建议程序中对于一些特殊符号和关键字进行阻塞和过滤。
web页面防篡改工具包含动态页面防篡改和静态页面防篡改工具。目前,我们使用了Imperva、绿盟科技、Iguard等厂商的页面防篡改工具。启明、安恒等安全厂商应该也都有页面防篡改产品。
数据分类依据:数据的敏感度等级,如果发生数据泄漏或损毁,对于数据主体、行业造成的损失和影响程度等。数据分级依据:根据防御对象、恢复要求时效等。
我们移动App的测试主要靠安全厂商来执行。譬如绿盟、梆梆、娜迦、总参、国测、CFCA都在做相应的检测。
对收集来的数据做到很好的关联分析是很难的一件事情。当然,一些soc或者siem也做了相关工作。 国外厂商,譬如赛门铁克、IBM好像都有Siem产品,国内厂商,天融信也在做SOC。个人感觉,仅日志采集的话,splunk是个不错的产品。
我目前了解的好像安恒、360都有源代码审计工具。当然,自动化审计测试,效果不一定特别理想。如需有更好的效果,需要人工手工审计,好像安恒、360、绿盟、IBM等一些安全厂商也在做相关的事情。目前,行业好像还没相关标准。
证券行业数据分级分类工作目前尚处于起步阶段。据了解,中信证券好像做了一些相关工作,具体可以学习一下他们的做法。
可以通过现场或者视频会议的方式开展人员安全意识培训,培训的内容结合公司经常发生的安全问题或者国内外安全热点现状,进行教育提醒。 可通过培训PPT讲解、制作信息安全意识手册、发放信息安全知识图片、发送信息安全
在有关制度中要明确信息安全员的职责,譬如,信息安全员定期对本部门安全落实情况进行检查督导、对病毒情况上报技术部安全管理员等等。
机制要做到制度化、流程化,需要IT部门、审计部门、监督部门等部门不断的实践、检查和督导,最好能建立相关的系统,将相关策略在系统中实现。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024 talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30