信息安全体系介绍
水滴安全管理平台实践解析
中国联通软件研究院
2019年7月1日
一、信息安全体系介绍
信息安全(Information Security)是指系统的硬件、软件及其信息受到保护,并持续正常地运行和服务。信息安全的实质是保护信息系统和信息资源免受各种威胁、干扰和破坏,即保证信息的安全性。主要目标是防止信息被非授权泄露、更改、破坏或被非法的系统辨识与控制,确保信息的保密性、完整性、可用性、可控性和可审查性。
网络安全(Network Security)指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数据资源得到完整、准确、连续运行与服务不受干扰破坏和非授权使用。
等级保护2.0
从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0 叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。
2018年重大网络安全事件
手机应用克隆事件
英特尔处理器“Meltdown”和“Spectre漏洞”
荷兰三大银行遭DDoS攻击
僵尸网络HNS感染物联网设备
GitHub遭遇DDoS攻击
韩国平昌冬季奥运会遭遇黑客攻击
阿里云大规模故障
华住酒店5亿条用户信息泄露
互联网+时代的网络安全形势
Verizon《2018数据泄露调查报告》( DBIR 2018 )深入挖掘了全球各个行业的网络安全状况,包括制造业、医疗行业、金融和公共管理等。威瑞森的这第11份年度数据泄露调查报告揭露了5.3万起网络安全事件和2216起经证实的数据泄露事件。
在由内部人员导致的信息泄漏事件中,25.9%与系
统管理员有关(这与一半以上的人复用密码和弱口
令颇有关系);93%的社工攻击都采用了网络钓鱼
和假托手段;81.1%的安全事件都与窃取身份凭证
有关。
对企业信息安全来讲,外部威胁和内部威胁所占的
比重分别为70%和30%。
从总体上来看,医疗、住宿行业、公共事务管理、
零售和金融,是如今信息泄露事件最多的前5个行
业。
蔡淑妍,2016年7月19日被骗9800元,留遗书溺亡徐玉玉,2016年8月19日被骗9900元,郁结于心离世
宋振宁,2016年8月18
日被骗2000元,导致猝死
电信诈骗致死三名大学生数据泄露事件与影响
CSA 发布12大顶级云安全威胁Threat #1 数据泄漏
Threat #2身份、凭证和访问管理不足
Threat #3不安全的接口和应用程序编程接口(API) Threat #4系统漏洞
Threat #5账户劫持
Threat #6 恶意的内部人员
Threat #7高级持续性威胁(APT)
Threat #8数据丢失
Threat #9尽职调查不足
Threat #10滥用和恶意使用云服务
Threat #11拒绝服务(DoS)
Threat #12共享技术漏洞
*按照调查结果的严重程度排序
国家对网络安全重视
习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:
没有网络安全就没有国家安全
没有网络安全就没有国家安全
国家安全是指国家政治、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其它重大利益相对处于没有危险和不受内外危险的状态,以及保障持续安全状态的能力。国家安全包括了:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等。
国家对网络安全重视
◆中国首个安全法落地-《中华人民共和国网络安全法》于2017年6月1日正式执行,其中第四章(网络信息
安全)对数据安全与信息泄露做出了明确的追责要求。《网络安全法》从草案到通过,仅用时一年半,而生效时间也只有半年,整个过程的速度如此之快。落地之后,由于立法的要求,国内数据安全市场将会持续增长,各行业积压的需求将会井喷。
◆银行业金融机构数据治理指引-第二十四条银行业金融机构应当建立数据安全策略与标准,依法合规采集、
应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。
◆关于进一步加强征信信息安全管理的通知-2018年5月2日,央行下发《关于进一步加强征信信息安全管理的
通知》(银发[2018]102 号)。通知中写到:(一)从严加强征信系统用户管理。运行机构和接入机构应严格遵循相关规定办理用户的创建、停用和启用,根据“最小授权”原则分配各类、各级用户的权限,严格用户权限设置,将用户权限控制在业务需要的最小范围内。杜绝创建公共账户或者类公共账户,切实做到人户统一、专人专用,及时停用和启用用户,实施用户密码动态管理。
网络安全与企业发展
企业为什么要做网络安全工作?
业务
发展
法律要求合同要求