教育网站集群建设方案/百度搜索量查询
近日,由 IDC 主办的 2023 全球 CSO 网络安全峰会(中国站)在京举行,峰会荟萃 300+ 生态伙伴和行业领袖,共同探讨新形势下的数据安全保护,畅议未来网络安全的可靠航道。
会上,“2023 IDC 中国20大杰出安全项目(CSO20)” 榜单正式揭晓。小红书凭借着“基于零信任 SASE 办公安全解决方案”,成功入选 CSO20,成为今年唯一受表彰的互联网企业。
本次 CSO20 评选备受瞩目,不仅意味着一批富有影响力的网络安全项目诞生,引领着中国数据安全建设快速发展;亦是对获奖项目技术创新的充分认可。自 2022 年起,小红书持续打造零信任数据安全体系。“基于零信任 SASE 办公安全解决方案”项目经过 IDC 专业团队的深度筛选,在全国百余个项目中脱颖而出。
小红书网络安全负责人 林敏(左) 现场领奖
在企业内部看来,数据安全是放在首位的。不仅源于国内外对数据安全法律法规等政策的严格落实,更是出于对所有用户与员工的负责态度。黑客攻击会对数据安全构成威胁,企业内部办公网络安全同样是重中之重。
随着业务规模的发展扩大,小红书目前在北京、上海、武汉、广州等多地设立办公室,多地远程办公成为常态。组织结构的扩张、办公终端多样化、网络安全及合规的高要求,无一不激发了小红书内部安全革新的动力。
小红书自诞生起,便长在“云原生架构”上。灵活的办公场景,员工良好的办公体验都是安全建设考虑的必要因素。基于小红书自身在数据分析和安全风控方面具备较好基础,因此,如何在混合办公环境对核心数据进行防护的同时保证高效灵活,成了小红书安全团队的关键目标。
传统公司常用云桌面、沙盒之类的产品保护红线数据,小红书安全团队表示,这类部署方案可能有点重,且对办公效率有一定影响。团队曾调研过市场上一些主流的 DLP(数据防泄漏)产品,这些产品经测试使用后,员工反馈体验并不理想。此外,即使数据外发策略再严格,当数据留存在终端时,仍可以通过各种手段绕过,无法进行有效监测与拦截。
零信任(Zero Trust)正作为近年在安全圈持续火热的概念之一被广泛传播。零信任是一种以身份为中心的新一代网络安全防护理念,通过持续的身份认证、环境状态采集、实时信任评估、动态访问控制,并遵循最小权限原则,实现在不可信网络中构筑可信的访问通道。其灵活度高、安全性强、对用户打扰弱的优势受到关注,一个创新的想法在团队内涌现:也许结合零信任这一前沿安全理念的数据防泄漏方案,能弥补传统 DLP 解决方案的弊端。
面临技术挑战
● 多身份角色、接入用户多样化,导致访问控制权限处理复杂:
不同组织和人员的访问权限划分需要实时更新,耗费大量精力。
● 多终端类型,云桌面和沙箱等方案无法适用于所有场景:
如今办公终端类型多样化,除了常见的 Windows、macOS 等 PC 设备,还有大量 iOS、Android 等移动设备需要接入办公,传统的数据防泄漏方案无法满足小红书多样化办公设备场景。
● 安全产品碎片化:
为了解决不同安全问题,需要部署多套产品。不同产品有不同的管理平台,运维人员需要适应不同产品的设计逻辑和操作习惯,在不同产品控制台之间频繁切换,学习成本高且维护压力大;此外,各个产品之间无法形成联动处置。
● 传统安全产品开放性低:
在 OpenAPI 和自定义分析能力方面无法灵活匹配小红书业务,导致 1+1<2;且传统的安全产品标准化交付模式,在一些细分场景下无法匹配小红书业务,共创定制需求响应慢,甚至无法完全满足。
● 终端安装多个 Agent 默认占用大量资源,导致员工办公体验不佳:
传统办公安全解决方案,需要安装 VPN、EDR、DLP、UEM 等多个 Agent,会占用大量设备资源,影响员工办公体验。
● 结合混合办公场景,降低数据暴露风险:
快速发展的小红书,灵活办公场景随处可见。混合办公场景下各接入点的安全水位不一致,容易成为攻击者的目标。
● 响应数据安全法律法规,强化敏感数据管理:
随着《个人信息保护法》等法律法规发布,对企业数据管理提出了更高的要求,但如今敏感数据分布广,获取方式多样,外发通道难以管控,给企业带来了挑战。
2.1 BeyondCorp 与 SASE 能力的结合
小红书早期调研了以 BeyondCorp 为代表的零信任方案,其无端的访问方式确实带来了极致的用户体验。安全团队可以在网关上实现各种风控能力,然而 BeyondCorp 也存在一些挑战,需要认真考虑:
-
协议兼容性受限,仅支持七层流量
-
需要对外暴露 HTTP(S) 服务,增加一定的攻击面
-
终端安全管控手段不充分,无法全面覆盖终端安全问题
-
实现高可用性需要投入大量时间、精力和成本
小红书安全团队一直密切关注近年来的零信任新趋势,特别是 SASE 架构,它天然弥补了上述挑战,通过分布式的 POP 点确保系统天然高可用,也补充了客户端的安全管控能力。然而,若团队直接使用 SASE,既无法利用小红书自有业务网关优势,也要放弃小红书在网关上积累的风控能力,与企业内部的数据管理脱节。
综合调研了各种方案后,团队根据自身网络架构特点,提出了一个创新的想法,将 BeyondCorp 与 SASE 能力结合,更好地满足了终端、网络和身份的安全需求。
-
终端 - DLP、杀毒、零信任访问等功能 All in One,并且支持终端安全与访问控制策略联动。
-
网络 - 办公网改造成非特权网;全球 POP 接入点实现高可用
-
身份 - 客户端与身份绑定,并在网关处与请求身份匹配,解决身份盗用问题
2.2 网关与客户端联动
在以往依赖网关实现的风控方案中,网关无法拿到终端的安全信息。小红书安全团队将网关风控与客户端联动,网关风控能实时识别请求中是否包含客户端信息并检测客户端状态,确保终端的可信性。同时,还可在终端上实施各种安全合规策略。对于未安装客户端的访问请求,网关风控可将用户跳转到客户端下载页面,以低成本实现客户端全员覆盖。
2.3 实时风控和异常分析
小红书在风控基建上持续投入了多年,建立了完善的数据安全和风控体系。这套零信任访问系统可以将 4/7 层日志和客户端日志接入风控系统,实现与风控系统的无缝结合。客户端采集的安全信息为风控系统添加了更多维度的数据,实现更加精准和完善的异常分析。
2.4 红线数据不落地
安全团队从数据安全生命周期管理出发,以“不落地”实现红线数据不泄露。在内部,小红书严格执行数据分类分级/ API 安全/脱敏/权限管理等措施,以数据打标和 API 打标作为数据防泄露管理的起点。对于内部生产类数据,将数据管控手段左移,改造业务系统文件下载流程,使用在线文件取代文件直接下载。
相比传统的沙箱隔离和文件加密方案,这种做法不仅安全性更高,而且员工有更好的使用体验。
2.5 多级容灾机制
整个访问控制系统是串联在访问过程当中,一旦出现故障将影响所有员工的正常办公,因此系统的稳定性是小红书安全团队考虑的重中之重。
为此,团队打造了一个多级容灾方案。默认情况下,流量通过小红书自建的私有 POP 节点,确保流量和数据都在自己可控的网络环境中。当本地 POP 节点发生故障时,系统自动切换到公有云 POP 节点。这种容灾方案已经可以保证超高的可用性。另外,团队在此基础上还实施一层 Wireguard 方案,当零信任防护模式失效时降级到 VPN 模式,以此实现更高的可用性。
2.6 自研客户端
小红书向员工展示自有品牌的办公安全平台,以增加员工对安全软件的认可度,同时还可以在客户端上集成更多内部常用的办公功能。基于客户端 SDK,安全团队打造了匹配小红书自身风格的客户端 UI,加之便捷的办公体验,实现其对员工的“种草”。
一年内,小红书安全团队已完成 100% 铺端部署,整体平滑过渡至零信任办公安全架构。在内网访问完成切换的同时对企业敏感数据实现分级分类,对不同部门和员工的外发通道进行细粒度的权限管控。这确保了准入安全,实现权限最小化、敏感数据不落地需求,建立全方位、立体化的数据全周期防护。
自落地以来成效显著,入网设备管控比例提升至 100%,红线数据落地场景收敛 80%。
以轻量稳定、简洁高效一体化为目标,“内部安全办公系统”这一产品在内部调研中,获得了高达 70% 的 NPS(用户推荐口碑):
● 能力一体化、管理更精细:
一体化设计思路,即平台/功能/管理一体化,大幅降低终端安全体系建设、运行和扩展的复杂性。管控力度更精细、权限可自动梳理、运维难度更低,对终端、身份、行为和数据等进行全生命周期的精细化准入管控,确保终端符合内外部的相关准入要求,做到合法合规,准入可信。
● 安全互相赋能:
不仅实现产品平台自身不同模块之间的数据互通,更无缝衔接已有的安全能力。通过零信任平台对接现有风控系统,根据员工所在网络环境、身份、设备归属(公司设备 or BYOD)、设备安全性和访问时间等维度实时动态调整访问控制策略。
● 全域数据安全管控:
系统实现数据安全防护以数据为中心、分类分级为基础,为小红书数据资产提供事前主动防御、事中实时监测、事后追踪溯源和全程态势感知。基于数据的全生命周期提供全方位、立体化防护。
小红书安全团队积极实践零信任(Zero Trust)的理念,追求“全量数据可追溯,核心数据不泄露”的安全目标,实现了终端、网络和身份安全的全面覆盖,以技术创新弥补安全管控带来的效率损失和体验。
在数据安全建设实践中,摒弃了传统边界安全的假设,基于零信任的原则,创新构建一套灵活办公的链路,将访问控制、实时风控、数据不落地、行为分析能力服务化。在下一阶段的部署中,小红书安全团队表示,会在此基础上增加更多安全功能,类如 EDR 等来保障内部办公网络安全。
欢迎感兴趣的同学加入小红书安全团队,共同探索关于办公安全领域的技术创新!
安全开发工程师
基本信息:
工作地点: 上海市
工作经验:5-10 年
学历要求: 本科及以上
工作职责:
1. 参与内部通用的安全服务与安全工具开发;
2. 负责内部安全系统和平台的维护升级;
3. 参与安全开发生命周期 SDL 体系建设与推广。
任职资格:
1. 计算机及相关专业本科及以上学历,3 年以上研发经验;
2. 熟悉 Golang 或 Java,有良好的操作系统、网络、数据结构基础;
3. 有安全相关产品研发经验(SOC/IAM/KMS/DAST 等);
4. 了解常见安全漏洞原理和安全开发流程;
具备高可用架构设计能力,有分布式、高并发系统开发经验。
高级网络安全工程师
基本信息:
工作地点: 上海市
工作经验:5-10 年
学历要求: 本科及以上
工作职责:
1. 负责公司内部办公安全相关的能力建设,保障公司内部办公环境的整体安全;
2. 负责终端和网络的安全管理和优化,提升可靠性和稳定性,保障系统 SLA;
3. 与 SRE、IT 等相关团队进行沟通和协调,推动方案有效落地。
任职资格:
1. 三年及以上网络安全,终端管理或相关系统安全相关工作经验;
2. 对防火墙,负载均衡,代理等网络组件比较了解,熟悉常见网络协议及网络运维工具的使用;
3. 熟悉零信任架构,对于普通终端(Windows、macOS)、哑终端、移动终端有管理经验,落地执行过终端安全、DLP、零信任等相关项目;
4. 掌握 Shell/Python/Go 等至少一门编程语言,熟悉常用的开发调试工具;
5. 熟悉 VMware/K8S 等虚拟化平台及云平台使用,了解系统安全防御及加固。
欢迎感兴趣的朋友发送简历至:
REDtech@xiaohongshu.com并抄送至
sec@xiaohongshu.com
相关文章:

小红书基于零信任 SASE 办公安全解决方案,斩获 “IDC 中国 20 大杰出安全项目”
近日,由 IDC 主办的 2023 全球 CSO 网络安全峰会(中国站)在京举行,峰会荟萃 300 生态伙伴和行业领袖,共同探讨新形势下的数据安全保护,畅议未来网络安全的可靠航道。 会上,“2023 IDC 中国20大杰…...

html通过CDN引入Vue使用Vuex以及Computed、Watch监听
html通过CDN引入Vue使用Vuex以及Computed、Watch监听 近期遇到个需求,就是需要在.net MVC的项目中,对已有的项目的首页进行优化,也就是写原生html和js。但是咱是一个写前端的,写html还可以,.net的话,开发也…...

【LabVIEW学习】5.数据通信之TCP协议,控制电脑的一种方式
一。tcp连接以及写数据(登录) 数据通信--》协议--》TCP 1.tcp连接 创建while循环,中间加入事件结构,创建tcp连接,写入IP地址与端口号 2.写入tcp数据 登录服务器除了要知道IP地址以及端口以外,需要用户名与密…...

uview1 的u-tabs组件在微信小程序中会出现横向滚动条
uview1 的u-tabs组件在微信小程序中会出现横向滚动条,真机才会生效,微信开发者工具没问题包括官方示例也会 原因:未屏蔽微信小程序的滚动条 解决办法:uview-ui中uview-ui/components/u-tabs/u-tabs.vue文件把h5屏蔽滚动条的条件编…...

服务器ipv6地址显示“scope global dadfailed tentative noprefixroute”无法连通的问题处理一例
服务器规模启用ipv6地址后,遇到一起案例 ,配置的服务ipv6地址显示“scope global dadfailed tentative noprefixroute”,无法连通,现将解决过程记录如下。 一、问题情况 1、ipv6信息检查 某台服务器配置ipv6地址后,…...

深度学习学习顺序梳理
https://www.bilibili.com/video/BV1to4y1G7xq/?spm_id_from333.999.0.0&vd_source9607a6d9d829b667f8f0ccaaaa142fcb 1.吴恩达机器学习课程 已学完,时间较久了,后续可以重新听一遍,整理一下笔记 2. 白板推导读西瓜书 统计学习方法看…...

机器学习实验六:聚类
系列文章目录 机器学习实验一:线性回归机器学习实验二:决策树模型机器学习实验三:支持向量机模型机器学习实验四:贝叶斯分类器机器学习实验五:集成学习机器学习实验六:聚类 文章目录 系列文章目录一、实验…...

逆向思考 C. Fence Painting
Problem - 1481C - Codeforces 思路:逆序考虑,因为每一块木板都是被最后一次粉刷所决定的。 从后往前开始,对于 c i c_i ci来说, 如果这个颜色还有没有涂的木板,那么涂到其中一个木板即可如果这个颜色下没有未涂的…...

当当狸AR智能学习图集跨越千年文明传承,邀您“面对面”与虚拟诗人互动对诗
中华传统文化底蕴深厚,余韵悠长。即使经过千年的历史裂变,依然历久铭心慰藉着一代又一代人的灵魂。千百年后的今天,成为了我们独一无二的财富。 如今,国人学习中华传统文化的方式有很多,诗词集、动画影片、诗歌传颂等…...

CESM笔记——component活动状态+compset前缀解析+B1850,BHIST区别
时隔一年没写CSDN笔记了,一些CESM的知识点我都快忘了。诶,主要是在国外办公室的网屏蔽了好多国内的网络,CSDN登不上,回家又不想干活。。。好吧,好多借口。。。 昨天师弟问我一些问题,想想要不可以水一篇小…...

vue 页面跳转时,浏览器上方显示进度条
vue 页面跳转时,浏览器上方显示进度条 文章目录 vue 页面跳转时,浏览器上方显示进度条先看效果一、安装 nprogress二、main.js 引入nprogress1.引入库 三、在router.js中对路由钩子进行设置四、测试 先看效果 vue 页面跳转时,浏览器上方显示进…...

tqdm输出字符串被截断
tqdm输出截断 1.遇到的问题2.tqdm默认的字符串长度是80(ncols属性)3.修改tqdm的ncols属性4.本人字符串长度是64 1.遇到的问题 字符串打印,显示不完整, 2.tqdm默认的字符串长度是80(ncols属性) 3.修改tqdm的…...

Qt::UniqueConnection和lambda一块用无效
如果槽函数是lambda。 那么用了Qt::UniqueConnection也会出现槽函数被多次调用的问题。 原因: 参考官方文档: QObject Class | Qt Core 5.15.16https://doc.qt.io/qt-5/qobject.html#connect...

四川技能大赛——2023年四川网信人才技能大赛(网络安全管理员赛项)决赛
四川技能大赛——2023年四川网信人才技能大赛(网络安全管理员赛项)决赛 文章目录 四川技能大赛——2023年四川网信人才技能大赛(网络安全管理员赛项)决赛C1-比64少的bas - DONEC2-affine - DONEC3-简单的RSA - DONEM1-不要动我的f…...

死锁(面试常问)
1.什么是死锁 简单来说就是一个线程加锁后解锁不了 一个线程,一把锁,线程连续加锁两次。如果这个锁是不可重入锁,会死锁。两个线程,两把锁。 举几个例子,1.钥匙锁车里了,车钥匙锁家里了。2. 现在有一本书…...

GO设计模式——3、抽象工厂模式(创建型)
目录 抽象工厂模式(Abstract Factory Pattern) 抽象工厂模式的核心角色 优缺点 代码实现 抽象工厂模式(Abstract Factory Pattern) 抽象工厂模式(Abstract Factory Pattern)是围绕一个超级工厂创建其他…...

AUTOSAR_PRS_LogAndTraceProtocol文档翻译
1简介和概述 本协议规范规定了AUTOSAR协议Dlt的格式、消息序列和语义。 该协议允许将诊断、日志和跟踪信息发送到通信总线上。 因此,Dlt模块从应用程序或其他软件模块收集调试信息,向调试信息添加元数据,并将其发送到通信总线。 此外&#x…...

自定义比较器
package org.jeecg.modules.develop.api.livePort; import java.util.ArrayList; import java.util.Collections; import java.util.Comparator; import java.util.List; // 创建一个泛型类 class MyObject { private T data; public MyObject(T data) {this.data data; }p…...

【NLP】如何管理大型语言模型 (LLM)
什么是LLM编排? LLM 编排是管理和控制大型语言模型 (LLM)的过程,以优化其性能和有效性。这包括以下任务: 提示LLM:生成有效的提示,为LLMs提供适当的背景和信息以产生所需的输出。链接LLM: 结合多个LLM的输…...

利用机器学习实现客户细分的实战
前言: Hello大家好,我是Dream。 今天来学习一下机器学习实战中的案例:创建客户细分,在此过程中也会补充很多重要的知识点,欢迎大家一起前来探讨学习~ 一、导入数据 在此项目中,我们使用 UCI 机器学习代码库…...

Tair(4):Tair原理架构
一个Tair集群主要包括3个必选模块:ConfigServer、Dataserver和Client 通常情况下,一个 Tair 集群中包含2台 Configserver 及多台 DataServer。其中两台 Configserver 互为主备。通过和 Dataserver 之间的心跳检测获取集群中存活可用的 Dataserver&#…...

SAP UI5 walkthrough step7 JSON Model
这个章节,帮助我们理解MVC架构中的M 我们将会在APP中新增一个输入框,并将输入的值绑定到model,然后将其作为描述,直接显示在输入框的右边 首先修改App.controllers.js webapp/controller/App.controller.js sap.ui.define([&…...

智能检测/摄像头监控系统EasyCVR无法启动进程是什么原因?如何解决?
国标GB28181智慧安防平台EasyCVR支持高清视频的接入和传输、分发,平台采用了开放式的网络结构,提供实时远程视频监控、录像回放与存储等功能。视频安防监控汇聚平台可支持1、4、9、16个画面窗口播放,可同时播放多路视频流,也能支持…...

export命令详解
export命令详解 大家好,我是免费搭建查券返利机器人赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿! Export命令详解:释放Linux强大的数据导出能力 在Linux世界中,export命令是…...

十几个软件测试实战项目【外卖/医药/银行/电商/金融】
项目一:ShopNC商城 项目概况: ShopNC商城是一个电子商务B2C电商平台系统,功能强大,安全便捷。适合企业及个人快速构建个性化网上商城。 包含PCIOS客户端Adroid客户端微商城,系统PC后台是基于ThinkPHP MVC构架开发的跨…...

用python打印出菱形图案
你可以使用Python编写一个简单的函数来打印菱形图案。下面是一个例子,这个函数接受一个参数n,表示菱形的高度,然后打印出一个菱形图案: def print_diamond(n): # 上半部分 for i in range(n): print(" " …...

k8s 中externalTrafficPolicy应用场景和实践
在Kubernetes(K8s)中,externalTrafficPolicy 是一个用于控制服务的外部流量的策略。这个字段可以在 Service 的定义中设置,其主要作用是决定服务对外部请求的负载均衡行为。具体来说,externalTrafficPolicy 有两个可选…...

Selenium自动化测试框架(超详细)
Selenium自动化测试(基于python) 1、Selenium简介 1.1 Selenium是一款主要用于Web应用程序自动化测试的工具集合。Selenium测试直接运行在浏览器中,本质是通过驱动浏览器,模拟浏览器的操作,比如跳转、输入、点击、下…...

蚂蚁SEO实用的网络baidu蜘蛛有哪些
网络蜘蛛是一种用于从互联网上自动抓取信息的程序。它们根据给定的规则和指令,遍历网站上的页面,收集信息并将其存储在数据库中。网络蜘蛛在搜索引擎、数据挖掘、信息提取等领域有着广泛的应用。本文将介绍一种实用的网络蜘蛛,并探讨其实现原…...

滑动窗口如人生,回顾往事不复还———力扣刷题
第一题:长度最小的子数组 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 思路: 第一想法肯定时暴力枚举,枚举数组任何一个元素,把他当起始位置,然后从起始位置找最短区间,使得…...