网安 - 专业的网络安全产业、社区、知识平台

中国网络安全能力图谱 (2020.9) 之信息技术篇

delay2020-09-02 15:32:15

中国网络安全能力图谱之信息技术篇,主要包含包括二个维度“计算对象”和“计算环境”。

网络安全技术与产业有三个关键支撑点,一技术,即信息技术环境;二是应用,即业务应用场景,三是专业,即网络安全攻防。这三个支撑点互为交叉重叠,衍生出各种安全手段和保护方法,是网络安全技术与产业之所以呈现出碎片化特性的主要原因。业内传统的对网络安全能力的梳理大多集中在安全专业技术上,但实际的情况是,离开信息技术的基础环境,网络安全技术是不存在的。*而离开业务需求与应用场景,保护手段就无法落地。不同的信息环境和应用场景决定了网络安全解方案也不尽相同,基于此理念,数世咨询创新性的提出了“网络安全三元论”,全面覆盖三个支撑点的分类方法。 *

(方法论:上图中的信息技术与网络安全结合形成信息安全,即对信息技术环境的保护。业务应用与网络安全结合形成业务安全,即对业务应用系统的保护。信息技术与业务应用结合是数字经济的概念,而信息安全和业务安全是数字经济健康发展的必然保障。信息技术、业务应用与网络安全,三者缺一不可,并且只有三者的紧密融合才能形成真正的安全原生、安全内生,摆脱安全伴生,走向安全共生。)

能力图谱将信息技术、业务应用和网络安全划分为八个维度,每个维度又划分成不同的细分领域并一直对应到各领域的优秀安全能力提供者,力求全面、清晰的反映网络安全各细分领域,并突出安全能力者,为国家部门、行业用户、研究机构和资本机构提供参考。由于文章篇幅所限,同时便于读者阅览,完整图谱将分三次发出,本次首先推出“信息技术篇”,包括二个维度“计算对象”和“计算环境”。

一、 计算对象

计算对象的维度主要是指从物理设备到主机、代码、数据,以及网站、数据库等信息计算实体或信息基础设施。

1. 物理安全

物理安全是指围绕电子设备运行时产生、接收及处理的电磁信号或运行时表现的机械特征展开对抗,对抗过程往往需要接近甚至接触到设备本身。物理安全的能力提供者主要集中在电子制造领域,而且“边信道”的子分类则多属于国防、保密领域,此次图谱暂时不做能力提供者推荐。(注:本图谱中的“物理安全”不包括人员守卫、摄像门禁、防火防盗等非电子对抗能力)

2. 端点安全

端点安全是指,围绕主机、服务器、PC等计算设备展开的安全防护,值得指出的是,业内往往把端点安全和终端安全混为一谈,但实际上服务器也是端点,但不是终端,两者是包含的关系。值得注意的是,诸如手机、平板等移动办公设备也属于终端,但业内目前对其的关注,移动属性大于端点属性,因此能力图谱将其划分在“计算环境”维度下的“移动安全”领域。同时,一些如电视、空调、手表、无人机等智能网设备也属于终端,但这些终端主要在个人消费级市场,暂未形成规模化的企业级安全收入。

3. 代码安全

代码安全是指,通过对软件或程序的源代码进行混淆、加密、检测、分析、审计,以增加代码的反逆向能力,并在软件生命周期的早期阶段发现漏洞或风险点。与代码安全相近的概念有软件安全、开发安全和应用安全。软件安全的定义过为宽泛,应用安全则除了代码安全还包含了网站安全和Web应用安全,软件安全和应用安全两者会交叉不同的细分领域,因此不适合做分类名称。开发安全实际上包含了代码安全,但开发属于企业或机构的生产或业务环节,为此能力图谱将其划分在“业务场景”维度下。

4. 数据安全

数据安全涵盖的范围非常广,从数据结构的角度,可分为结构、半结构、非结构数据。从保护手段的角度,可分为访问、加密、脱敏、审计等。从数据生命周期来看,则包含了从收集、产生到存储、加工、分析、应用等各个环节。数据时代已经来临,数据资产的保护内涵正在从静态保护开始向动态转变,开始从静态的数据资产保护延伸到动态的业务资产保护,这也是能力图谱把“大数据交换”划分到“业务对象”维度中的原因,而“大数据保护”依然属于“计算对象”维度中的“数据安全”分类。

5. 网站安全

网站安全是指以网站系统及其相关服务和应用为保护对象的安全能力,包括网站访问、网站页面、网站仿冒、DNS、Web应用的防护等。

二、 计算环境

计算环境的维度主要是指新兴的计算网络形态,如移动网络、云计算、物联网等,这些新兴的计算环境不断驱动着网络安全技术的演化。

1. 移动安全

移动安全是指围绕移动设备、应用、系统和业务开展的安全防护。

2. 物联网安全

物联网安全的涵盖面非常广,理论上包括了一切联网设备、应用、系统的安全,但某些计算环境,如工业互联网安全的行业属性更强,因此本次图谱将其归入到了“行业环境”的维度。目前,物联网还处于初期发展阶段,安全防护更多的集中在智能联网设备本身及应用的防护上。

3. 云安全

云安全的概念内涵主要有三种,一是保护云基础设施的安全,二是保护云上各种业务系统的安全,如云堡垒、云身份管理等,三是用云计算技术来做安全,如云原生、安全云。基于云原生的DevSecOps并未普及,其并行开发、快速迭代的理念目前更多的落地场景为本地开发环境,因此能力图谱暂时将其划分到“”业务场景“维度中的开发安全“。

注:数世咨询将于9月8日左右推出《中国网络安全能力图谱(2020.9)》之业务应用篇 届时我们将同步更新,敬请关注期待

网络安全信息技术
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全下一个热点:恶意数字孪生
2023-06-05 09:59:51
身份认证和访问控制:如果数字孪生系统的身份验证和访问控制机制存在漏洞,可能会被未经授权的用户或恶意软件利用,进而获得对系统的控制。如果这些基础设施遭到攻击,可能会影响到数字孪生系统的正常运行。“恶意数字孪生”时代即将到来一些安全专家认为,数字孪生将带来更多威胁。
关口前移,防患于未然——5G时代的网络安全风险趋势与产业应对思考
2022-08-16 18:42:00
与此同时,网络安全威胁始终跟随计算的分散化而同步泛化扩散。与此同时,安全威胁逐渐蔓延到各种新兴场景中。安天CERT从2015年开始,每年在上一年度的威胁年报中,公布年度威胁泛化图谱,揭示出威胁泛化不断加速的趋势。图一:2021年度网络安全威胁泛化与分布图谱安全威胁以暴露面和脆弱性为攻击入口。安天防御能力框架中定义了网络安全的五个基础能力集合与过程,即识别、防护、检测、响应、塑造。
专家解读:2022年的网络安全状况
2022-06-07 07:50:56
Gregory Touhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。
安恒信息牵头开展2021年网络安全国家标准研究项目
2021-09-03 08:24:16
《全国信息安全标准化技术委员会关于2021年网络安全标准项目立项的通知》于2021年8月25日正式发布。安恒信息进入2021 年网络安全国家标准项目立项清单。安恒信息将牵头网络安全国家标准研究项目《信息安全运营服务实施指南研究》。除此之外,据公布的立项清单显示,安恒信息参与的项目还包括: 1《信息技术安全技术信息安全管理系统概述和词汇》标准修订项目 2《网络安全能力评估模型和评价指标体系研究》
​美国SANS和西门子能源启动网络安全和工业基础设施安全学徒计划 (CIISAp)
2021-12-17 13:53:05
西门子能源公司、SANS(系统管理和网络安全审计委员会)研究所和一组非营利学术组织当地时间12月14日宣布建立一个联盟,实施一个新的工业网络安全学徒计划,以保护关键基础设施。
​两部门:鼓励险企开发多元化网络安全险产品,健全标准规范
2023-07-19 09:29:11
众安在线相关负责人表示,《关于促进网络安全保险规范健康发展的意见》的发布,有助于推动相关保险产品的市场普及和需求释放。《意见》指出,要完善网络安全保险政策制度。面向网络安全服务开发职业责任险等产品,转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。充分发挥保险机构专业优势,联合网络安全企业、基础电信运营商等加快网络安全保险与网络安全服务融合创新。
美国众议院2023财年拟为网络安全拨款超1000亿元
2022-07-14 16:59:01
网络和基础设施安全局最终获得的拨款,较总统此前提出的政府年度预算版本还多4亿美元;
CISA发布勒索软件自我评估安全审计工具
2021-07-04 13:26:17
据外媒,美国网络安全与基础设施安全局CISA发布了勒索软件就绪评估RRA作为网络安全评估工具CSET的新模块,据悉,RRA是一种安全审计自我评估工具,适用于那些希望更好地了解自己在防范和恢复针对其信息技术操作技术或工业控制系统资产的勒索软件攻击方面做得如何的组织。
在遭遇网络攻击时,企业的事件响应团队是积极应对还是束手无策?
2023-02-10 10:38:10
McKeown表示,安全领导者应该预测到这种情况,结合实践来帮助最大限度地减少发生这种情况的可能性,并制定策略来识别和应对网络安全事件。Kromberg表示,他曾经在一个周五中午的假日聚会之后举行了一次未提前宣布的演习。McKeown和Kromberg表示,首席信息安全官和他们的安全团队还通过尽可能多地模拟真实事件的练习来获得肌肉记忆。
delay
暂无描述