X0_0X
2
等保中级测评师
CICSA
官方采纳
X0_0X2
等保中级测评师
CICSA
我国把网络安全作为强国战略提高广大网民对网络违法有害信息、网络欺诈等违法犯罪活动的辨识和抵御能力,国外是对不同年龄层次,不同行业领域的人进行网络安全意识普及建立一些以网络安全的思想教育和宣传。
网络安全意识是人员预防网络侵害的重要素养,随着世界信息化的程度越来越高,世界各国人与事物的联系越发密切,应对网络空间潜在威胁与国民息息相关,所以各国对网络安全意识的重视程度也达到了空前的地步。
我国2016年12月正式发布了《国家网络空间安全战略》,其中明确指出,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升是网络强国战略目标的重要一环,推动网络安全教育进教材、进学校、进课堂,提高网络媒介素养,增强全社会网络安全意识和防护技能,提高广大网民对网络违法有害信息、网络欺诈等违法犯罪活动的辨识和抵御能力,是夯实网络安全基础的战略任务。
2017年6月,我国正式实施《中华人民共和国网络安全法》(简称《网络安全法》),其中第六条明确指出“采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境”;第十九条规定了“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众传播媒介应当有针对性地面向社会进行网络安全宣传教育”;第二十条明确了“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流”。这一系列的法律条文充分显示了我国政府对网络安全、网络安全意识、网络安全宣传教育的极度重视。《网络安全法》是建设法制中国、法制网络空间具有里程碑意义的重要文件。
美国在2018年1月启动和出台了“国家网络安全综合计划”和“国家网络安全教育计划”,形成了一个包括学历教育、社会培训、全民宣传教育相结合的多层次、广覆盖的网络安全人才发展体系,并根据安全教育需求设置了相应的指标体系,涵盖了不同年龄层次,不同行业领域,不同任务要求,为防范计算机网络犯罪和恶意攻击提供必要的知识和技能,全方位提升美国民众的网络安全意识,营造网络安全文化环境。
美国国家标准与技术研究院(National Institute of Standards andTechnology,NIST)安全相关标准与指标体系的出台刺激了美国网络安全意识评估与教育的迅速发展,在美国政府、军队、企业、学校、社区等组织中取得了明显成果。
日本自2006年起先后实施了两次信息安全基本计划,核心目标之一就是树立起“安全立国”的思想。政府组织与公用事业单位、企业积极合作,面向整个社会普及信息安全知识,共享和传播先进的信息安全保障技术和管理方法。经过多年的宣传和普及教育,信息安全意识已渗透到日本人的生活中。例如,顾客把淘汰手机交给零售店回收,店员会当顾客的面用专用工具在手机上打4个孔,并消除个人信息。
俄罗斯建立信息对抗教育防范体系,在全国范围内,特别是在一些重要部门建立全新的“信息对抗、信息心理对抗教育和防范体系”。这一体系包括技术防护、宣传解释、思想教育等。
法国于2008年发布了一份名为《网络防御与国家安全》的专题报告,要求政府所有部门都主动行动起来,采取切实有效的措施推广网络安全防范观念。
澳大利亚已制订覆盖各类组织及各个知识层次公民的“国民信息安全意识提升计划”,要求企业把提高员工信息安全意识当作一项核心工作,并建议将公众信息安全教育的重点放在法律、道德教育和网络安全知识普及等方面。
各国的相关政策及实践表明,网络安全教育可以有效提高社会公众的网络安全意识、知识和基本技能,是国家网络安全保障的一项基本政策。我国已将网络安全教育纳入国家网络安全战略规划,作为国家网络安全战略的重要组成部分发挥效能。网络安全教育应当以政府为主导,学校、社会团体、企业和个体等各方齐抓共建、具体落实,举全社会之力实现协同效应,共同提高全民网络安全意识。
安全侠
2
等保中级测评师
CICSA
官方采纳
安全侠2
等保中级测评师
CICSA
国内外的网络安全法律法规的差异,主要体现在对网络安全的理解认识和重视程度不同、出发点、侧重点、网络应用历史及网络安全的经历与经验的积累不同、法律法规及制度的全面及完善程度也不同。我国正式发布了《国家网络空间安全战略》,其中明确指出,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升是网络强国战略目标的重要一环,网络欺诈等违法犯罪活动的辨识和抵御能力,是夯实网络安全基础的战略任务。
传统的数据安全存在的问题有以下这些:
数据的流动性使安全防护困难:数据正在成为组织中重要的生产资料,并且会在流动、交换的过程中创造新的价值。传统的数据安全防护措施更多针对静态的数据,无法满足流动数据的保护需求。由于数据的流动性这一特点,要求数据无论到达哪里,都必须具有相同等级的风险应对能力,否则将因为短板效应而导致该防护体系失效。
传统的方案面临海量数据的巨大挑战:与传统数据库和文件服务器的数据分类分级不同的是,数据治理面临的第一个问题就是数据是海量的。在数字化时代,数据存储与传统数据库和文件服务系统存储不同的是,企业级大数据在来源、种类、格式、数量和敏感性上差别很大,使用的场景各有特点,安全要求各有不同。面对规模如此庞大的数据,已经很难采用传统的技术手段或人工的方式完成大数据平台的数据分级。
数据种类繁多,传统方案难以开展数据分类分级:在数字化业务环境下,数据来源非常庞杂,数据种类至少包括内部业务系统数据、外部机构数据、互联网数据等,这为数据的分类分级工作带来了巨大挑战。从各种渠道和来源收集上来的数据格式千差万别,如何对这些不同格式的数据进行归一化处理,不仅是数据分类分级工作的基础,也是大数据平台数据共享开放与分析挖掘的前提。
单一安全产品难以满足复杂应用场景下的数据安全要求:传统的数据安全机制通常是围绕着办公环境、小型数据中心开展的,数据资产规模小、种类少、结构单一,强调存储加密、脱敏、审计,数据安全体系不完整,难以满足大数据应用场景下的数据动态安全防护。
缺乏数据的识别与管控,难以开展有效的数据安全管理:企业积累了大量的生产、经营和企业管理数据,这些数据体量大、维度多,而且数据与数据之间的联系有强有弱。传统方案缺乏对敏感数据的识别能力。传统地依靠人工参与并结合自动化技术来识别敏感数据的方式,已经完全无法满足当前在时间和效果方面的需求。因此,只能通过新的大数据分析技术与人工智能手段来达到对海量数据的敏感性识别。
访问控制力度不足,缺乏精细化数据访问控制能力:在大数据场景下,数据从多个渠道大量汇聚,数据类型、用户角色和应用需求更加多样化,多源数据的大量汇聚增加了访问控制策略制定及授权管理的难度,导致过度授权和授权不足现象严重。同时,传统访问控制方案中往往采用基于角色的访问控制,缺乏基于属性的访问控制能力,且针对用户的权限策略相对固定,无法根据主客体的风险情况动态调整访问控制策略,导致无法为用户准确指定其可以访问的数据范围,难以满足最小授权原则。
推荐文章
