1. NIST 網路安全框架提供全面的指導和最佳實踐
深入探索NIST網路安全框架:全面的指南與最佳實踐
NIST網路安全框架(NIST CSF),作為由美國國家標准與技術研究所(NIST)精心構建的權威框架,已經成為全球網路安全領域的瑰寶。它的初衷是為那些尋求強化網路安全防護的機構提供清晰的指導,旨在通過其精心設計的IPDRR能力模型,幫助企業全方位地應對安全挑戰。
經典IPDRR模型:網路安全的盾牌
NIST CSF的核心在於風險識別(Identify)、保護(Protect)、檢測(Detect)、響應(Response)和恢復(Recovery)五個關鍵能力。它如同一個盾牌,從風險識別的源頭開始,幫助企業主動識別並管理資產,通過保護功能實施安全措施,確保在事件發生時能迅速檢測並響應,最後在恢復階段制定持久的復原計劃。這個框架覆蓋了網路安全的全生命周期,確保「預防、應對、恢復」三位一體的策略得以實施。
歷史的里程碑
2013年,美國政府發布了第13636號行政命令,推動NIST與私營部門合作,共同構建了NIST網路安全框架的雛形V1.0。隨著2014年《網路安全增強法案》的出台,NIST CSF的影響力進一步擴大,成為了美國乃至全球廣泛應用的安全框架之一,見證了網路安全意識的提升與實踐的迭代。
框架的架構:細致入微的指導
NIST網路安全框架以功能、類別、子類和參考資料的形式構建,層次分明。功能部分闡述了最佳實踐的安全策略,強調的是持續執行和動態風險管理。類別和子類則提供了針對組織內部特定部門或流程的細化操作指南,例如:
- 識別功能,如資產管理、風險評估,要求網路安全團隊深入了解組織的核心資產和潛在威脅。
- 保護功能涵蓋身份管理、物理安全,確保關鍵基礎設施的保護措施到位。
- 檢測功能通過異常檢測和持續監控,確保對潛在攻擊及時做出反應。
- 響應功能則涵蓋規劃、通信和緩解策略,確保在危機中的快速響應。
- 恢復功能則確保在遭受攻擊後,有明確的恢復計劃以維持業務連續性。
總的來說,NIST網路安全框架不僅是一個全面的指導工具,更是推動組織提升網路安全水平的重要指南,為全球企業在日益復雜的網路環境中保駕護航。
2. 導致阿里雲被暫停合作的漏洞 究竟是什麼
新京報貝殼 財經 訊(記者 羅亦丹)因發現安全漏洞後的處理問題,近日阿里雲引發了一波輿論。
據媒體報道,11月24日,阿里雲安全團隊向美國開源社區Apache(阿帕奇)報告了其所開發的組件存在安全漏洞。12月22日,因發現Apache Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。
12月23日,阿里雲在官方微信公號表示,其一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助,「隨後,該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。」
「之前發現這樣的漏洞都是直接通知軟體開發方,這確實屬於行業慣例,但是《網路產品安全漏洞管理規定》出台後,要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長,我覺得漏洞的發現者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說,這個處理不算冤,但處罰其實也沒有那麼嚴格,一不罰錢,二不影響做業務。」」某安全公司技術總監鄭陸(化名)告訴貝殼 財經 記者。
漏洞影響有多大?
那麼,如何理解Log4j2漏洞的嚴重程度呢?
安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」,奇安信描述稱,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日誌信息的級別,能夠更加細致地控制日誌生成過程,「Log4j2中存在JNDI注入漏洞,當程序將用戶輸入的數據進行日誌記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意代碼。」
安域雲防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多餘操作即可觸發該漏洞,使攻擊者可以遠程式控制制受害者伺服器,90%以上基於java開發的應用平台都會受到影響。
「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在於其易於利用,更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。」奇安信安全專家對貝殼 財經 記者表示。
「這個漏洞嚴重性在於兩點,一是log4j作為java日誌的基礎組件使用相當廣泛,Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等,以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵,網友「yuange1975」在微博發文稱。
「簡而言之,該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。
在「yuange1975」看來,該漏洞出來後,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子裡發文章為了說明這個漏洞的嚴重性,又有點用了過高評價這個漏洞的詞語,「我不否認這個漏洞很嚴重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網路漏洞,就是說目前所有已經發現公布的漏洞里排第一,這顯然有點誇大了。」
「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足,這個應用的范圍以及漏洞觸發路徑,我相信一直到阿里雲上報完漏洞,恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性,有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。
9月1日起施行新規 專家:對於維護國家網路安全具有重大意義
據了解,業界的開源條例遵循的是《負責任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商,是業內常見的程序漏洞披露的做法。
貝殼 財經 記者觀察到,白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道,把漏洞報給原廠商而不是平台方,也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵,「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝。「對於安全研究人員而言,這種名聲也會讓他們非常在意。
不過,今年9月1日後,這一行業「常見程序」就要發生變化。
7月13日,工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》,要求任何組織或者個人設立的網路產品安全漏洞收集平台,應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。
值得注意的是,《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示,發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。第七條第七款則表示,不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示,《網路產品安全漏洞管理規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網路產品漏洞的收集、研判、追蹤、溯源,立足於供應鏈全鏈條,對網路產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對於維護國家網路安全,保護網路產品和重要網路系統的安全穩定運行,具有重大意義。
張卓表示,《規定》第十條指出,任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞,還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為,有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。
3. 奧巴馬關於互聯網安全說過的話
《華爾街日報》指出,白宮為網路安全問題密集造勢,目的是推出一個應對種種網路攻擊威脅的全方位戰略。這個戰略涉及立法、企業、社會、教育、資金等多個層面。
第一,推動出台《消費者隱私權益法案》。該法案可以更好地保護民眾權益和個人隱私。奧巴馬12日指出:「互聯網創造了巨大的機會,卻也給國家﹑經濟、家庭及個人帶來了安全漏洞。」根據白宮草擬的這部新法案,一旦消費者的個人信息安全出現漏洞,銀行和信用卡公司必須在30天內通知消費者;現有法律漏洞將被補上,以利於依法懲處那些躲在境外從事竊取和銷售消費者個人信息的犯罪嫌疑人;保護兒童和學生在使用簡訊、網路時的隱私等。
第二,促使企業與政府共享網路安全信息。根據奧巴馬13日提出的新立法建議,美國將鼓勵大銀行、信用卡公司向政府相關部門提供配合,使消費者可以免費查詢本人信用評分。全國通信與網路安全控制聯合協調中心是國土安全部的網路安全中樞部門,該中心將與其他聯邦機構實現近乎實時的信息共享,以使提供信息的公司及時得到有針對性的網路安全保護。
第三,舉辦網路安全與消費者保護專題峰會。根據計劃,白宮將於2月13日在斯坦福大學舉辦網路安全與消費者保護峰會。據此間媒體透露,此次峰會將邀請金融﹑科技﹑通信以及計算機安全軟體公司等各界代表參加,討論如何有效應對越來越多的針對消費者和商界的網路攻擊。
最後,政府提供專項資金支持網路安全教育培訓。14日,奧巴馬在考察愛荷華州時,鼓勵美國公民使用高速寬頻。副總統拜登15日將在弗吉尼亞州諾福克發表演說,宣布美國政府將建立網路安全職業培訓項目,新籌資金用於網路安全職業培訓。美國政府還將對傳統上非裔學生居多的美國學校提供教育資金,以強化網路安全教育。
4. 中國版薩班斯SOX法案對數據安全市場的影響
2002年,美國國會以一項里程碑式的法案——Sarbanes-Oxley Act(SOX法案),全面重塑了上市公司的財務和公司治理標准。這部法案猶如一股巨浪,沖擊著全球商業格局,尤其對在美國上市的公司,包括本土與國際企業,帶來了深遠的影響,涉及范圍從公司治理、內部控制、財務報告到信息系統、法律責任,無一不受到嚴格的規范。
SOX法案的核心理念在於強化數據安全,確保財務和客戶信息的保護。它強制要求上市公司必須實施嚴格的內控,包括保護財務數據、維護系統安全以及防止客戶信息被盜取和破壞,以提升披露的准確性和透明度。對於中國企業,尤其是那些在美國上市的,如中國移動和深圳過人通信,這個法案猶如一道緊箍咒,推動他們進行公司治理改革,引入新技術和工具,提升管理流程的透明度,強化內部控制,確保信息系統的穩健運行。
2008年,中國緊隨美國之後,推出了自己的「中國版薩班斯法案」——《企業內部控制基本規范》。這一法規在2009年起在上市公司中施行,並逐漸推廣至非上市企業。其中,第四十一條明確規定企業需利用信息技術加強信息安全,對信息系統的開發、維護、數據處理和存儲等環節進行嚴密控制,確保數據的安全、保密和完整性,這無疑對中國數據安全市場帶來了深遠影響。
中國擁有近2000家上市公司,這一法規的實施將催生一個龐大的數據安全市場。以每家公司150萬元的初步投入計算,市場規模可達到300億。在這個背景下,數據泄露防護(DLP)解決方案的需求日益凸顯。國際DLP巨頭如Reconnex(被McAfee收購)、Verdasys等雖有強大實力,但中國市場的特殊性——如基於主機的HDLP解決方案更符合國內企業的實際需求,以及加密產品的資質要求,為國內廠商如北京億賽通提供了獨特的競爭優勢。
面對這個新市場,國外DLP廠商的網路型產品可能面臨挑戰,因為中國的信息化環境和法規要求使得基於主機的解決方案更受青睞。同時,只有具備國家法定資質的國內廠商才能提供完整的加密功能,這無疑為國內DLP市場,特別是北京億賽通等廠商,提供了前所未有的機遇。隨著中國企業在數據安全意識的提升和技術能力的進步,國內DLP市場將迎來快速發展,展現出中國企業在這一領域強大的創新力和競爭力。
5. 數據安全有哪些案例
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
6. 為什麼網路安全很重要
現在的網路犯罪分子可以找到很多漏洞,並對內部系統造成損害。這樣的事件將導致資金,機密信息和客戶數據的丟失,並且還會破壞業務在市場上的聲譽。2020年3月,Mariott International遭受了重大數據泄露,其中520萬客人的信息被訪問,使用特許經營物業的兩名員工的登錄憑據。大流行和遠程工作甚至沒有放過Twitter。2020年6月,幾位知名人士的帳戶通過電話網路釣魚被劫持。強大的網路安全技術是企業生存的現代必需品,但更重要的是,網路衛生意識也已成為當務之急。在當今的業務基礎架構中,網路安全不僅限於 IT 專業人員和與之相關的公司。網路安全適合所有人,律師,室內裝飾師,音樂家,投資銀行家等,都會發現網路安全系統對他們的工作和業務有益。通過泰科雲Techcloudpro實施和學習網路安全,小型企業將使其員工更加負責任,律師事務所將有動力保護其數據,室內設計師將找到更有效的方法來控制其繁重的文件。