柚子快報邀請碼778899分享：安全上半年工作

http://yzkb.51969.com/

提示：文章寫完后，目錄可以自動生成，如何生成可參考右邊的幫助文檔

安全上半年工作

前言一、安全運營1. QSRC2. 風險管理3. 代碼檢測4. 其他

二、安全技術(shù)1.國密機房建設(shè)2. 質(zhì)保&信息安全流程討論（IPD2.0共創(chuàng)）2. 邊界資產(chǎn)梳理2.IAST2. BSD項目交付3. 北三信使4. 業(yè)務(wù)評審5. 阿里云6. 編碼要求

三、安全產(chǎn)品1. 安全評審1. 安全月報2. 風險管理3. 代碼披露2.讀入數(shù)據(jù)

總結(jié)

前言

提示：這里可以添加本文要記錄的大概內(nèi)容：

例如：隨著人工智能的不斷發(fā)展，機器學習這門技術(shù)也越來越重要，很多人都開啟了學習機器學習，本文就介紹了機器學習的基礎(chǔ)內(nèi)容。

提示：以下是本篇文章正文內(nèi)容，下面案例可供參考

一、安全運營

示例：pandas 是基于NumPy 的一種工具，該工具是為了解決數(shù)據(jù)分析任務(wù)而創(chuàng)建的。

1. QSRC

審核48，嚴重1 高危1 中危2 低危14.

2. 風險管理

24年1～6月共160條風險，修復中13條，閉環(huán)147條風險，閉環(huán)率%。

3. 代碼檢測

代碼檢測規(guī)則過濾審批166條記錄。

4. 其他

平臺研發(fā)反饋的duboo服務(wù)日志異常，云上流量日志分析及運維端口抓包均未發(fā)現(xiàn)異常。提供系統(tǒng)端口監(jiān)控腳本由運維協(xié)助抓取日志，未見進程異常，基本排除被攻擊的可能。阿里云WAF告警*.api.qxwz.com超過閾值，運維上報一個IP定位屬地山東青島的專線IP 112.250.69.18、短時間高頻公網(wǎng)掃描行為觸發(fā)CC防護攔截量(5m)連續(xù)2分鐘>30000告警，日志只有1.activity.docs.api.qxwz.com這個無效域名，經(jīng)日志分析屬于常規(guī)外部掃描探測行為。recap桶的計費異常分析 因未知公網(wǎng)IP 47.101.164.50 對馳觀的saas圖片 進行持續(xù)GET請求，導致了公網(wǎng)計費異常（每月200-300元）。 已告知recap桶相關(guān)方，本周進行流量切換或公網(wǎng)加白IP報備，下周將對47進行IP攔截。recap桶的計費異常情況后續(xù) 現(xiàn)實捕捉亞松反饋公網(wǎng)測試應(yīng)用存在后端走公網(wǎng)調(diào)用的情況、已建議切換為內(nèi)網(wǎng)調(diào)用recap的方式。 立威反饋調(diào)用recap桶連接異常，確認為馳觀sadk簽名時的header格式問題，與ram策略無關(guān)。 對公網(wǎng)IP 47.101.164.50的攔截ram配置已同步佳星，待運維變更。協(xié)助業(yè)務(wù)運維檢查uat域名疑似造acl策略攔截的問題，確認無需調(diào)整WAF。武大挖礦主機日志分析，建議1刪除測試賬號2清理可疑可執(zhí)行文件3加固ssh連接策略。ASRC遺留的位置APP工單越權(quán)回復漏洞，本周驗證代碼及接口復測均通過、已關(guān)單。整理國護、護網(wǎng)期間攻擊手法、規(guī)避方式及相關(guān)PPT資料，同步給帥領(lǐng)作為宣貫素材參考。發(fā)現(xiàn)一個開放在公網(wǎng)側(cè)的向日葵服務(wù)端歷史系統(tǒng)，提供客服進行設(shè)備遠程使用，版本安全性正在評估中。告警發(fā)現(xiàn)云上172.16.217.240、172.20.6.182兩臺存在CVE-2021-4034提權(quán)漏洞poc腳本、已聯(lián)系當事人刪除。

二、安全技術(shù)

1.國密機房建設(shè)

【國密機房】德清國密機房新設(shè)備上架完成，江南天安加密機、簽名服務(wù)器、KMS、DB服務(wù)及衛(wèi)士通SCM、Nginx服務(wù)部署完成，存量灣谷ukey等數(shù)據(jù)同步至德清國密機房。下周運維配置路由走通3443映射后，由嵌入式同學支持聯(lián)調(diào)測試、驗證新舊機房的服務(wù)兼容性。國密機房部署的部署架構(gòu)示意圖、資產(chǎn)服務(wù)清單、賬號密碼等整理完成，本周站網(wǎng)和運維側(cè)的網(wǎng)絡(luò)路由仍與研發(fā)uat環(huán)境調(diào)通、存在延期風險。國密機房的詳細拓撲圖繪制完成，站網(wǎng)及運維側(cè)到北京測試的網(wǎng)絡(luò)本周已協(xié)商打通 能夠進行下一步聯(lián)調(diào)測試。另外江南天安和衛(wèi)士通此前共用的數(shù)據(jù)庫賬號進行了重建及配置修改，驗證服務(wù)正常，規(guī)避了等保合規(guī)風險。此前江南天安安裝失敗的SSLVPN組件進行版本確認，重新更新上傳包，下周能夠重裝和驗證。德清國密機房搬遷項目，平臺及站網(wǎng)CA證書申請 聯(lián)調(diào)測試正?？捎?。熟悉加密機服務(wù)軟硬件架構(gòu)、整理的相關(guān)文檔資料。德清機房的云側(cè)目前聯(lián)調(diào)正常，端側(cè)聯(lián)調(diào)仍在準備中。德清國密機房軟卡服務(wù)的公網(wǎng)網(wǎng)絡(luò)配置完成，現(xiàn)提供/scm-api接口供終端設(shè)備使用、研發(fā)配置固定IP即可正常測試聯(lián)調(diào)。

2. 質(zhì)保&信息安全流程討論（IPD2.0共創(chuàng)）

為解決安全響應(yīng)被動、時效/準確性不高、輸出與實情不匹配的問題與質(zhì)保團隊討論流程問題，希望加入IPD2.0共創(chuàng)。與質(zhì)保確認日后信息安全團隊能夠在部分質(zhì)保TR1階段通過子流程介入產(chǎn)品立項/評審環(huán)節(jié)，便于盡早的進行威脅建模和安全評估。向質(zhì)保雯娟提供 IPD&安全要求及卡點評估表：https://qianxun.yuque.com/awslllll/fqv6zu/heb84ds3pcvgczgv 。下周將組會解答質(zhì)保同學疑問的地方。重新梳理 IPD&安全要求及卡點評估需求：https://qianxun.yuque.com/awslllll/fqv6zu/heb84ds3pcvgczgvIPD&安全要求及自評估表，本周已同步質(zhì)保團隊用于日后公司IPD質(zhì)保TR1～6階段的環(huán)節(jié)評審。后續(xù)將輸出信息安全自評問卷用于安全驗證卡點。

2. 邊界資產(chǎn)梳理

梳理千尋APP、SDK資產(chǎn)、流程、安全加固現(xiàn)狀，進度30%。邊界安全資產(chǎn)盤點 本次邊界安全資產(chǎn)盤點將圍繞現(xiàn)有產(chǎn)品、項目、客戶線，補充45項資產(chǎn)安全標記。安全漏洞風險管理體系建設(shè) 已初步梳理完成 安全需求評估表，評估大類涉及業(yè)務(wù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、安全檢測五個部分 39項。邊界資產(chǎn)：邊界網(wǎng)絡(luò)資產(chǎn)盤點，發(fā)現(xiàn)問題資產(chǎn)記錄52項，均已反饋運維及研發(fā)進行核實和閑置資源下線。細節(jié)如下：

2.IAST

線程熔斷、key定制化二開需求邏輯對接，供應(yīng)商需要1周時間完成二開，交付實施定于本月底前完成。

2. BSD項目交付

AWS的VPC Flow Logs的公網(wǎng)SLB、出向NAT（SNAT）日志數(shù)據(jù)采集的生產(chǎn)單接口配置完成，驗證日志流入正常（原缺少IAM和policy），并補充配置文檔說明。VPC Flow log配置方法已同步碩夫，AWS的威脅情報出入向流量標記、IP標記段已同步普全。BSD堡壘機IP訪問白名單策略確認，將由運維進行策略變更。BSD項目，AWS-WAF遷移方案調(diào)研及生產(chǎn)測試域名的驗證。本周對生產(chǎn)區(qū)域的測試域名接入成功，生產(chǎn)域名的ALB已切換至生產(chǎn)實例、待本地host驗證后再與運維確認變更時間。完成歐洲美洲6個生產(chǎn)系統(tǒng)域名的AWS-WAF接入和驗證。補充BSD云平臺日常安全運維操作梳理語雀文檔。AWS的Palo Alto的XDR產(chǎn)品調(diào)研熟悉。對BSD切換AWS后的6個域名進行安全復測、均存在指紋泄漏的低危風險，已同步運維對默認頁的指紋信息抹除。BSD的AWS漏洞復測完成，復測結(jié)果已郵件告知。BSD的BrokerVM方案在AWS上的測試部署，當前進度50%。

3. 北三信使

北三項目本周發(fā)布了合規(guī)加固后的代碼包及源碼，待業(yè)務(wù)該版功能測試驗證中。本周暫無安全支持，下周將對北三測試定版源代碼做掃描和定版apk加固。【北三信使】交付0103版APK代碼檢測報告、0109版APK的加固、加固報告。代碼風險相關(guān)APP研發(fā)正在評估及加固，下周對齊進度。

4. 業(yè)務(wù)評審

【重慶北斗示范】客戶要求我單位簽署網(wǎng)絡(luò)安全承諾書，本周與項目同學溝通要求將相關(guān)交付資產(chǎn)清單及已交付承擔的信息安全范圍重新明確后、再進行交付安全測試。重慶北斗示范項目，之前要求的網(wǎng)絡(luò)安全承諾書沒有簽，下周再與現(xiàn)場運維溝通確認 項目安全需求?！旧掀椖俊繉徲嫶嬖诼窂讲倏v風險，待相關(guān)高危代碼從原項目中移除后、重新出具MISRA C安全交付檢測報告。上汽項目交付MISRA C PASS版的安全檢測報告。上汽智己項目安全交付材料與客戶方review。上汽智己項目，安全交付材料補充了對于開發(fā)設(shè)計階段的客戶review關(guān)注的部分。【AIGC&測唄】 當前測唄的應(yīng)用場景在于固定指令識別，不涉及數(shù)據(jù)投喂及訓練操作，調(diào)用通過SN設(shè)備號認證方式進行。 接入公網(wǎng)域名未鑒權(quán)及高頻防刷風險的風險，業(yè)務(wù)研發(fā)正在進行接口風控。 測唄APP三年未進行過隱私合規(guī)檢測，下周會重新做一次、減少被監(jiān)管通報的風險。 測唄存儲和收集的數(shù)據(jù)字段，待業(yè)務(wù)整理后提供給我們做數(shù)據(jù)安全方面的評估。 測唄APP V3.3.8版本安全加固。安徽北斗綜合應(yīng)用項目 長江堤壩軟著申請代碼披露，無開源許可問題，審計發(fā)現(xiàn)1處token泄漏 已要求先移除、后外發(fā)。廣德試車場平行世界（一期）項目代碼交付外發(fā)披露 和 歐米智能客戶定制化crc32算法工具外發(fā)披露，審計無風險、通過。協(xié)助劃線小車團隊進行APP安全加固。劃線小車0129版、北三信使1.1.0版、測唄1.3.2版 APP安全加固及驗證。數(shù)字化中心鵬鵬反饋深信服防火墻出現(xiàn)“內(nèi)部橫向DDoS”告警，通過安全軟件檢測和人工溯源分析系統(tǒng)基礎(chǔ)配置、均未發(fā)現(xiàn)異常，標記為誤報。阿里云AK安全事件調(diào)查，算法團隊上周講的AK事件的結(jié)論是不存在風險。經(jīng)阿里云OSS日志查詢，事件運營同學反饋的事件請求返回碼為409錯誤鏈接。且該AK屬于算法easybrowser公共工具使用的，且已在四個月前就已進行過云安全訪問控制策略加固，目前通過外網(wǎng)是無法調(diào)通的。另外，外部訪問IP定位在北京西城區(qū)永慶胡同13號住宅區(qū)，可供事件運營同學進一步追蹤定位。千尋SDK&真點科技SDK相似性對比分析。真點SDK相對簡單、無鑒權(quán)功能、代碼重復率低，且兩個SDK的JNI類的函數(shù)重合率不到5%（39/684），評估無抄襲行為。協(xié)助瑞雅推進千尋APP隱私合規(guī)整改。協(xié)助瑞雅推進千尋位置APP隱私合規(guī)檢測的三方SDK檢測評估及使用聲明。北三信使V1.1.1、千耘農(nóng)機V1.9.0版 apk安全加固。農(nóng)機APP安全加固。千耘農(nóng)機APP 安全加固寶馬智駕項目，本周已確定測試方案并按計劃進行現(xiàn)場測試、整體完成進度35%，無明顯安全問題。代碼衛(wèi)士部署和車載以太網(wǎng)抓包工具可能存在延期風險。寶馬智駕項目 奇安信已完成現(xiàn)場滲透測試，共發(fā)現(xiàn)安全漏洞18個（中危4低危14）本周已和項目組溝通確認。 對于測試報告中的命名、格式等排版規(guī)范化問題，已反饋奇安信進行重新修訂以滿足客戶要求。繼續(xù)與奇安信修訂滲透測試交付報告、修訂細節(jié)、以滿足客戶要求。 奇安信滲透測試報告第5版審核、仍能發(fā)現(xiàn)大量細節(jié)不到位，在前36頁重新comment50處，已上升供應(yīng)商BD及領(lǐng)導 要求高度重視報告質(zhì)量。 奇安信滲透測試報告本周進行3輪審核，先后對12處問題進行溝通修訂。 全部測試資料 已打包交付 BMW項目組。 與項目組溝通5處comment，暫無新增和修訂需求。 完成BMW寶馬項目 漏洞處置報告（中英文版），并交付項目組。北三信使新地圖geohash接口開放公網(wǎng)，評估無風險。端產(chǎn)品研發(fā)部陳文偉想要申請一個數(shù)據(jù)庫 集中記錄 端設(shè)備信息，并且分別給三四家供應(yīng)商提供寫入/更新部分字段的接口。涉及所有的端設(shè)備的生產(chǎn)，板卡、Pbox、RTK、農(nóng)機、MR02pro、方向盤等等。已反饋讓其內(nèi)部評估必要性。OneDNS安裝后30.90.20.7依舊存在XshellGhost后門木馬活動事件告警，經(jīng)查是OneDNS未完全安裝VA導致無法攔截（只部署了2臺 其中1個節(jié)點掉線）。 OneDNS依舊存在3個DNS節(jié)點未部署VA：30.90.2.3、30.90.22.6、172.20.0.71，已反饋IT胡涵部署。官網(wǎng)風控機器人通知邏輯升級 因特殊賬號通知消息大量無效，本周將千尋出口IP加白、機器人告警5條敏感規(guī)則補充的2點優(yōu)化需求與普全、麗娟共同評估，待排期。官網(wǎng)APP安全合規(guī)風險，因千尋位置APP引用了神策SDK躺槍、內(nèi)部協(xié)調(diào)失敗無研發(fā)資源修復，合規(guī)風險已同步法務(wù)知悉。北三信使 APP包安全加固。北三接口與官網(wǎng)混用token，存在繞過鑒權(quán)做私有日志回傳的安全風險。新能源動力設(shè)備數(shù)據(jù)中心建設(shè)代碼外發(fā)，研發(fā)外包，其中涉及qam服務(wù)和二方包 待法務(wù)協(xié)議確認。新能源能力設(shè)備數(shù)據(jù)中心建設(shè)項目代碼披露，審計無敏感配置外泄風險，涉及代碼項目聯(lián)合開發(fā)場景、已要求申請方與法務(wù)約定好保密協(xié)議和軟著。神策SDK安全合規(guī)風險，神策已將整改的SDK隱私申明提交監(jiān)管復核。初步評估，監(jiān)管合規(guī)風險暫不波及官網(wǎng)、位置APP的神策SDK，最新隱私協(xié)議將follow神策SDK合規(guī)版。神策SDK合規(guī)修復。與億總、永波確認本次修復需求及520前上線、與法務(wù)劉洋同步新版神策隱私合規(guī)協(xié)議，目前永波已發(fā)版、霄峰和原莉正在進行回歸主流程測試。千耘農(nóng)機、信使APP 安全加固。海螺項目代碼披露，審計無敏感配置外泄風險，涉及代碼版權(quán)交付、已要求項目方與法務(wù)約定好保密協(xié)議和軟著。信使二代安全可行性評估及建議7條，已反饋PM。信使二代實名認證可行性、安全性意義及實施需求與億總進行確認。二代實名制認證安全需求同步劉熙。安全合規(guī)項目 配合瑞雅側(cè)對千尋官網(wǎng)系統(tǒng)的現(xiàn)場滲透測試工作。 其中1個sql返回默認報錯信息的風險已反饋官網(wǎng)排期月底前進行修復。安全合規(guī)項目（通管局&觀安滲透測試報告審核和溝通） 原現(xiàn)場測試報告中的高危漏洞屬掃描器誤報注入，觀安將在復測報告中說明。 其中一個SQL報錯返回中危漏洞，因采用ORM框架評估能夠達到防注入的功效，無需修復。 報告中的中低危漏洞均不對生產(chǎn)系統(tǒng)影響，本次測試結(jié)果不會影響三級/二級過審。 配合瑞雅觀安技術(shù)面談，數(shù)據(jù)庫與調(diào)用程序之間應(yīng)使用加密協(xié)議通訊的問題，在當前未使用ssl協(xié)議通訊的模式下，有抽查通不過的風險。新能源能力設(shè)備數(shù)據(jù)中心建設(shè)項目，后期聯(lián)合開發(fā)所使用的git和Maven系統(tǒng)將由供應(yīng)商搭建和運維。ews-saas上線2個域名，ews-saas代碼項目中存在一處硬編碼，下一版將做sr配置。官網(wǎng)console控制臺英文和俄文2個域名、各7個接口做上線前測試，無風險。長效星歷uat環(huán)境暴露公網(wǎng)地址供信使APP團隊聯(lián)調(diào)，無風險。信使二代相關(guān)需求初步溝通完成，待相關(guān)方反饋（詳見周會郵件）。吉利項目demo代碼外發(fā)審計，通過。審批端算法工程包從VDI拷出，對導出文件做二進制VDI外發(fā)檢測分析。神策Android SDK的6.8.0合規(guī)版已發(fā)布，本次神策更新，增加了可配置化的信息收集開關(guān)；移除了對IMEI、EMID、IMSI以及運營商信息等敏感標識的讀取采集能力。據(jù)說工信部監(jiān)管內(nèi)部信息稱，Q2的APP稽查重點會放在企業(yè)數(shù)據(jù)收集合規(guī)說明、合規(guī)采集可配置等方面，因此位置APP也需要盡快升級適配以避免監(jiān)管合規(guī)風險。華測要求在華測服務(wù)器上上傳千尋源碼并使用arm keil編譯工具、已拒絕。其他嵌入式PM開發(fā)和編譯情況待調(diào)研。生產(chǎn)環(huán)境安裝arthas安全性評估，目前使用的arthas工具、評估缺少默認鑒權(quán)屬性、研發(fā)暫無法升級到3.7.1版本之后，具體執(zhí)行由運維操作、以確保安全生產(chǎn)穩(wěn)定性。鴻蒙系統(tǒng)不兼容starx中對稱加密的libencryptkey庫，已移除功能重打sdk。大數(shù)據(jù)外包項目，需要部署禪道，詳細安全要求已反饋佳佳。二代中兵卡python項目的代碼檢測，檢測詳情已反饋體良。二代端口SLB開放評審測試，通過，具體decoder工具正在了解中?？釋W院培訓視頻對外用戶組安全測試，評估無風險。人臉刷卡的充電柜SLB端口安全評測無風險，準許上線。寶馬的編譯文件披露檢測，無敏感信息，準許外發(fā)。

5. 阿里云

整理云上Logstash策略，將pro-etl-network和pro-etl-syslog-test也同步遷移到新kafka-ltc中。余下無效策略下周存檔并刪除。

6. 編碼要求

開發(fā)安全。在SR配置中心說明中明確定義 不使用硬編碼 屬于開發(fā)安全基線硬要求。

三、安全產(chǎn)品

1. 安全評審

安全評審RoadMap https://qianxun.yuque.com/awslllll/quhz3d/pex4y6olhncggvw6安全評審產(chǎn)品的需求評審：與研發(fā)側(cè)對齊需求和PRD。主要GAP在于前端構(gòu)建：A方案：計劃復用QBP前端錄入check項；B方案：調(diào)研番茄表單錄入問卷。

1. 安全月報

【月報自動化&風險管理2期儀表盤】安全運營月報QSRC、風險管理中涉及12個維度的統(tǒng)計指標、當前均為每月人工后臺拉取數(shù)據(jù)庫統(tǒng)計，希望得到后端排期支持 。https://qianxun.yuque.com/awslllll/lybucg/sb8r4tumw8akh0eg （另外，該部分數(shù)據(jù)后端統(tǒng)計完成后同時能作為風險管理2.0儀表盤的后端底層數(shù)據(jù)）。

2. 風險管理

出現(xiàn)5處異常，已反饋研發(fā)同學排查修復中：

3. 代碼披露

代碼安全披露審核項和審核流程與此前負責審批和流程設(shè)計的同學進行對齊。

import numpy as np

import pandas as pd

import matplotlib.pyplot as plt

import seaborn as sns

import warnings

warnings.filterwarnings('ignore')

import ssl

ssl._create_default_https_context = ssl._create_unverified_context

2.讀入數(shù)據(jù)

代碼如下（示例）：

data = pd.read_csv(

'https://labfile.oss.aliyuncs.com/courses/1283/adult.data.csv')

print(data.head())

該處使用的url網(wǎng)絡(luò)請求的數(shù)據(jù)。

總結(jié)

提示：這里對文章進行總結(jié)： 例如：以上就是今天要講的內(nèi)容，本文僅僅簡單介紹了pandas的使用，而pandas提供了大量能使我們快速便捷地處理數(shù)據(jù)的函數(shù)和方法。

柚子快報邀請碼778899分享：安全上半年工作

http://yzkb.51969.com/

精彩鏈接