网信保障社会网络安全，企业则有安全团队为主保麻省理工斯隆管理学院信息系统研究中心（MIT Sloan 障企业信息安全。要做好工作，就要理论联系实践，理顺治 School of Management Center for Information Systems 理体系、高效坚定执行。在信息安全治理中，国家和社会层 Research）彼得·维尔（Peter Weill）在其《IT 治理》（人面有相应的立法做制度保障（宪法，刑法、网络安全法），大信息学院杨波教授译著）一书中认为 IT 治理最关心的问题有相应机构设置进行执行落地，网信办、公安部各司其职，就是三个，谁来决策，决策什么，怎么执行，IT 治理的边界其治理结构服务于我国国家安全战略。认知所限，此处我们就是顶层设计而非管理执行。尝试探讨企业层面信息安全治理和战略落地。与此同时，国际信息系统审计协会 (ISACA) 则将治理和管理一、治理和战略以及控制项进行了对应尝试，强调治理就是对管理的管理，目标是通过 IT 治理创造价值，从而将治理的范围部分扩大到 1.1 治理的内涵和作用管理。ISACA 推出的信息及相关技术的控制目标（COBIT5）治理一词源远流长，2000 多年前我国“明分职，序事业，材则从信息系统战略、战术、运营层面给出了对 IT 的评测、量技官能，莫不治理”中的治理偏向于规则制定（《荀子·君道》），度和审计方法。而国外“治理”（Governance）的来源一说是从古希腊语“引领导航”（steering）中来，意为方向指引。国内信息安全治理理论跟随 IT 治理理论发展，早期以咨询公司为主，目前先进的安全治理理念则主要是来自头部用户的自 20 世纪 90 年代开始，国内学术界对治理概念及应用展开最佳实践。了大讨论，目前共识普遍趋向 1995 年全球治理委员会的定义，即治理是在相互冲突或不同的利益中进行调和并且采取联合 2 平安科技陈建先生在 2018ISC 大会上曾谈到信息安全工作中 3 浅析组织 IT 和安全战略（导论） GRC（治理、风险、控制）的关系，提出了风险管理模型。管理是设计方法低头拉车，盯的是执行的效率颗粒度，目标该模型以风险为核心，通过合规、安全技术实现内控目标。是活着；而治理则抬头看路，考虑的是明天该怎么走，目标三部分的逻辑关系中：风险是治理的基础（此处风险指企业是活好。面临的内外部风险并非特指 IT 风险），在整体工作中以风险为指引。具体工作中，合规是基础，金融企业最重要的资源虽然治理概念比较高大上，是协调、框架、协调利益，但真就是声誉和牌照，面临的内外部监管要求是合规的基线，也正让各方达成相对一致，实非易事。如同南怀瑾先生引用的是硬性要求。一方面，以合

安全村文集 第3辑

安全村文集第3辑