腾讯云:基于PCI DSS的云用户数据安全合规白皮书
信息安全-深信服云盾产品技术白皮书
1背景 随着互联网技术的不断发展,网站系统成为了政务公开的门户和企事业单位互联网业务的窗口,在“政务公开”、“互联网+”等变革发展中承担重要角色,具备较高的资产价值。但是另一方面,由于黑客攻击行为变得自动化和高级化,也导致了网站系统极易成为黑客攻击目标,造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。 据权威调研机构数据显示,近年来,中国网站遭受篡改攻击呈增长态势。其中2018 年,我国境内被篡改的网站数量达到13.7万次,15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。同时,随着贸易战形势的不断严峻,境外机构针对我国政府网站的攻击力度也不断的加强,尤其是在重要活动期间,政府网站的安全防护成为了重中之重。 为了帮助企业级客户及政府机构保障网站的安全,解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力,深信服云盾提供持续性的安全防护保障,同时由云端专家进行7*24小时的值守服务,帮助客户识别安全风险,提供高级攻防对抗的能力,有效应对各种攻击行为。
2产品体系架构 深信服利用云计算技术融合评估、防护、监测和响应四个模块,打造由安全专家驱动,围绕业务生命周期,深入黑客攻击过程的自适应安全防护平台,帮助用户代管业务安全问题,交付全程可视的安全服务。 客户端无需硬件部署或软件安装,只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守,为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上,安全策略的配置和调优由深信服安全专家进行,用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成,更简单,更安全,更省心。 3用户价值 深信服将网站评估、防护、监测、处置,以及7*24在线的安全专家团队等安全能力整
白皮书-移动应用(App)数据安全与个人信息保护白皮书
移动应用(App) 数据安全与个人信息保护 白皮书 (2019年) 中国信息通信研究院 安全研究所 2019年12月
版权声明 本白皮书版权属于中国信息通信研究院(工业和信息化部电信研究院)安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 移动应用(以下简称“App”)是数字经济下的重要产品。随着移动网络和智能手机全面覆盖,App种类和数量增长迅猛。从社交到出行、从网购到外卖,从办公到娱乐,App已全面渗透用户生活,成为大众生活必需品,并因此汇集大量衣食住行、社交关系等用户个人信息。App逐渐成为承载网络应用和信息数据的核心载体。 App在满足用户美好数字生活需要,助力消费升级和经济转型发展方面发挥了不可替代的作用,但也暴露出违法违规收集使用个人信息、用户个人信息泄露与滥用等数据安全问题。App数据安全关乎个体层面的隐私权利保护,产业层面的健康发展,以及国家层面的全球数字竞争力。欧美等移动互联网发展较早的国家,在移动互联网安全制度构建方面已较为领先。近年来,我国也高度重视App数据安全与个人信息保护工作,从法规标准、专项治理、企业自律等方面多管齐下,加大治理力度。 本白皮书在研判App发展趋势及社会经济影响的基础上,重点分析目前主流App存在的数据安全隐患,系统梳理总结国内外App数据安全治理现状,最后从政府、企业、行业三个维度研究提出了我国App 数据安全与个人信息保护综合治理建议,并从用户视角总结提出了用户安全使用技巧。
ISO27005信息安全技术风险管理白皮书
ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理 Information Technology – Security techniques - Information security risk management
目录 前言 (4) 介绍 (5) 1. 范围 (6) 2. 规范性引用文件 (6) 3. 术语和定义 (6) 4. 本国际标准的结构 (8) 5. 背景 (9) 6. 信息安全风险管理过程概述 (10) 7. 确定范畴 (13) 7.1. 总则 (13) 7.2. 基本准则 (13) 7.3. 范围和边界 (16) 7.4. 信息安全的组织架构 (17) 信息安全风险评估 (17) 8.1. 信息安全风险评估综述 (17) 8.2. 风险分析 (18) 8.2.1. 风险识别 (18) 8.2.2. 风险估算 (23) 8.3. 风险评价 (27) 信息安全风险处置 (28) 9.1. 风险处置综述 (28) 9.2. 风险降低 (31) 9.3. 风险保持 (32) 9.4. 风险回避 (32) 9.5. 风险转移 (33) 10. 信息安全风险的接受 (33)
11. 信息安全风险的沟通 (34) 12. 信息安全监视和评审 (35) 12.1. 监视和评审风险因子 (35) 12.2. 风险管理监视、评审和改进 (37) 附录A (资料性)界定信息安全风险管理过程的范围和边界 (38) A.1 对组织进行研究 (38) A.2 影响组织的约束清单 (39) A.3 适用于组织的法律法规的参考清单 (42) A.4 影响范围的约束清单 (42) 附录B (资料性)资产的识别和赋值以及影响评估 (44) B.1 资产识别的例子 (44) B.1.1 基本资产的识别 (44) B.1.2 支持性资产的清单和描述 (45) B.2 资产赋值 (52) B.3 影响评估 (56) 附录C (资料性)典型威胁示例 (57) 附录D (资料性)脆弱点和脆弱性评估方法 (61) D.1 脆弱点示例 (61) D.2 评估技术性脆弱点的方法 (65) 附录E (资料性)信息安全风险评估方法 (66) 1 纲领性信息安全风险评估 (66) E.2 详细的信息安全风险评估 (68) E.2.1 示例1:预定值矩阵 (68) E.2.2 示例2:通过风险值进行威胁评级 (71) E.2.3 示例3:为风险的可能性和可能的后果赋值 (71) 附录F (资料性)降低风险的约束 (73)
注册数据安全治理专业人员(CISPDSG)白皮书.doc
注册数据安全治理专业人员(CISP-DSG) 白皮书 发布日期2019年8月 版本:1.0 中国信息安全测评中心 北京天融信网络安全技术有限公司
CISP-DSG白皮书 咨询及索取 关于中国信息安全测评中心CISP-DSG培训考试相关的更多信息,请与CISP-DSG运营中心联系。 CISP-DSG运营中心联系方式: 【联系地址】北京市海淀区上地东路1号华控大厦4层 【电话】 【电子邮件】 【官方网站】 北京天融信网络安全技术有限公司(简称天融信)创始于1995年,是中国领先的网络安全、大数据与安全云服务提供商。是中国信息安全测评中心授权的注册数据安全治理专业人员(CISP-DSG)运营机构,负责注册数据安全治理专业人员(CISP-DSG)专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容。 CISP-DSG证书专注于考核、培养从事数据安全治理相关工作的安全人才,是业界首个数据安全治理方向的注册考试。
目录 引言 4 一、CISP-DSG考试要求4 二、CISP-DSG考试方向5 三、CISP-DSG注册流程7 四、CISP-DSG职业准则7 五、CISP-DSG考生申请资料要求 8 六、CISP-DSG收费标准9 七、注册数据安全治理专业人员运营中心联系方式10
引言 当前,政府与企业的信息化程度不断加深,IT系统的复杂度与开放度随之提升,伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。数据的安全问题将引发企业和社会决策的安全问题。数据的安全问题,已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。 数据安全是一个复杂的问题,单靠技术手段无法完整解决,需要用数据安全治理的理念进行体系化建设。通过数据安全治理,能使信息系统安全建设更加突出重点、统一规范、科学合理。通过数据安全技术措施的实施,为各类组织机构提供先进的、科学的技术手段和管理依据,大大降低重要数据及公民个人信息的泄漏风险,更好地遵循技术防范和管理并重的原则,提高整体管理水平。 数据安全治理过程的推广和应用,专业人才是关键。加快培养符合各类组织机构信息安全建设需求的专业人才是应用数据安全治理理念系统化解决数据安全问题的重点。 中国信息安全测评中心主导的“CISP-DSG”(Certified Information Security Professional - Data Security Governance)注册数据安全治理专业人员技能水平注册考试,锻炼考生通过数据安全治理过程,帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题,从而促进国家企事业单位信息安全管理能力提升,提高我国信息安全产业的整体实力和在国际市场的竞争力。 一、CISP-DSG考试要求 成为注册数据安全治理专业人员(CISP-DSG)必须同时满足以下基本要求: 1.申请成为注册数据安全治理专业人员(CISP-DSG),具备一定数据安全治理基础,或有意向从事数据安全治理的人员; 2.申请成为注册数据安全治理专业人员(CISP-DSG)无学历与工作经验的报考要求; 3.通过注册数据安全治理专业人员运营中心组织的CISP-DSG考试; 4.同意并遵守CISP职业道德准则;
信息安全保障体系服务白皮书
信息安全保障体系咨询服务 技术白皮书 杭州安恒信息技术有限公司 二〇二〇年八月
目录 1.公司简介 (2) 2.信息安全保障体系咨询服务 (3) 2.1.概述 (3) 2.2.参考标准 (4) 2.3.信息安全保障体系建设的指导思想 (4) 2.4.信息安全保障体系建设的基本原则 (5) 3.信息安全保障体系的内容 (6) 3.1.信息安全的四个领域 (6) 3.2.信息安全策略体系 (6) 3.2.1.信息安全战略 (7) 3.2.2.信息安全政策标准体系框架 (7) 3.3.信息安全管理体系 (8) 3.4.信息安全技术体系框架 (9) 3.5.信息安全运营体系 (11) 4.信息安全保障体系的建设过程 (13) 4.1.信息安全保障体系的总体建设方法 (13) 4.2.信息安全策略的定义 (13) 4.2.1.信息安全策略的通用性特征 (14) 4.2.2.信息安全策略的建立过程 (15) 4.3.企业信息安全管理体系的建设 (17) 4.3.1.安全管理体系总体框架 (17) 4.3.2.信息安全环境和标准体系框架 (18) 4.3.3.信息安全意识培养 (18) 4.3.4.信息安全组织 (21) 4.3.5.信息安全审计监督 (21) 4.4.企业信息安全运营体系的建设 (25) 4.5.企业信息安全技术体系的建设 (27) 4.5.1.安全技术设计目标 (27) 4.5.2.安全技术体系的建设 (27) 5.为什么选择安恒信息 (28) 5.1.特性 (28) 5.2.优点 (28) 5.3.效益 (28) 1.公司简介 杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
人工智能数据白皮书-CAICT
人工智能数据安全 白皮书 中国信息通信研究院 安全研究所 2019年8月
版权声明 本白皮书版权属于中国信息通信研究院安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 人工智能作为引领新一轮科技革命和产业变革的战略性技术,已成为世界主要国家谋求新一轮国家科技竞争主导权的关键领域。随着政府人工智能战略布局的落地实施,全球人工智能发展正进入技术创新迭代持续加速和融合应用拓展深化的新阶段,深刻改变着国家政治、经济、社会、国防等领域的运行模式,对人类生产生活带来翻天覆地的变化。 数据作为驱动本轮人工智能浪潮全面兴起的三大基础要素之一,数据安全风险已成为影响人工智能安全发展的关键因素。与此同时,人工智能应用也给数据安全带来严峻挑战,如何应对人工智能场景下的数据安全风险日渐成为国际人工智能治理的重要议题。部分国家已率先探索人工智能数据安全风险的前瞻研究和主动预防,并积极推动人工智能在数据安全领域应用,力求实现人工智能与数据安全的良性互动发展。 本白皮书从人工智能数据安全的内涵出发,首次提出人工智能数据安全的体系架构,在系统梳理人工智能数据安全风险和安全应用情况的基础上,总结了国内外人工智能数据安全治理现状,研究提出了我国人工智能数据安全治理建议。
目录 一、人工智能数据安全概述 (1) (一)人工智能安全 (1) (二)人工智能数据安全内涵 (2) (三)人工智能数据安全体系架构 (3) 二、人工智能数据安全风险 (5) (一)人工智能自身面临的数据安全风险 (5) (二)人工智能应用导致的数据安全风险 (7) (三)人工智能应用加剧的数据治理挑战 (11) 三、人工智能数据安全应用 (13) (一)人工智能与数据安全治理 (13) (二)人工智能在数据安全治理中的应用 (15) 四、国内外人工智能数据安全治理动态 (23) (一)国内外人工智能数据安全战略规划情况 (24) (二)国内外人工智能数据安全伦理规范情况 (28) (三)国内外人工智能数据安全法律制定情况 (30) (四)国内外人工智能数据安全技术发展情况 (32) (五)国内外人工智能数据安全标准规范情况 (34) 五、人工智能数据安全治理建议 (36) (一)明晰发展与安全并举的治理思路 (36) (二)引导社会遵循人工智能伦理规范 (37) (三)建立人工智能数据安全法律法规 (37) (四)完善人工智能数据安全监管措施 (38) (五)健全人工智能数据安全标准体系 (39) (六)创新人工智能数据安全技术手段 (39) (七)培养复合人工智能数据安全人才 (40)
睿治数据治理管理平台白皮书-数据标准
1.1数据标准建设 睿治数据治理平台提供了一套完整的数据标准管理流程及办法,通过一系列的活动,统一的数据标准制定和发布,结合制度约束、系统控制等手段,实现企业大数据平台数据的完整性、有效性、一致性、规范性、开放性和共享性管理,为后续数据质量检查、数据安全管理等提供标准依据。 1.1.1灵活配置数据标准属性 定义不同的数据标准可能存在需要录入不同的属性,为了满足不同项目对数据标准的设计,睿治数据治理平台提供了数据标准集管理,内置了业务属性、技术属性、管理属性、质量属性、主数据属性、生命周期属性供用户选择使用,并支持自定义属性。 1.1.2方式丰富的数据标准录入 平台提供灵活方便的操作界面,根据用户选择合适的方式,快速创建数据标准,支持用户手动创建数据标准,同时支持拾取元数据生成数据标准,简化数据标准创建的步骤,同时支持修改、删除等操作。
除了手动创建外,还支持通过导入的方式进行批量创建。通过导出标准集,让用户在线下对数据标准进行整理,将整理完成的数据标准导入到平台后,成为一条可映射、评估的数据标准。
1.1.3完备的数据标准审批 数据标准创建保存后,确认无误后,支持整集发起审批。审批支持通过、退回操作,可采用邮件或任务提醒的方式通知参与审批的用户。同时支持审批列表的搜索,快速定位数据标准。 1.1.4先进的数据标准落地映射 数据标准被设计出来,主要目的是为了规范各业务系统的数据建设。平台支持对数据标准设置落地映射,一条标准可根据实际业务需求进行多个映射,映射设置细化到实际业务系统对应的元数据上,为后续的落地评估提供依据,设置好的落地映射支持修改、删除。
注册个人信息保护专业人员白皮书.doc
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
数据资产管理技术白皮书
数据资产管理技术白皮书
前言 党的十九大报告提出要“推动互联网、大数据、人工智能和实体 经济深度融合”,进一步突出了大数据作为国家基础性战略性资源的 重要地位,掌握丰富的高价值数据资源日益成为抢占未来发展主动权 的前提和保障。 数据是资产的概念已经成为行业共识。然而现实中,对数据资产的管理和应用往往还处于摸索阶段,数据资产管理面临诸多挑战。首先, 大部分企业和政府部门的数据基础还很薄弱,存在数据标准混乱、数据质 量层次不齐、各条块之间数据孤岛化严重等现象,阻碍了数据的共享应用。其次,受限于数据规模和数据源种类的丰富程度,多数企业的数据 应用刚刚起步,主要集中在精准营销,舆情感知和风险控制等有限场景,应用深度不够,应用空间亟待开拓。再次,由于数据的价值很难评估, 企业难以对数据的成本以及其对业务的贡献进行评估,从而难以像运营 有形资产一样管理数据资产。 国际上,1990 年以来,以国际数据管理协会(DAMA,Data Management Association International)、能力成熟度模型集成(CMMI,Capability Maturity Model Integration)为代表的组织机构长期从事数 据管理的研究,形成了一定的理论成果。在这些理论的指导下,我国金融、电信、能源、互联网等信息化较为先进的行业,已经积累了丰富的 数据资产管理经验。这些经验的总结对于补充完善数据管理理论体系、 推进数据资产管理在各个行业的普及和发展有着重要意义。 为了促进数据资产管理的研究,我们组织编写了《数据资产管理
实践白皮书》。本白皮书分为四大部分:第一部分介绍了数据资产管理 的概述及变革中的数据资产管理呈现出来的特征趋势;第二部分从实践 角度出发阐述了数据资产管理的主要内容;第三部分重点介绍了数据资 产管理的实施步骤、实践模式、技术工具和成功要素;最后结合实践经验,介绍了电信、金融、政务、医疗和工业等相关领域的数据资产管理 案例。本白皮书在《数据资产管理实践白皮书3.0》的基础上,以全面 盘点数据资产、不断提升数据质量、实现数据互联互通、提高数据获取效率、保障数据安全合规、数据价值持续释放等角度,通过权威数据和典型事件,生动剖析了数据资产管理的重点内容和目标。在原有管理职能的 介绍下,尝试说明数据资产化管理的关键活动步骤,并在实施步骤方面,增加了各实施阶段的具体输出物,并增加了“数据价值管理工具”和“数 据服务管理工具”,更好的指导企业搭建数据资产管理平台,开展数据 资产管理相关工作。 本白皮书可以为政府和企业开展数据资产管理工作提供参考,也 可以作为相关产品和服务提供商的参考依据。由于时间仓促,水平所 限,我们的工作还有很多不足。下一步,我们还将广泛采纳各方面意见 建议,进一步深化相关研究,持续完善白皮书内容,在已有版本的基础上,适时修订发布新版。我们诚邀各界专家学者参与我们的研究工作, 积极献言献策,共同完善国内数据资产管理理论和方法论体系,为促 进大数据与实体经济深度融合做出积极贡献。
信息安全产品分级评估业务白皮书
国家信息安全测评 信息安全产品分级评估业务白皮书 版本:4.0 ?版权2013—中国信息安全测评中心 二〇一三年八月
目录 1.简介 (1) 1.1引言 (1) 1.2目的和意义 (1) 1.3业务范围 (1) 2.分级评估业务介绍 (2) 2.1业务特点 (2) 2.1.1国家权威,国际认可 (2) 2.1.2公平、公正、保密 (2) 2.1.3技术成熟 (2) 2.2业务需求 (2) 2.2.1对用户 (2) 2.2.2对企业 (3) 2.2.3对政府 (3) 2.3依据标准 (3) 2.4业务实施 (3) 2.4.1证据需求 (3) 2.4.2业务流程 (5) 2.4.3评估内容 (7) 2.4.4人员及时间 (8) 2.4.5资费标准 (9) 2.4.6业务监督 (9) 2.5业务输出 (9) 2.6 FAQ (9)
1.简介 1.1 引言 目前,众多组织机构开展了针对安全产品的多样化的测评业务,这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。 然而,自身功能实现的好坏是否足以衡量一个产品的质量,为用户提供放心的使用环境呢?纵观国内外信息安全界,安全事件屡有发生,产品商业机密遭到泄露,这给用户带来了极大的危害。显然,产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善,都会对用户的使用起到至关重要的作用。 信息安全产品分级评估是指依据国家标准GB/T 18336—2008,综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。 1.2 目的和意义 信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发,分级评估的具体的目的和意义包括: 1)对信息安全产品依据国家标准进行分级评估; 2)判定产品是否满足标准中的安全功能和安全保证要求; 3)有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性,维护国家和用户的安全利益; 4)促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。 5)对产品、系统、服务等涉及到的漏洞信息进行数据规范性评估与认定。 1.3 业务范围 具有信息技术安全功能的产品,如:防火墙,IDS/IPS、智能卡、网闸、桌面控制、审计等。
信息安全等级保护检查工具箱技术白皮书
信息安全 等级保护检查工具箱系统 技术白皮书 国家信息技术安全研究中心
版权声明 本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护 检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可,不得转印、复制。 联系方式: 国家信息技术安全研究中心 地址:北京市海淀区农大南路1号硅谷亮城 2号楼C座4层 电话:0
简介 国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。 中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。 中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。 为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有:恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。 中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。 经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。
软件安全白皮书指标
软件安全白皮书指标 前言 介于我司现阶段对于软件产品项目的质量及安全性要求,特此制作此文,以便日后工作对应开展及提升品牌价值,软件产品质量做出指导性描述。 目的 安全性是软件的质量的一个重要属性。狭义较多关注软件的失效安全性问题,即软件运行不引起系统事故的能力,强调的是一类安全关键软件的安全性失效可能造成重大安全,生产,及核心数据丢失等高风险事故,因此对于失效安全性的度量主要简历在可靠性理论基础的安全度,失效度,平均事故间隔,软件事故率等。对于失效安全性测试,常用测试方法目前有基于故障树的测试基于最小割集测试。对于保密安全性。ISO9126质量模型将其定义为与防止对程序和数据进行非法存储的预防能力有关的质量属性。软件安全性是软件在收到恶意攻击时仍提供所需功能的能力。以此为作为软件自身的一个质量管理重要系数,因此特别指定此指标 1.白皮书格式要求 1.标题标头:包含明确的产品及时间信息 2.前言:包含软件自身的需求关系和基础定义,方向目的等 3.术语定义:文章中出现的对应学术名词或专业名词的一个标准化解释 4.自安全:自身安全逻辑,一般包括组织安全,法规安全,人员安全等 5.数据安全:对于数据的安全体系要求,及配套的保密规则 6.应用安全:软件自身功能是否存在逻辑漏洞,是否存在其他数据被调用转出 7.系统&环境(逻辑)安全:对于软件逻辑,开发系统配置的具体要求 8.环境(物理)安全:对于服务器或端口及使用人的一部分约束要求 9.灾难恢复与业务连续性(容错):对于软件自身的一定管控要求 2.安全测试分类 安全功能测试 1.安全功能目的测试 2.安全漏洞测试 渗透测试 1.信息渗透测试 2.注入渗透测试
中国信通院全球数字治理白皮书(2020年)
中国信通院全球数字治理白皮书(2020年)在经济全球化遭遇逆流,保护主义、单边主义上升的背景下,数字化驱动的新一轮全球化仍蓬勃发展,已成为助力全球经济增长、促进全球交流与合作的重要动能。数字全球化既是新一轮全球化的重要标志,也带来重大挑战,呼唤构建新的全球数字治理体系。随着数字全球化的纵深发展,如何更好兼具效率与公平,协调不同治理主体间分歧,更好推进全球数字合作,既是未来全球数字治理的重要方向,也对我国参与数字领域国际规则和标准制定提出了新的挑战。 第一章:数字全球化及全球治理新挑战 当前,经济全球化遭遇逆流,保护主义、单边主义上升,世界经济低迷,国际贸易和投资大幅萎缩,国际经济、科技、文化、安全、政治等格局都在发生深刻调整。随着新一轮科技革命和产业变革的深入发展,数字化驱动的新一轮全球化席卷而来,正在成为促进全球互联互通、推动全球商贸合作、增进全球文化交流、破解当前全球化困境的重要突破口。 (一)数字化驱动的新一轮全球化席卷而来 自2018年中美贸易摩擦以来,国际形势日趋复杂多变,全球化进程徘徊不前。国际贸易呈现出疲软态势,2019年,全球商品贸易出口额为18.9万亿美元,相对2018年下降了2.8%;服务贸易出口额为6.1万亿美元,与2018年基本持平。跨境资本流动大幅下降,全球外国直接投资从2018年的1.41万亿美元降至2019年的1.39万亿美元;全球跨国并购活动锐减,2019年全球跨国并购规模总计4900亿美元,同比大幅下跌近40%。要素的全球流动强度大大削弱,商品、服务、资本等传统要素的全球流动总量占全球GDP的比重从金融危机前54%的高峰降至30%左右。2020年初新冠肺炎疫情全球蔓延,世界经济面临深度衰退,国际贸易和资本流动严重萎缩。据世界贸易组织预测,2020年世界商品贸易总额预计将下降13-32%,几乎所有地区的贸易额都会出现两位数下降,世界贸易将陷入历史性低谷。联合国贸发会议预测,全球外国直接投资将在2019年的基础上下降近40%,滑落到近20年以来的最低水平。在全球经济衰退、新冠肺炎疫情爆发、中美贸易摩擦升级等多重背景交织影响下,世界经济运行的不稳定性和不确定性因素增加,“逆全球化”思潮涌动,贸易保护主义进一步抬头,经济全球化进程明显受阻。
注册信息安全专业人员应急响应工程师CISPIRE白皮书.doc
谢谢观赏 注册信息安全专业人员-应急响应工程师 白皮书 发布日期:2019年 1 月 中国信息安全测评中心 网神信息技术(北京)股份有限公司?版权2019-攻防领域考试中心
CISP-IRE白皮书 咨询及索取 关于中国信息安全测评中心CISP-IRE考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。 注册信息安全专业人员攻防领域考试中心联系方式 【邮箱】xxx 【网址】xxx 【地址】北京市海淀区昆明湖南路51号中关村军民融合产业园D座2层 【邮编】100097 360企业安全集团下属的网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。360企业安全集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,由360企业安全集团子公司网神信息技术(北京)股份有限公司具体运营,负责注册信息安全专业人员应急响应工程师(CISP-IRE)资质的培训知识体系制定、考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-IRE专注于培养、考核高级实用型网络安全应急响应安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
目录 引言1 一、CISP-IRE考试要求 2 二、CISP-IRE考试方向 2 三、CISP-IRE注册流程 4 四、CISP职业准则4 五、CISP-IRE考生申请资料要求5 六、CISP-IRE收费标准 6 七、注册信息安全专业人员攻防领域考试中心联系方式6
引言 当前,信息化社会发展方兴未艾,信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前,信息产业已成为世界第一大产业,信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子,哪里有信息,哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时,危害信息安全的事件也不断发生。 基于严峻的网络空间安全形势,国内外多位信息安全领域资深专家、学者指出:不断增长的产业链式网络攻击虽然日趋严重,但是更让人担忧的是,网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”,信息安全领域人才的储备量远远跟不上网络安全风险的增长量。 网络安全人才决定网络安全技术的交替、更迭,而人才的短缺直接影响政府事业机关网络防御能力,也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧,严重影响我国网络安全建设。 《网络安全法》第三条提出“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”因此,培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓! 中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心推出的“CISP-IRE”(注册信息安全专业人员-应急响应工程师,Certified Information Security Professional - Incident Response Engineer)技能水平注册考试,锻炼考生实际解决网络安全问题的能力,发现人才,有效增强网络安全防御能力,促进
网络与信息安全防范体系技术白皮书
一、前言 随着网络经济和网络时代的发展,网络已经成为一个无处不有、无所不用的工具。经济、文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为世界各国共同关注的焦点。而网络自身的一些特点,在为各国带来发展机遇的同时,也必将带来巨大的风险。网络安全威胁主要存在于: 1. 网络的共享性: 资源共享是建立计算机网络的基本目的之一,但是这也为系统安全的攻击者利用共享的资源进行破坏活动提供了机会。 2. 网络的开放性: 网上的任何用户很容易浏览到一个企业、单位,以及个人的敏感性信息。受害用户甚至自己的敏感性信息已被人盗用却全然不知。 3. 系统的复杂性: 计算机网络系统的复杂性使得网络的安全管理更加困难。 4. 边界的不确定性: 网络的可扩展性同时也必然导致了网络边界的不确定性。网络资源共享访问时的网络安全边界被破坏,导致对网络安全构成严重的威胁。 5. 路径的不确定性: 从用户宿主机到另一个宿主机可能存在多条路径。一份报文在从发送节点达到目标节点之前可能要经过若干个中间节点。所以起点节点和目标节点的安全保密性能并不能保证中间节点的不可靠性问题。 6. 信息的高度聚集性: 当信息分离的小块出现时,信息的价值往往不大。只有将大量相关信息聚集在一起时,方可显示出其重要价值。网络中聚集了大量的信息,特别是Internet中,它们很容易遭到分析性攻击。 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。 二、网络与信息安全防范体系设计
《大数据白皮书(2019)》:数据安全合规要求不断提升
《大数据白皮书(2019)》:数据安全合规要求不断提升 12月10日,中国信息通信研究院发布了《大数据白皮书(2019)》(以下简称“白皮书”),这是中国信息通信研究院第四次发布大数据白皮书。白皮书在前三版的基础上,聚焦一年多来大数据各领域的发展,探讨了大数据技术、产业、应用、安全及数据资产管理的进展和趋势。 根据白皮书显示,技术融合、数据合规、应用深化和资产管理是2019大数据发展的关键词。 白皮书显示,2019年以来,全球大数据技术、产业、应用等多方面的发展呈现了新的趋势,也正在进入新的阶段。当前,大数据技术呈现出六大融合趋势:(一)算力融合:多样性算力提升整体效率 (二)流批融合:平衡计算性价比的最优解 (三)TA 融合:混合事务/分析支撑即时决策 (四)模块融合:一站式数据能力复用平台 (五)云数融合:云化趋势降低技术使用门槛 (六)数智融合:数据与智能多方位深度整合 近两年来,各国在数据合规性方面的重视程度越来越高,但数据合规的进程仍任重道远。2019年5月25日,旨在保护欧盟公民的个人数据、对企业的数据处理提出了严格要求的《通用数据保护条例》。 欧盟EDPB的报告显示,GDPR实施一年以来,欧盟当局收到了约145000份数据安全相关的投诉和问题举报;共判处5500万欧元行政罚款。苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到调查或处罚。 GDPR的正式实施之后,带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。 我国大数据的行业应用更加广泛,正加速渗透到经济社会的方方面面。 这几年,无论是从新增企业数量、融资规模还是应用热度来说,与大数据结合紧密的行业逐步向工业、政务、电信、交通、金融、医疗、教育等领域广泛渗透,应用逐渐向生产、物流、供应链等核心业务延伸,涌现了一批大数据典型应用,企业应用大数据的能力逐渐增强。 最后,白皮书围绕技术、应用、治理三个方面对大数据发展进行了展望:
金融行业开源治理白皮书
金融行业开源治理白皮书
一、开源技术迅猛发展推动企业引入开源 (1) 1、开源已在多个重要领域成为主流 (1) 2、企业用户引入开源技术不可避免 (2) 二、金融行业采用开源技术已成趋势 (6) 1、开源技术是构建信息系统的重要选择 (6) 2、选择开源技术对金融机构意义重大 (8) 三、引入开源的风险日益凸显不容忽视 (11) 1、缺乏技术能力是企业用户的重要痛点 (11) 2、是否引入开源软件难以完全准确统计 (12) 3、开源软件隐含的安全风险较为显著 (13) 4、使用过程中是否遵守开源约定未知 (14) 5、开源软件上游供应链存在不确定性 (14) 6、开源软件的知识产权风险易被忽略 (15) 四、金融行业开源治理建议 (16) 1、推广产业开源科普,树立开源风险意识 (16) 2、建立金融开源社区,增进同业交流沟通 (17) 3、梳理开源治理规范,推动相关标准制定 (18) 4、建设开源治理体系,规范开源软件引入 (19) 附录金融机构开源治理实践案例 (23) 中国农业银行 (23) 上海浦东发展银行 (26) 中信银行开源 (30) 中国太平洋保险(集团) (32)
近几年开源技术快速发展,金融行业在构建信息系统过程中不可避免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动金融机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安全等一系列问题。金融作为涉及关乎国民经济的关键行业,面临与其他行业相比更为严苛的监管要求。如何在遵循开源义务要求的前提下规范地使用开源技术,从而最大化减少使用开源带来的风险,是金融机构构建信息系统过程中必然面临的问题。 《金融行业开源治理白皮书》首先介绍企业用户引入开源技术的背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议,最后附录了参与白皮书撰写企业的开源治理实践案例。
数据安全治理白皮书
数据安全治理白皮书
目录 前言 (1) 一、概述 (3) 1.1数据治理概念 (3) 1.2数据安全治理 (3) 1.3XX数据安全治理 (4) 二、全球数据安全标准化情况 (5) 2.1数据安全标准化总体情况 (5) 2.2国内数据安全标准化概述 (5) 2.3国际数据安全标准化概述 (7) 三、XX数据安全治理组织框架 (10) 3.1数据安全治理组织框架概述 (10) 3.2数据安全治理需求 (11) 3.3数据安全组织机构 (14) 3.4数据安全治理规划 (15) 3.5数据安全治理工具 (19) 四、XX数据安全治理建设流程 (22) 4.1数据安全治理建设流程概述 (22) 4.2价值数据分析 (23) 4.3数据分类分级 (24) 4.4数据发现分布 (24) 4.5数据安全风险评估 (25) 4.6数据安全策略 (25) 4.7数据安全防护 (26) 4.8数据安全运维 (26) 五、XX数据安全治理建议 (27) 5.1数据安全分类分级为起点 (28) 5.2数据生命周期安全为主线 (28) 5.3合规性评估数据安全为支撑 (29) 5.4数据场景安全治理应用 (30) 六、XX数据安全技术框架 (31) 七、结束语 (32)
前言 随着信息化技术的快速发展,互联网应用增长迅猛,与之相伴的信息安全风险飚升,特别是“棱镜门”事件,引起全球大部分国家对信息泄漏的关注,进而激发对信息安全风险的进一步重视;无论是欧盟、美国,还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求,加强对信息安全,特别是数据安全的风险防范,如:欧盟的GDPR 和《Regulation “on a framework for the free flow of non-personal data in the European Union(非个人数据在欧盟境内自由流动框架条例)》。 我国在大数据、云计算、AI、IoT、5G 等新技术带动下的数字经济发展过程中,数据已经成为国家和企业的重要资产和战略资源,多来源多类型的数据集中整合与综合应用带来了爆发式增长,与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显;在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战,无论从国家层面,还是行业监管层面都陆续出台法律、法规和管理要求,进一步引导和加强信息安全,特别是数据安全的风险防范。 本白皮书旨在系统性描述数据安全治理的通用性方法论,为业界提供数据安全治理需要考虑哪些方面、涉及哪些主要事项、工作开展逻辑和流程、XX信息在数据安全治理方面能够提供哪些服务等,寄希在数据安全治理落地时提供方法论指导;白皮书共分七个部分:第一部分是概述,主要对数据治理和数据安全治理间的关系进行阐述;第二部分是全球数据安全标准化情况,分别阐述国内和国外在数据安全方面的标准化情况,为阅读者提供对比和深入阅读的线索;第三部分是XX数据安全治理框架,分别从治理策略、组织机构、治理流程和治理工具四个方面对框架进行阐述;第四部分是XX数据安全治理建设,是在治理框架下具体说明数据安全治理的建设内容和步骤;第五部分是XX数据安全治理建议,是从XX实践的角度提出数据安全治理如何开展的建议;第六部分是XX数据安全技术防护体系,给出XX在数据安全方面能够提供什么样的服务和技术防护措施;第七部分是结束语。 浙江XX信息安全技术股份有限公司(简称“XX信息”),成立于2007 年,是国家规划布局内的重点软件企业,是新一代数据安全治理解决方案及服务提供商。总部位于杭州和北京,在上海、广州、深圳、南京、成都、济南等十多个区域设有分支机构,保障全国6 小时响应支撑服务。