wangzhaowen

wangzhaowen

动态

逻辑漏洞 wangzhaowenwangzhaowen 回答了问题 2016-08-05

业务逻辑漏洞的检测如何有效实现?

wangzhaowen wangzhaowen 安全工程师,HFBank
业务逻辑漏洞的检测一直确认是比较难以突破的课题,有一些外部厂商的方案是基于源代码进行扫描,但是效果一般。还有一些是投入了大量的人力进行渗透测试,另外就是内部自建安全测试团队。从个人角度来讲从原业务测试团队来查看全文
安全方案有效性验证 wangzhaowenwangzhaowen 回答了问题 2016-08-05

如何验证安全解决方案的有效性

wangzhaowen wangzhaowen 安全工程师,HFBank
安全解决方案一般是基于某些特定的问题产生的。问题是否解决可能是最好的验证方法,无论是对内的防控还是对外的防护,一是安全功能是否实现,即对所描述方案提供的功能要有验证,比如waf的扫描防护、终端管理的U盘控制,这些都查看全文
wangzhaowenwangzhaowen 回答了问题 2016-08-05

信息安全人员如何与业务部门协调沟通

wangzhaowen wangzhaowen 安全工程师,HFBank
目前我们接触的业务部门人员个人感觉还是可以的,首先对于安全人员来讲,具有很好和沟通能力是一般比较重要的要求,其次对于安全工作不能仅仅要求业务人员直接按照你的要求去做,因为通常来讲安全给业务提出的要求要么是对业查看全文
安全渗透 wangzhaowenwangzhaowen 回答了问题 2016-08-05

对于安全扫描或渗透测试发现的安全漏洞,一般采用什么样的定级标准?

wangzhaowen wangzhaowen 安全工程师,HFBank
先说点理论的,有比较多的标准共参考:CVE、CVSS、CWE、CWSS、CPE、OVAL等标准。还有如ISO29174、30111。国内的如GBT-28458、30276、30279,这几个可以从理论上进行参考。个人认为首先要区分安全扫描和渗透测试,这个从工作查看全文
数据安全 代码测试 白盒扫描 wangzhaowenwangzhaowen 回答了问题 2016-02-25

代码的白盒扫描如何在漏报率与误报率之间折中?

wangzhaowen wangzhaowen 安全工程师,HFBank
目前在白盒扫描出的结果其实误报率不小,需要行方在理解开发框架的情况下有针对性的梳理,一般首先关注行方使用最多的语言,针对性分析扫描出的问题,能明确哪些是明确的误报,能明确哪些是明确的问题,剩下的部分需要和开发一同查看全文
网络安全 银行 数据安全 wangzhaowenwangzhaowen 回答了问题 2016-02-25

如何制定移动端的数据安全策略?

wangzhaowen wangzhaowen 安全工程师,HFBank
个人感觉需要结合移动应用的使用场景和人员进行区分,比如行内用户还是行外客户。对于行内一般需要防护终端数据、通信链路、设备安全及易用性四个方面,再细化分为移动办公类和移动营销类,前者移动办公的终端数据、链路、查看全文
虚拟化 私有云 云安全 wangzhaowenwangzhaowen 回答了问题 2016-02-25

虚拟化平台的应用、私有云、混合云的应用,如何保护云主机的安全?

wangzhaowen wangzhaowen 安全工程师,HFBank
做好安全基线镜像,服务应用部署后的漏洞扫描,是否在云主机见做东西向防病毒目前还在研究,云化偏非windows系统,这要考虑一个必要性的问题。查看全文

    擅长领域

    数据安全 数据安全

    最近来访

  • liruyi00
  • 望川红枫
  • tmgaix
  • faye