信息安全语录
说明
本文是整理的网络上信息安全相关的描述,其它术语 请参考 GB-T 25069-2022 信息安全技术 术语
网络安全
网络安全
网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
三化六防
公安部提出的网络安全防御框架,通过体系化建设和常态化运营,构建实战化的安全防御能力。
关键信息基础设施定义
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
应急响应
企业安全建设中的非常重要环节,是一场争分夺秒的攻防对抗过程,是对安全团队综合实战能力的真实验证。
在制定预案,开展培训,进行演练充分准备的前提下,通过安全防御系统发现攻击发出预警,进行快速的应急处置、及时止损,最终进行溯源反制,发现防御系统的薄弱环节,补齐短板,提升整体的防御能力。
GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南
GB-T 20985.1-2017 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理
GB-T 20985.2-2020 信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南
安全制度
国家标准、行业监管要求与企业实际情况的有机结合,是组织内部统一思想、解决纷争的行动指南,是安全建设真正可以落地实施的基础/保障。
ISO 27001
ISMS(信息安全管理体系)提供建立、实现、维护和持续改进信息安全管理体系的要求。
信息安全管理体系通过应用 风险管理 过程来保持信息的保密性、完整性和可用性,并使相关方树立风险得到充分管理的信心。
重要的是,信息安全管理体系是 组织的过程和 整体管理结构 的一部分并集成在其中,并且在 过程、信息系统和控制的设计 中要考虑到信息安全
ISO 27002
信息安全是通过实施一套适当的控制措施来实现的,包括策略、规则、流程、程序、组织结构以及软件和硬件功能。为了满足其特定的安全和业务目标,组织应在必要时定义、实施、监控、审查和改进这些控制措施
策略: 由最高管理者正式表达的组织的意图和方向
风险
威胁利用资产一个或多个脆弱性导致安全事件的可能性
风险评估: 风险识别、风险分析、风险评价。 通过识别资产、威胁、已有安全措施、资产的脆弱性来计算系统资产和业务资产风险值,进而确定系统和业务风险程度。
信息安全的核心是风险管理,主要包括风险识别、风险评估、风险处置 风险 -> 识别、分析、评价、处置 风险评估 -> 资产、威胁、脆弱性、已有安全措施 风险处置 -> 消除(下线)、缓解(增加防护措施)、转移(买保险)、接受(不处置)
数据安全
数据安全
在网络安全基础上,在数据的生命周期(收集 传输 存储 使用 交换 销毁)各阶段加入必要安全控制措施,确保数据处于有效保护和合法利用的状态,以及具备持续安全状态的能力。
中华人民共和国数据安全法 2021
中华人民共和国个人信息保护法 2021
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)
GB/T 36073-2018 数据管理能力成熟度评估模型(DCMM)
数据安全能力成熟度模型(DSMM)
以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具体实施指南,为组织数据安全能力建设提供参考
中华人民共和国数据安全法 2021
中华人民共和国个人信息保护法 2021
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)
GB/T 36073-2018 数据管理能力成熟度评估模型(DCMM)
云安全
云计算
云计算是一种计算资源新型利用模式,客户通过网络即可方便快捷的获得计算、存储、软件等不同类型的资源。
GB-T 31167-2014 信息安全技术 云计算服务安全指南
云计算安全风险
除了传统的安全风险外,业务上云后,同时云用户对数据和系统管理能力减弱,上云后安全责任不明确,云平台更加复杂,风险和隐患增多,云平台之间互操作和移植困难,上云后客户过度依赖云平台等新型安全风险。
关于加强党政部门云计算服务网络安全管理的意见
云安全评估
依据四部委发布的《云安全评估管理办法》,基于31168 云计算服务安全能力要求 国家标准,对为党政部门提供的云计算平台,从10个方面(系统开发与供应链安全,系统与通信保护,访问控制,配置管理,维护,应急响应和灾备,审计,风险评估和持续监控,安全组织和人员,物理安全) 131项,562个检查点进行安全评估,确保云平台具有保护云租户系统和数据安全的能力。
GB-T 31167-2014 信息安全技术 云计算服务安全指南
GB-T 31168-2014 信息安全技术 云计算服务安全能力要求
GB-T 34942-2017 信息安全技术 云计算服务安全能力评估方法
GB-T 37972-2019 信息安全技术 云计算服务运行监管框架
云安全评估与等保 密评关系
云计算服务安全评估是网络安全工作中的重要抓手,是提升云计算服务安全防护能力的关键一环,通过持续安全评估可及时发现、排除安全隐患,提升云计算服务的可控性和安全性。
云计算服务网络安全评估是依据国家云计算服务安全评估办法和相关标准规范,对云计算服务从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面进行综合评估。
云计算服务安全评估涵盖了《网络安全法》中等级保护要求,可满足物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理和运维管理等十个方面的等保测评要求。云计算服务安全评估还涵盖了商用密码测评要求,满足《密码法》中密码算法、密码技术、密码产品等方面有相应要求。
《专家解读|云计算服务主要安全风险及应对措施初探》http://www.cac.gov.cn/2022-07/22/c_1660132930876799.htm
移动安全
终端安全
应用安全
敏捷模式的研发过程可以将发布降低为1~2周,如果认为这个频次还能够承受的话。DevOps下更加极端,有个公开的数据可以参考,亚马逊在整 个2014年部署变更了5000万次以上,平均每秒部署2次变更。这个强度之下,传统的SDL实际上已经无法落地 “安全需要每个工程师的参与”-DevSecOps理念及思考.pdf
BizDevOps
打通组织中的各个职能环节,实现业务、开发和运维的一体化运行,形成高效和精准的业务交付、业务反馈和业务调整闭环,赋能数字业务的发展和激发数字业务的创新。
研发运营一体化
研发运营一体化是指在IT软件及相关服务的研发及交付过程中,将应用的需求、开发、测试、部署和运营统一起来,基于整个组织的协作和应用架构的优化,实现敏捷开发、持续交付和应用运营的无缝集成。帮助企业提升IT效能,在保证稳定的同时,快速交付高质量的软件及服务,灵活应对快速变化的业务需求和市场环境。
微软SDL
微软SDL以安全是每个人的工作为前提,以安全和隐私为目标,通过三个核心、五个功能、十六个必选活动,将安全以工程化的形式融入到软件开发各阶段,并且在全世界100多个国家/地区的微软团队,成百上千微软产品开发流程中落地,全面提升了微软产品的安全和合规性
默认安全
(安全开发) 通过正确配置软件所依赖的组件,以及在系统运行环境中添加的安全防护措施,来减少系统漏洞的数量,提高漏洞利用门槛,降低漏洞的危害,以确保应用程序初始状态下处于安全状态。
供应链安全
现在这在国外已经是共识,因供应链安全而起(2020年太阳风软件供应链事件,影响了美国国防部 商务部 白宫在内的1.8w个全球大型客户,称为史上最严重的供应链事件),美国已经发布了新的外采,一定要求供应商提供安全防护说明。
现在国家很多行业,如金融行业对合作伙伴要求都非常严格,业务开展钱 就要对供应商安全评估,确保符合供应商入围安全要求,我们当时申请央行支付牌照,就这样的
所以这也从另一个方面说到了安全的本质,前面30年的安全与运维一样就是保障业务,从网安法2017年发布后,安全在此基础上,将会促进业务的发展。
物理安全
老板不重视安全怎么办?
向上管理是安全建设不可分割一部分,核心8字法则是及时汇报,降低预期。但对于企业一把手/高层,相对来说复杂一些,高层接触的资源多,信息量大,不同场合会有所侧重不同的需求方,安全人员就是在高层偏向/重视安全的时候,抓住机会,将高层指示写入制度文件中,达到挟天子令诸侯的目的。(高层说过的话 一般不会反悔)
企业安全建设的核心是时机,能够抓住时机的前提是充分的准备与可行的解决方案,当机会来临时,果断出手,快速落地实施。
变更管理
受控的人,使用受控的工具,执行受控的操作
安全建设怎么样/度量标准
理论/量化/度量的角度 SSE-CMM
ISO/IEC 21827:2008 《信息技术 安全技术 系统安全工程 能力成熟度模型》
GB/T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型
安全效果
未做安全的时候,我们就是绝对安全/天下太平
当我们开始做了安全,部署相关的安全监测防御产品后,通过集中管控平台,态势感知平台,才能清晰看到外部网络攻击的来源,攻击类型,攻击是否成功,内部是谁在违规操作,获得了哪些信息等,实现安全的可见,进而做可管 可控
公司的角度
安全做的好不好,不需要做安全的人自己去说
当公司实现体系化的安全建设后,内部相关安全流程化,是每个员工真实能够感受到的,每个人的工作都涉及到安全,让每位员工真正的知道安全的存在,遵守安全的相关规定,在特殊场景下也害怕安全的处罚措施。这就是微软一直提倡的"人人安全"
客户的角度
今天我们购物使用手机支付,把钱存到 阿里支付宝,腾讯的微信,数字人民币,除了便捷外,前提是它是相对安全的,(对于用户来说是绝对安全的),这就需要公司的安全做到另一个层面让你的客户知道你是安全的。