前言 我国关键信息基础设施保护的基本原则之一便是“以风险管理为导向的动态防护”,即根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效的防范应对安全风险。 今天笔者来谈一谈某运营者建立以风险管理为导向的网络安全保障体系的实践。 一、项目背景 某运营者属于关键信息基础设施运营者,向某市公众提供与生活密切相关的公共服务。 该运营者自组建之初便高度重视网络安全工作。截止到目前,做了大量的网络安全工作,包括: 1.根据网络安全等级保护制度、ISO27001等
本文标题和正文中的“网络安全框架(CSF)”特指NIST发布的“改善关键基础设施网络安全框架”(最新版是v1.1版)。CSF由NIST与私营和公共部门密切合作开发,是美国各组织自愿采用的基于风险的方法。这个自愿性框架最初是为了应对国家关键基础设施(CI)领域的网络安全挑战而开发的,但随后世界各地各类组织对该框架的广泛使用证明了它的普遍适用性。
笔者在《浅谈如何拟订关键信息基础设施安全保护计划》一文中提到了专门安全管理机构、安全管理制度以及安全保护实施细则,因为篇幅有限,未能展开详细阐述如何组建专门安全管理机构,制修订安全管理制度以及安全保护实施细则应覆盖哪些网络安全活动。笔者计划在接下来的文章中就以上三方面的内容分别进行说明。
2014年2月,NIST发布了《提升关键基础设施网络安全的框架》(以下简称“框架”)V1.0正式版本。本安全框架的起源是美国前总统奥巴马发布的《关于提高关键基础设施网络安全的行政命令》,要求NIST制定安全框架,应包括一系列与标准、方法、程序和过程相匹配的解决网络风险的政策、业务和技术方法。2017年1月,NIST发布了框架V1.1的草稿,预计今年10月份会出正式版本。评估中心技术部基于框架更新的内容进行了研究分析和部分内容的翻译,该框架对于等级保护测评也具有一定的研究和参考价值,现将研究总结的内容提供给大家研究学习。
NIST的网络安全框架2.0(CSF2.0)草案的目的为行业、政府机构和其他组织提供指导,以降低网络安全风险。它提供了一种高阶(概要)的网络安全结果的分类,它可被任何组织使用,无论其规模、部门或成熟度如何。该框架并没有规定应该如何实现这些结果,而是为实现这些结果提供指导。
自2014年发布网络安全框架(CSF)1.0版本,时隔多年NIST发布了2.0版本,首次对网络安全框架进行重大更新。
近年来,部分大型企业尤其是关键信息基础设施行业领域,随着网络安全形势日益严峻复杂,国家对网络安全的重视也提高到前所未有的程度,网络安全监管政策趋严,最近滴滴接受网络安全审查就是最直接的明证。那么对于大型企业来说,要做好网络安全建设、运行、保障工作,首先要知道面临的具体风险和安全问题,才能在网络安全工作中“有所为有所不为”,那么安全需求分析是企业明确自身所面临的具体风险和安全问题的主要途径。接下来笔者就结合自己在安全咨询领域多年的工作经历,谈一谈如何规范有序的开展网络安全需求分析。
随着信息技术不断地发展,网络安全风险也不断地变化。其中以网络赌博、网络诈骗为代表的网络安全风险正在肆意发展,并对公民信息和财产安全造成恶劣的影响。如何对网络安全风险进行防控治理,保障财产安全,成为社会热议的话题。
航空网络安全是航空公司的第一要务,之所以这么说,主要是因为航空业正进行数字化转型,若在设计到运营阶段未对此进行妥善保护,则互联互通水平的提高和各种优化可能会导致前所未知的、实实在在的网络漏洞。攻击者持续利用系统中的漏洞获取金钱、损坏对手声誉或破坏对手的运营,这在今天屡见不鲜。
拥有有效的企业网络安全不仅仅是让你的员工创建一个不是他们宠物名字的密码--除非他们的猫的名字至少有12个字符长,由大小写字母和符号组成。无论是经过充分研究的鱼叉式钓鱼尝试,还是绕过MFA,威胁者都变得更加大胆。随着全球各行业数据泄露事件的数量和速度不断增长,2022年71%的组织成为勒索软件的受害者,创历史新高,制定可靠且强大的网络安全战略不仅可以保护您的组织的财务,还可以保护其声誉。
前段时间一直占据网络安全头条的SolarWinds供应链攻击事件,波及范围极广,影响了大量科技企业,黑客还获取了微软Azure等产品的部分源代码。有报道称,甚至连美国宇航局(NASA)和联邦航空管理局(FAA)的网络也被入侵。2月4日,美国纽约州率先给保险划了一个框架,发布了美国第一个网络安全保险风险框架。
5月2日,中央网信办颁布《网络产品和服务安全审查办法(试行)》。办法中明确,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,重点审查其安全性、可控性,旨在提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全。该办法于今年6月1日起实施。 以下附《网络产品和服务安全审查办法(试行)》全文: (转自中央网信办官网) 网络产品和服务安全审查办法 (试 行) 第一条 为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民
实际上,真实世界中的网络安全往往致力于解决非代码的漏洞,也就是说,除了传统的计算机网络安全之外,还会涉及到网络安全的管理、政策、法律和国际事务。借鉴于我们所熟知的OSI 7层协议模型,可以在之上增加组织、政府和国际事务的新分层,从而可以对与代码无关的网络安全问题进行分类,进而提出应对措施。
笔者先前根据我国关键信息基础设施保护的相关政策、法律法规、标准规范等,从规范性角度,与各位读者分享了关键信息基础设施保护的相关内容。今天笔者从实践角度,与大家分享一下某运营者在保护关键信息基础设施方面,是如何建设网络安全保障体系的。
美国国家宇航局(NASA)负有特殊使命,与公众、教育机构和外部研究机构有着广泛联系,因而令人瞩目。与大多数其他政府机构相比,更可能被网络不法分子盯上。NASA拥有约3000个网站和42,000多个可公开访问的数据集,在线业务庞大,极易受到入侵。近年来,NASA的首席信息官办公室(OCIO)牵头相关工作,着力提升该局的网络安全准备度。尽管如此,仅在过去4年间,NASA就遭受了6000多起网络攻击,包括网络钓鱼欺诈和在NASA系统植入恶意软件。因此,NASA应制定强有力的网络安全措施,防护当前和未来的威胁,这一点至关重要。
本文约13400字,建议阅读10+分钟作为一个阐明欧洲网络安全人才主要任务、应掌握技能与知识的实用工具。 捍卫网络安全的劳动力短缺与劳动力能力不足(掌握的网络安全技能的人才不多)是发达国家维护网络安全所面临的主要问题之一。ENISA认为欧洲需要建立一套框架来明确网络安全职业和所需技能,以此明确网络人才培养方向,缩减网络安全保障需要与现实人才数量、质量之间的差距。该框架旨在丰富欧洲网络安全文化内涵,是推动欧洲数字化走向未来的关键一步。作为一个阐明欧洲网络安全人才主要任务、应掌握技能与知识的实用工具,该框架的主
当前,人类社会已进入到了除海陆空、太空之外的第三个空间——虚拟网络空间,而网络空间安全不仅与大数据,人工智能等热门领域联系紧密,还运用到各行各业,渗入我们生活的每一个角落。
随着网络攻击方式和手法逐渐呈现出多样性、复杂性的特点,网络安全威胁更为普遍与持续,在这场与网络攻击长久的对抗中,威胁情报共享和有效利用成为了提升整体网络安全防护效率的重要措施。
在当今的数字化世界中,网络安全是企业成功的关键组成部分。如何帮助企业从零开始构建一个全面的网络安全架构,包括风险评估、策略制定、技术选型、实施步骤以及持续监控。随着企业信息化程度的加深,网络安全威胁也日益增多。构建一个有效的网络安全架构对于保护企业资产、数据和业务连续性至关重要。本文将指导读者了解并实施一个全面的网络安全架构。
当你驾车在路上行驶,突然被远程控制变道、转向、刹车,甚至打开车门;当你用蓝牙钥匙准备打开车门时,却发现车门已被远程锁死;当你安装了一个车载应用,却不知应用里暗含木马,导致数据被盗,是不是特别惊悚、特别无助?
并购(M&A)对买方和被收购方都有好处,能够产生新的协同效应,为双方注入活力,同时创造一个更新、更大、更强的实体。但新成员的加入也可能会带来一系列网络安全风险。 并购团队通常规模有限,专注于财务和业务运营,将IT和网络安全置于次要地位。更有甚者,有关网络连接、“合理化”IT和网络安全平台以及员工的假设,通常都是在对每个组织的实际职能和工作知之甚少的情况下做出的。 Gartner在《并购和尽职调查过程中的网络安全》报告中指出,正在合并、被收购或进行任何其他并购活动的公司,必须能够评估可能影响未来实体业务战略和
NASA在防止、检测和缓解网络攻击方面的能力因企业架构方法的混乱无序而受限。企业架构(EA)和企业安全架构(ESA)作为组织分析和运营其IT和网络安全的详细规划,是有效进行IT管理的关键组件。NASA的企业架构开发工作已进行了十多年,但仍未完成,同时,该机构管理IT投资和运营的方式也未统一,多是临时起意。支离破碎的IT方法以及繁杂的各种权限,长期以来一直是该机构网络安全决策环境的一个显著特征。因而,整体看来,NASA面临着较高的网络威胁风险,而有些风险本可以避免。
本书将带领读者循序渐进地了解金融网络安全,并学习如何保护企业免受这些威胁。本书将通过一些真实场景的案例,讲解如何应对和解决金融网络安全威胁。读者在阅读的过程中,将了解到不同类型的安全漏洞和缺陷(包括人为风险因素),并可以从安全专家的角度剖析攻击者。在本书的最后,读者将获得洞察网络安全未来的能力,以及在保护金融服务和相关基础设施方面的实践经验。
2021年12月17日,工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。 阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。 12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企
技术是完成公司目标的驱动力。云计算的迅速普及以及移动设备和应用程序的广泛应用,使得技术从简单的辅助作用渐渐转变为公司日常运营和应对未来挑战的重要手段。
NIST网络安全框架,是美国国家标准与技术研究所发布的一份指南,旨在指导各种企业和组织重视信息安全。该框架最早在2014年2月颁布,在今年的1.1新版本中也新增了内容。该框架最早应用在美国国家基础安全设施机构,如电力机构等等。由于它提供了一个通用性的指导,因此能够适应并应用在不同需求的企业中,现在已得到在美国国内及世界各地的广泛应用。 该框架使企业和组织有可能应用风险管理的原则和最佳实践案例,来提升关键基础设施的安全性和弹性。它为各种组织和机构提供已实施在行业中的最佳案例。尽管这个框架是自愿性的,许多组织和
集微网合肥报道 文/乐川 当前,全球越来越多的数字化转型企业及数字原生企业在借助以云计算、大数据、移动和社交为代表的第三平台技术来运营自身业务,数据成为其业务稳定运营的关键,因此,企业重要的核心资产正在由固定资产向数据资产转移。2017年5月份爆发的WannaCry勒索病毒及变种的危害涉及150个国家,50万台电脑,造成损失近100亿美元,期间全球多家企业级用户的业务由于数据被加密无法运营而被迫关停。 近几年所发生的网络攻击事件的共同特征是迅速、智能、隐蔽,而传统信息安全防御体系缺乏足够的应对能力,因此,攻
(CSMS)及车辆网络安全型式认证(VTA)两部分,前者主要审查 OEM 是否在汽车完整生命周期
最新消息 据“网信中国”微信公众号5日发布的公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。 安全审查鸣笛,“滴滴”不会是最后一家 7月2日,网络安全审查办公室发布对“滴滴出行”启动网络安全审查的公告。原文如下: 为防范国家数据安全风险,维护
今年10月,英国正式实施”最严“电信安全新法规,新法规是《2021电信(安全)法》的一部分,旨在更好地保护英国电信网络免受网络攻击。监管机构英国通信管理局(Ofcom)将承担监督和执行该法案和法规的新责任。
前段时间 FreeBuf 报道了一则关于日本网络安全部长从没使用过电脑的消息?虽然大部分人觉得有点讽刺意思,但确实也存在一定的探讨价值。网络安全部长连计算机都不会用确实有点过头,作为管理者、政府官员是否一定需要懂技术?
多年来,NIST(美国国家标准与技术研究院)的研究报告、标准、指南以及所推荐的最佳实践都聚焦于提高网络安全策略和措施的有效性,并且该研究院还发布了一系列不断扩展的、最新的网络安全相关工具包。从历史数据看,NIST的大部分输出物主要是为联邦政府机构开发,这些机构根据法规和政策来使用该研究院所出版的网络安全标准和指南。虽然说是为政府机构开发,但是,在美国,许多私营部门的网络安全从业人员、产品供应商和集成商、州和地方机构、以及其他看到NIST信息和服务价值的人也都在广泛地使用并依赖于NIST的研究成果。实际上,这
IT企业都在追逐新的盈利点来推动自己企业的发展,如安全盒子风潮、安全服务风潮、智能化风潮……那下一个风潮是什么,很多企业都在思索,本文阐述了一个网络安全从业者眼中的未来风潮、趋势。
“没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮”。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。
今年,评委主席团队由9位来自国内安全厂家、企业安全部门、政府相关单位、研究机构、行业协会、专业媒体的知名专家学者担任,全方位、多角度综合分析、公正评判每一个参评对象。
等保2.0刚刚实施不久,接踵而来的是《关键信息基础设施网络安全保护基本要求》。当前网络安全无论是技术还是国家战略,都需要我们持续关注并加强管理力度(请大家挺住,后边的标准还多呢)。打算开一个有关关保的系列,也不能算解读吧,毕竟还没有实施和实践,因此系列就暂定为《关保笔记》。目的就是给运维、管理人员一点思路,初步去理解关保,知道如何满足关保要求,如果配合企业和监管做好关键信息基础设施的网络安全保护工作。本篇作为开篇概述,后续更新将会以《关保笔记》(二)、(三)...为标题。
早在2008年,发改委、公安部和保密局曾下发文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号),对电子政务工程项目做出了明确规定:国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。
近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。
来自ISACA研究所的《2018年网络安全文化报告》指出,95%的全球受访者认为他们当前的网络安全文化建设与期望的最终状态存在巨大差距,在网络安全领域的资源投入需要优先考虑网络安全文化的培训和体系构建,同时还要建立年度网络安全文化评估以提高员工意识。
关键信息基础设施安全一直是我国重点关注对象,也是网络安全市场的重要组成部分。近年来,我国陆续出台多部关基保护的法律法规,进一步细化、落实了关基保护各项政策和要求。
近日《网络安全审查办法》刷遍安全圈,为何如此被各大厂商争相转载。那么《办法》与我们信安从业者又有何相关?
安全事件频发,为我们国网络安全保护工作敲响了警钟;随着网络安全形势日益严峻,“等保2.0”体系应运而生;等级保护是防御风险的一项必要手段;开展等级保护工作是网络安全工作中必须履行的安全保护义务,是信息化发展的根本保障;关键信息基础设施是网络安全等级保护的重点;国内关键信息基础设施的保护仍存在亟需解决的问题;强化关键信息基础设施保护能力,加大保护力度是当务之急。 作者:刘志磊 来源:网络空间安全之路 01 安全事件频发,为网络防护敲响警钟 近期,美国最大的成品油管道运营商Colonial Pipeline
由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间,从行业、技术、市场等多角度探讨网安相关话题,探究企业背后的创新力量和安全实力。
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
一场突如其来的疫情改变了我们的生活,也改变了我们的工作方式。在井然有序的复工过程中,很多企业和单位都开启了远程办公模式,在保障健康和工作的同时,由于员工信息安全意识薄弱所带来的安全隐患也不可忽视。
依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,我办会同有关部门修订了《网络安全审查办法》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: 1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。 2.通过电子邮件方式发送至:shencha@cac.gov.cn。 3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信
随着越来越多的企业依赖基于云计算的技术,尤其是远程工作的模式,确保系统安全并保护机密数据至关重要,企业应该注意并了解如何避免一些安全问题。
随着拜登政府上台,穿插在SolarWinds供应链攻击事件处理行动前后,是美国网络安全策略的更迭,以及针对俄愈发强硬的态度。
随着云应用的持续加速,首席信息安全官必须帮助企业的IT团队和网络安全团队跟上云计算市场的发展,特别是在云安全态势方面。
领取专属 10元无门槛券
手把手带您无忧上云