周智坚-掌握企业安全建设的1+1+N你就拿到了通向未来CISO的钥匙！（10页）.pdf

《周智坚-掌握企业安全建设的1+1+N你就拿到了通向未来CISO的钥匙！（10页）.pdf》由会员分享，可在线阅读，更多相关《周智坚-掌握企业安全建设的1+1+N你就拿到了通向未来CISO的钥匙！（10页）.pdf（10页珍藏版）》请在三个皮匠报告上搜索。

1、掌握企业安全建设的掌握企业安全建设的1+1+N1+1+N，你就拿到了通向未来你就拿到了通向未来CISOCISO的钥匙！的钥匙！企业安全未来方向在哪里？企业安全未来方向在哪里？经常有安全的朋友吐槽：1、信息安全涉及的东西太多，从法律合规、网络、服务器、开源组件、办公设备、开发、云、大数据，甚者以后的智能设备，现在科技变化这么快，什么都需要懂，学不完；2、现实中也没有百分百的安全，经常背完这个“锅”，又要背下一个“锅”，做安全的太难了，未来企业的信息安全到底应该怎么做？从中国企业正在发生的变化看未来安全的方向？从中国企业正在发生的变化看未来安全的方向？1 1、当前产业正在发生什么变化？、当前产业正

2、在发生什么变化？中国改革开发40+年，经历了制造业的大发展，也经历了互联网的高速增长。但是双方都想惦记着对方的一亩三分地，互联网企业想在高端制造分一杯羹，制造业又想用互联网思维提升企业生产管理水平，这种软件与硬件的强化融合，造就了产业互联的大趋势，这种趋势下科技赋能业务，业务不断科技化，成本不断降低、效率不断提升产品不断创新，这就是当前产业正在发生的变化。2 2、未来、未来5 5年企业信息安全会朝什么方向发展？年企业信息安全会朝什么方向发展？安全伴随科技而生。安全伴随科技而生。在产业互联转型的大趋势下，信息安全就是生产安全，安全必须融入业务。企业的安全人员也要基于企业的信息化和科技架构绘制安全

3、业务全景图。从以上的分析，我们可以了解到几个基本信息：1、未来5年产业互联网转型是个大趋势；2、安全伴随科技而发展；3、安全需要融入业务就像质量之于产品，安全需要成为业务的一部分。基于这些，我提出了一句话的安全业务架构：安全的员工，使用安全的设备，经过动态的鉴安全的员工，使用安全的设备，经过动态的鉴权，精细化的授权，访问安全的系统。权，精细化的授权，访问安全的系统。未来安全业务架构未来安全业务架构-一句话安全一句话安全一句话安全如何落地？如果我们认为至此就可以开心地跟公司说出伟大的目标，那就想多了，因为业务永远是第一位的，安全团队需要想好一切。1 1、如何通过技术落地一句话安全？、如何通过技术

4、落地一句话安全？2 2、一句话安全建设的路径和阶段如何？、一句话安全建设的路径和阶段如何？3 3、需要多少时间和人力才能完成一句话安全的建设？、需要多少时间和人力才能完成一句话安全的建设？一、一句话安全必须以产品思维落地：一、一句话安全必须以产品思维落地：1+N1+N，实现安全业务的信息化、自动化、数据，实现安全业务的信息化、自动化、数据化，甚者智能化。化，甚者智能化。1 1指的是一个安全运营平台指的是一个安全运营平台-安全安全ERPERP：这个平台主要是处理安全业务的主逻辑，实现安全业务的信息化和数据化。：这个平台主要是处理安全业务的主逻辑，实现安全业务的信息化和数据化。1 1）作业中心，）

5、作业中心，着重风险闭环，通过信息化产品固化安全作业，降低对熟练人工的依赖。主要内容含全面的资产管理、风险的闭环处置。2 2）稽查中心，）稽查中心，着重人工触发的风险稽查任务。主要内容含SRC、安全评审、例行检查、专项检查。3 3）数据安全中心，）数据安全中心，着重数据在使用流转过程中的风险管理。内容含业务导数管理、DBA敏感操作管理、大数据平台安全、敏感数据轨迹。4 4）预警中心，）预警中心，着重应急响应，通过及时的告警数据，提高应急响应的速度和全面性。预警中心内容含：终端日志、账号日志、网络日志、服务器日志、应用安全日志、授权日志、数据安全日志、安全设备日志、以及可疑场景类告警，如攻击类、泄

6、密类、违规类等。日志分析也是多层次分阶段实现的，从简单的告警规则，到聚合类分析，再到利用AI模型的自动分析。5 5）报表中心，）报表中心，着重风险趋势和效能分析，实现企业风险的透明化、安全团队任务的透明化。主要内容含：产品安全质量报表、办公安全报表、系统运营过程中的风险分布图、数据安全报表、安全人员效能分析报表、用户行为分析报表及轨迹数据等。6 6）评分中心，）评分中心，着重企业安全水平评价，尝试通过各领域的风险指数以及能力指标评估企业安全成熟度。主要内容含员工安全素养、攻击者视角的防护能力、内部人员违规泄密的管控能力、日常运营能力、应急响应速度，以及风