En

SACC 2012 腾讯安全运维实践PPT及一些补充

作者:lake2 [ TSRC ]公布时间:2012-09-18阅读次数:11299评论:0

分享

非常感谢IT168举办的SACC2012,也有幸能参加会议与各位朋友交流。以下是演讲PPT,主要介绍了腾讯的一些安全运维体系,供大家参考,希望对大家有所帮助

 

PPT地址:本地下载    IT168

 

从场上提问和线下交流来看,PPT还有一定欠缺,我也就交流较多的问题重新思考了一下,特别补充在这里。未来有机会我再来完善这个PPT吧。

 

第一个问题是如何开展安全工作。我的看法是需要先评估目前企业安全处于何种进程:如果安全部门刚刚组建,建议而且也只能是从救火(应急响应)开始;当应急了一定阶段,需要考虑针对产生主要安全事件的原因进行预防,这个时候就可以建设相应系统来解决(系统/流程/文档建设。可参考SDL的几个阶段从后向前做);系统建设完成,能覆盖主要安全问题,就需要持续运营优化,深耕细作(平台运营)。

 

第二个问题是如何推动安全工作。这个也是线下跟同行交流时,他们普遍遇到的问题。我认为安全工作是一个自上而下的过程,你要让业务一线同事重视安全,首先你要让高层觉得安全很重要,得到高层支持。这是一个“洗脑”的过程。安全经理需要抓住一切机会向他们灌输“安全很重要”这个意识,最好的机会莫过于安全事件。很多时候,只要你抓住安全事件去推动一些安全策略方针实施,非常有效。另外,把产品安全性纳入产品质量考核(或者KPI),也能取得不错的效果。

 

最后说说如何事半功倍地进行安全工作。其实也很简单——控制安全风险在上线前解决(我觉得一个稍有规模的安全部门就可以完成)。所有的产品发布都会有一个流程,如果安全能成为流程里面的一个关键路径,并在这里设置检查点,就可以在上线前内部解决大部分问题。从腾讯的经验来看,有足够强大的安全系统支持,上线前检查就能够发现并修复大部分漏洞。

 

大概就先说这些吧,非常欢迎跟大家探讨,PPT里有我联系方式。

评论留言

提交评论 您输入的漏洞名称有误,请重新输入