![]()
两年间,安在采编“诸子云”社群日常交流(各会员群内脑力碰撞)之精华,出品“微话题”栏目,两年多时间里,先后整理上千次讨论,汇整数百个热点话题,发布数十期文章,涉及企业网络安全最佳实践方方面面、角角落落。与此同时,我们还以月为单位,把所有经过整理的讨论内容归档到诸子云知识星球,让微话题可沉淀、能检索,成为可持续输出价值的甲方“新鲜事儿”。
![]()
我们诚挚欢迎更多朋友进入到诸子星球,参与话题讨论。
本期“微话题”,我们从“诸子云”社群里选取了五个引发热议的小话题为读者们予以呈现,分别为:“新的监管要求可能导致重大的应用程序系统变更,谁应主要负责提供关于其影响的指导?”、“软件开发团队的一位成员有权限访问一个可用帐户,这个帐户拥有管理生产文件的全部权限。创建这个帐户的目的是让开发人员可以下载用于软件测试的非敏感生产数据。假设所有选项都可实现,信息安全经理应建议采取哪种做法?”、“如何评价「因为爬虫失控,CTO和程序员双双被判刑」?”、“如何看待传闻「b站企业邮箱发群员钓鱼链接致多员工被骗8w元」?”以及“大家对深信服可监测员工跳槽倾向系统引争议,有什么想法?”
新的监管要求可能导致重大的应用程序系统变更,谁应主要负责提供关于其影响的指导?
A. 内部审计部门
B. 系统开发人员/分析师
C. 关键业务流程所有者
D. 企业法律顾问
观点1:
正确答案是C,解释是这样的。A. 内部审计师的职位决定了他们不会完全理解所有的业务后果。B. 系统开发人员不会了解对业务运营的影响。C. 业务流程所有者最能了解新监管要求可能对系统产生的影响。D. 法律顾问并不能了解相关业务后果。
观点2:
这个题是不是不同阶段企业答案不一样?而且关键是给谁做指导,受影响的人是谁,法务去跟客户单位做指导跟合作方做指导,平时都没这么指导过。监管要求也不一定是法律顾问吧,要不要区分一下要求内容,可能的应用程序变更的影响分析。不然如果按照监管要求,我认为选D。
观点3:
我认为是C。应该是业务部门、流程owner主要负责。因为D只能解读监管要求,D对业务和流程是不够理解的,监管要求对业务的影响只有业务部门才最清楚。因此我选C。
观点4:
选D吧;这个变更来源是合规,法律先给出清晰的线最重要。用三道防线理论去解,BC是第一道防线,D是第二道防线,A是第三道防线。指导的职责在第二道防线。
观点5:
干脆多选,不要纠结了。其实实际工作中都是多选,不同企业权责划分可能不太一样,答案也不一定。万一审计和业务的理解不一致呢,那后面不也是各种扯,一般我都会和审计和业务沟通,达成共识。
观点6:
负责指导和负责是两回事吧,指导应该是律师吧,d更合适。我觉得这个是个理想态;实际业务更像一个用户角色;简单来说数据存储方式和位置,这些业务几乎都是无感的,还是法律解读清楚,技术去实现。
观点7:
你说的也是理想态,让网络法的律师有技术背景和熟悉业务的开发人员,负责人了解法律,我觉得后者相对容易些,毕竟法律不可能对技术规定的那么细节。法律是一个平衡,而非完全的约束,可能各家公司的理想态和现实态都不一样。
观点8:
这里主要是站位的问题;中间的弥补法律和技术的协调,就是我们这些做安全的;业务负责人,最后确实要对花多少钱和多少时间确认;但是整个方案的思考和制定,业务真的参与不了什么,无论法律还是技术业务都不了解。
观点9:
这个安全人员的角色有点像产品经理或架构师,既懂业务、还懂技术实现,复合技能人才。学无止境啊,处于居中协调角色,保证业务连续性。
软件开发团队的一位成员有权限访问一个可用帐户,这个帐户拥有管理生产文件的全部权限。创建这个帐户的目的是让开发人员可以下载用于软件测试的非敏感生产数据。假设所有选项都可实现,信息安全经理应建议采取哪种做法?
A.将帐户访问权限制为只读。
B.记录此帐户的所有使用信息。
C.暂停该帐户,并且仅在需要时激活。
D.要求每次下载时提交变更请求。
观点1:
正确答案是A,解释是这样的。A.管理帐户有权更改数据。开发人员在执行任务时并不需要这样做。未经授权的更改可能会损坏数据的完整性。将帐户访问极限制为只读可在允许访问的同时维护文件完整性。B.记录帐户的所有使用信息是一项检测性控制措施,不能减少访问权限过高造成的漏洞。C.暂停帐户并仅在需要时激活的做法不能减少访问权限过高造成的漏洞。D.要求每次下载时提交变更请求的做法非常繁琐,而且不能减少访问权限过高造成的漏洞。
观点2:
首先,以C为建议的话,有多少人能做到?其次,站在考试思维来讲的话,应该是A,因为要最小权限。但是实际情况其实是B操作维多。从安全经理的建议,我觉得最小化授权是合理的,其他几个选项都和业务流程相关,安全可以建议,但不见得好推动。从风险降低的角度,也是选A,其他几项没法直接降低风险。
观点3:
不选C的主要原因是题目描述的目的是下载文件,选C可用性受到影响。而且没有说明激活的权限。非敏感数据,机密性不考虑。
观点4:
A也有问题,需求是用于测试的一部分数据,给的是所有数据,而且随时获取,两个点都放过了。随时获取,除非实时在生产线上测试,否则就肯定是不必要的。当然,只能说A不全,但也降低了风险。
观点5:
题干强调了是非敏感数据。我们要聚焦数据的分类分级保护,忌只有保密的思维,忽视可用性。实际操作中可能确实A+B的操作可能性大。B的问题,在于日志记录也是要花成本的,杜绝浪费磁盘空间。
观点6:
有个陷阱,就是非敏感数据。只开启需要记录的日志,当然也有系统性能的影响问题。这道题也考察了逆向思维,从CIA三性中平衡。现实实际操作中,许多该开启记录的系统日志没开启。所以现实中有很多说不清楚的情况和没能及时发现的问题。
如何评价“因为爬虫失控,CTO和程序员双双被判刑”?
观点1:
这个案例,光从发布出来的信息看,我个人是有疑问的。量刑应该是看后果也看动机,这个后果和动机都值得商榷。而且判3年,比大多数侵犯商业秘密案例判的都重,不合理。改天要去翻一下裁判文书网的资料查查,我猜测大概率是捡到了一个软柿子。当年风头一时无两的国宝烧香李俊也才判了4年,就这个量刑来看差点就可以相提并论了。
观点2:
第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第二百八十六条 【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条 【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
第二百八十七条之一 【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条 【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
第二百八十七条之一 【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条 【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
第二百八十七条之一 【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
观点3:
![]()
如何看待传闻“b站企业邮箱发群员钓鱼链接致多员工被骗8w元”?
观点1:
这个是其他人利用别人企业邮箱发的钓鱼全员邮件吧,我朋友公司年前也中招了,当然就算用自己的邮箱发钓鱼,企业里都会有不少中招的。反映的是安全意识培训不到位,而且如果没有第一时间全员提醒,安全要背大锅了。所以此类事件信息安全团队不应该直接出动吗?
观点2:
关键是信息太少,挺想知道到底怎么骗的。一般不用那种公共邮箱发,没多少人会信吧,而且还涉及到钱,这安全意识有点迷惑啊。一般是福利这种,有二维码,扫描填写个人信息,然后发短信验证码给你,验证码回复后就把你的钱给转走了,现在密码什么的已经很难骗到人了。
观点3:
我朋友公司年前就有部分人中招,也是别人利用了他们某位同事邮箱,给企业全员发福利邮件。以前都是说中奖了需要先交税,部分同事就填写了相关个人信息,比如手机号,银行卡,余额。安全团体还全员通知,发了几次提醒信息,还发了调查问卷,后面还有同事中招。
观点4:
如果公司没有安全团队就没什么好说的,但是如果有安全团队 一时间封禁ip邮件服务器删除邮件,中招人员单独通知,不是基本操作吗?应该扣安全部门的KPI。
观点5:
很多人不看这些邮件的,但会看让他中招的邮件,所以但凡安全侧发现,基本已经中招了。而且本地邮件客户端已经收了邮件,是删除不到的。别指望员工都有安全意识,很多人估计电脑也就一个word水平。而且很多邮件收发不是在办公网,封禁啥的根本没用。
观点6:
服务端看谁下载了,单独通知,说句难听的话,体现自己价值的东西都不去做。如何发现,如何定位,如何通知,如何善后,如何教育。都是安全部门能力和服务态度的问题,不用去责备那些被骗的人。
观点7:
我的态度,业务部门钓鱼中招,先扣对应业务安全bp的绩效,再扣当事人的安全信用分。后续安全bp和当事部门一同搞好安全意识。关键还是组织里面安全能力的问题,这个责任就是安全bp的。
观点8:
不行,个人责任绝不能被无视,鼓励积极安全行为,惩罚错误安全行为,否则安全彻底变背锅侠,前司员工条例写的很清楚,视情况连奖金都可以扣,安全不能丢掉自己手上的刀。
观点9:
我们是不仅当事人受处分,主管也要连坐,这是必要的管理动作,然后就陷入了主管撇清责任的撕扯..不过无所谓,教育惩戒达到了。你可以不惩罚,拿去交换点东西,但不能放弃这个权力。
观点10:
平时都教育多考核,有事要去扛,我抓的那些人,第一句先问你知不知道这样做是违规的,公司严令禁止。回答都是知道,考过试上过课。安全又不是保姆,我都教过你了,你还缺根弦?
观点11:
所谓安全教育,要分层。对有些销售地推员工,和对技术线员工,要区别对待。而且也跟收入有关,一个月五万块和一个月六千块的员工,也不同。作网络安全的要争取/有经济考核权。而不是任何出了网络安全的事会被连坐,安全职责要尽可能分解出去 而不是啥都lan在手上。
观点12:
我只知道b站企业邮箱是exchange,这个企业邮箱对外开放,风险较大。当前存在一堆问题,外加有明确存在的0day嘛……最近还有新闻收购其系统的0day,所以自建邮件系统的,哪个好 (安全第一)商用及开源,近有个项目涉及到邮件系统的独立化私有部署,当然会二开等包括加一些其他后加强其安全性。
观点13:
我们一直倡导安全不单单是安全部门的事,是公司每一个工程师的职责。风险共承,责任共担。这跟传统的思维方式不一样,需要改变每个人思维习惯挺难的。但是文章里公司的做法肯定也是有问题的,出了事不要推脱,还是自己公司员工。如果有较真的员工,我觉得这里头还真有得纠缠呢。
大家对深信服可监测员工跳槽倾向系统引争议,有什么想法?
观点1:
这个公司层面法律上没什么问题,类似的平台又不是深信服一家,就看道德层面。法理站得住的,如果个人信息保护滥用,那我主动输个人信息好了,那全乱了。你用公司的设备,公司的网络,应该有自觉;反过来想,如果有个人监守自盗,你如何查他信息。
观点2:
以前,我去查一个监守自盗的,结果他彻底用自己的电脑和流量,现金结算,至少8000万案值,最后大老板没办法,放弃。
观点3:
外企会比较头疼,我08年上网行为管理时候,法国人罢工了。这种也是双刃剑,用办公网的员工会越来越少,游离于公司之外的办公渠道和数据会越来越多,所以终端数据收口好难。就跟很多私募经理为了抱团,私下里拉微信小群操盘一个思路,游离于监管之外。
如果你是甲方业者,还未加入诸子云,别犹豫,赶紧联系,诸子云作为国内目前最大也最为活跃的网络安全甲方社群,一定是你最佳选择。
更多话题在诸子云知识星球有归档,想了解甲方日常所想?想理解甲方工作之痛?想掌握甲方真实需求?赶紧加入这个开放的“宝藏”。
![]()
另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。
如果你是厂商,想拥有更多传播和对接价值?赶紧加入安在企业服务计划,成为安在企业会员吧!
![]( "安在会员计划_自定义px_2020-11-11-0.jpg")
齐心抗疫 与你同在 ![]()
