信息安全從業(yè)人員工作總結_第1頁
信息安全從業(yè)人員工作總結_第2頁
信息安全從業(yè)人員工作總結_第3頁
免費預覽已結束,剩余5頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、信息安全從業(yè)人員工作總結經(jīng)過了鳳凰網(wǎng)以及完美世界開發(fā)工作的鍛煉, 對于安全開發(fā)工作有了一些很好的認識,下面總結一下過去的經(jīng)驗和教訓。對于安全開發(fā)一定要有一套成熟度模型, 例如公司剛開始做的時候定義的級 別可以低一些, 可做的事情要少一些。 但是隨著熟練程度的增加以及大家對于安 全開發(fā)的理解的加深,逐步加深高級別的安全成熟度模型。下面就簡單介紹一下我心中的成熟度模型的相關控制, 未分級大家可以依靠 公司自己的特性來進行補充。1. 管理安全控制1.1 建立安全職責,目標就是組織中都明確自己的職責和責任工作內容:a) 組織安全機構組織架構圖例如信息安全委員會等等,這里一定要注意安 全機構一定級別足夠

2、的高,例如屬于董事會或者 CEO下面b) 文檔化安全角色,職責,責任以及授予什么樣的權限1.2 管理安全配置工作內容:a) 系統(tǒng)中所有軟件的更新記錄, 保證出現(xiàn)問題可以很快的追蹤到相對應的版 本以及回退b) 系統(tǒng)中所有問題的 bug 記錄以及安全問題記錄這樣可以很好的知道現(xiàn)有 系統(tǒng)所存在的風險1.3 安全意識、培訓工作內容:a) 安全意識、培訓的內容的有效性b) 跟蹤用戶對于培訓和意識課程的理解c) 培訓以及安全意識課程的資料收集, 一定要來源與內部, 當然也可以來源 于外面的安全事件1.4 管理安全列表工作內容:a) 收集維護以及各個系統(tǒng)的日志b) 敏感資產(chǎn)的詳細清單c) 安全控制失效的原因

3、以及解決方案1.5 風險評估工作內容:a) 識別安全運維過程中的風險b) 識別安全開發(fā)過程中的風險c) 定義組織內統(tǒng)一的安全度量標準2. 協(xié)調組織內的安全角色2.1 定義協(xié)調的最終目標工作內容:a) 信息共享的途徑,例如安全部門一定要建立漏洞管理數(shù)據(jù)庫保證研發(fā)、 運維部門第一時間得到這些信息, 最重要的是要得到他們的相應, 從這些響應中 得到相對應的流程, 進而推動了安全部門的地位, 最重要的是保證了安全問題第 一時間得到修補。b) 各個部門定義安全員,這樣做的目的可以讓他們在內部幫我們推動安全 相關流程。2.2 協(xié)調機制工作內容:a) 一定要定期或者非定期的進行安全溝通,這樣做的目的是第一時

4、間得到 他們對安全的理解和認識, 如果他們出現(xiàn)錯誤的認識我們要及時的進行更正, 讓 他們可以按照我們的想法走b) 一定要注意跟外部安全專家以及安全公司的交流, 這樣做可以第一時間得 到最新的安全漏洞以及安全解決方案3. 組織內部建立安全監(jiān)控3.1 事件記錄工作內容:a) 一定要記錄到每個安全事件的詳細內容,這樣做可以形成組織內部的問 題管理庫。 組織第一次發(fā)生事件的時候可能馬慌腳亂, 但是有了這樣的過程發(fā)現(xiàn) 同樣問題的時候可以很好的得到第一時間解決b) 安全事件的詳細分析以及歸納,目的是分類安全事件形成相對應的響應 團隊。3.2 級別安全突發(fā)事件工作內容:a) 一定要事先定義好突發(fā)事件的清單,

5、這樣做的目的是防患于未然。b) 根據(jù)上面的清單來列出相對應的突發(fā)事件的響應手冊c) 突發(fā)事件的逐級報告,有的部門怕?lián)熑坞[瞞事件的危害,這樣做的危 害非常大,高層不了解安全危險,他就不能做好很好的決策。3.3 定義檢查安全防御措施工作內容:a) 定期檢查 WEB安全防御措施b) 定期檢查操作系統(tǒng)安全措施c) 定期檢查網(wǎng)絡安全措施d) 定期檢查人員安全措施3.4 突發(fā)事件響應內容工作內容:a) 系統(tǒng)優(yōu)先恢復的列表, 重要的系統(tǒng)得到 DDOS或者其他重要攻擊的時候先 要恢復那些列表。b) 應急響應計劃,定義突發(fā)事件的響應計劃,定期非定期進行演練。4. 安全組提供相對應的安全建議4.1 提供安全編碼

6、建議a) 安全設計原則,安全編碼規(guī)范以及威脅建模、威脅樹分析b) 定義安全體系架構以及查找對應的信任關系,著重注意信任關系,因為 信任關系是最容易出現(xiàn)問題的地方4.2 提供安全運維指南工作內容:a) 安全加固手冊b) 安全流程風險分析以及對應的解決方案4.3 識別安全需求工作內容:a) 根據(jù)需求文檔得到安全需求列表b) 注意隱私保護以及法律法規(guī)的限制c) 實現(xiàn)統(tǒng)一的安全防御措施,這里主要目的是針對一類問題進行統(tǒng)一的處 理5. 驗證5.1 驗證安全編碼漏洞a) 利用 owasp ASDR進行威脅分析,同時編寫對應的安全測試手冊b) 利用上線前檢查來測試相對應的風險c) 測試框架類安全例如 Spring,Struts 以及 zendframework 以及其他相關的MVC架構5.2 驗證系統(tǒng)安全漏洞工作內容:a) 利用相對應的框架來進行系統(tǒng)安全漏洞檢查, 例如 OSSTMM,ISSA等F 框架5.3 驗證網(wǎng)絡漏洞工作內容:a) 利用相

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論