作者: pansin

刘志诚,乐信集团信息安全中心总监,中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人,CSA大中华区数据安全专家,FreeBuff、安全牛、安在、网安家、安全村等安全智库特聘安全专家,2022安在第一届超级CSO十佳CSO。 持有ISC2CISSP(国际认证信息系统安全专家),ISACA CISA(国际认证信息安全审计师)、CISM(国际认证信息安全经理),EXIN DPO(国际认证数据保护管官),DOSM(国际认证DevSecOps管理者),ISO(国际认证信息安全官)等安全专业顶级资格证书。 关注智慧城市,企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

诸子笔会 | 刘志诚:从网络安全周看安全宣传与意识教育



自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。





从网络安全周看安全宣传与意识教育


文 | 刘志诚




刘志诚

         乐信集团信息安全中心总监


中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。




中国政府高度重视网络信息安全在国家安全战略层面的意义,习近平主席在党和国家的重要会议场合多次强调网络安全对国家安全的战略会议,党中央成立了网络安全与信息化办公室统筹和协调网络安全的相关工作,把网络安全提高到与信息化同样的高度,在信息化建设的过程中,同步关注网络安全基础设施的建设与运营。《国家安全法》对不同领域的安全提出了基本要求,《网络安全法》进一步落实了相关主体的业务与责任,指导网络安全工作的全面落实,近些年,进一步的细分法律法规陆续出台,对国家安全相关的关键基础设施的安全,对关系国计民生的数据安全,对当下事关电信诈骗百姓生活的个人信息保护,均通过细分领域的法律,规范相关的关系,保护相关的权益。


从国家宏观维度,网络信息安全需要关注政策的引导作用,利用国家力量通过政策指引,立法强化,聚集社会各界资源,加强产业的发展,鼓励技术创新,服务创新,模式创新,营造网络安全促进经济发展,保障社会稳定的宏观环境。在组织架构上,人才培养上,政策扶持上均有相关的政策与指引出台。同时,为了扩大社会的知情度,加强社会各界的参与感,推动自上而下的执行力,需要在宣传上,教育上下功夫,通过丰富多彩的形式,人民群众喜闻乐见的内容,吸引社会舆论的注意力,占领舆论宣传的桥头堡,已形成社会共识。于是国家推出了国家网络安全周的系列活动,通过标准化,形式化,持续化的宣传手段,打造宣传的名片。实现“网络安全为人民,网络安全靠人民”的全民共识,推动网络信息安全事业的蓬勃发展。


中国模式经过近60年的打磨,已经逐渐彰显其集中力量办大事的高效和成果,从经验上来看,符合当下科学管理的系列特征,政策为纲,组织架构和干部为领,始终抓住宣传的制高点,营造一致的目标与愿景,统一思想与意识,集中资源分解目标逐层推动,持续优化调整与改进。而其中的宣传制高点对建立共同愿景和目标,保障执行协调一致至关重要。对于企业而言,网络信息安全工作的开展,也需要借鉴中国经验,在宣传教育方面,可以参考国家网络安全周的组织,运营和实践,提升企业网络信息安全工作的落实效率与效果。


图一、网络安全宣传交易框架



一、 注重目标

网络安全为业务,网络安全靠业务


网络信息安全工作的目标也是宣传教育的目标与目的,国家网络安全周的“网络安全为人民,网络安全靠人民”转换为企业的目标,就是网络安全为业务,网络安全靠业务。


从网络信息安全的目的而言,企业网络信息安全的建设是保障公司业务战略的顺利开展,为业务的发展保驾护航,脱离了业务目标的网络信息安全建设,即使是铜墙铁壁也不具备实践价值,不能舍本逐末,脱离业务情景谈安全。安全固步自封,划定业务与安全边界的做法也时常听闻,这就违背了网络安全为业务的目标。


从《网络安全法》的角度,业务负责人是网络信息安全的第一负责人,业务负责制需要自上而下的贯彻网络信息安全的保障,是业务必尽的义务。有些企业业务负责人错误的把网络信息安全当作专职的网络信息安全部门的责任,本质上也是对法律责任的错误解读。

这样的一个标语和口号,准确的传达了网络信息安全工作的本质,是对网络信息安全技术部门和业务部门义务和权利的清晰定义,指明了宣传和安全意识教育的方向。



二、 关注形式

运动式安排,发挥基层力量


国家安全周的成功主要体现在集中时间,集中地点,集中资源,吸引足够的注意力,扩大宣传教育的影响力,逐渐以某个省市为主,举行盛大的开启仪式,推动年度的网络安全周。然后每个省市各显神通,在自己的地域范围内开启各种各样的活动,从厂商宣传,技术交流,典型案例,颁奖活动,形式多样,内容丰富多彩,源自于各自自下而上的策划与执行。统一指挥,分头行动,各自精彩。


企业的网络信息安全往往缺少运动式的安排,仅靠文字,图画以及自助式的宣传与教育,缺少阶段性的统一动员,统一组织,全员参与,往往容易埋没在日常的业务运营工作中,徒有形式,缺少参与,达不到实际的的宣传教育效果。如果响应国家网络安全周的倡导,在企业内部发起网络安全周的相关活动,在为期一周的时间内,充分组织与动员。要求各业务支撑部门,策划,发起自己领域内的网络安全宣传活动,发挥基层的主观能动性,就可以提高全员的参与度,吸引全员的注意力,从而提高宣传教育的效果。



三、 内容为王

吸引注意力,实现有效传播


如果只是表面做到花团锦簇,老百姓不愿看,看不懂,没收获,那么网络安全周就会沦为形式,或产业界的自言自语,没有达到真正的宣传教育效果,这其实涉及两个问题,一个是如何在信息过载社会实现信息的有效传达,能够真正让人想看,另外需要关注内容是否适应真正的受众认知,能达到宣传教育的有效传播。


各地网络安全周宣传的主题面向广大人民群众在形式上往往多姿多彩,关注受众的认知与感受,做到内容看得懂,表达丰富多彩,人民群众参与度高。这些成果建立在扎实的调研和细致的分析研究上,离不开6年来网络安全周的持续更新与改进。


企业的网络信息安全同样面临着注意力分散的问题,因此需要一是紧抓安全热点,二是与业务运营密切相关,紧抓员工切身问题的风险和解决方案,通过生动活泼的形式吸引员工的注意力。据研究发现,即使经过多轮的意识教育,像钓鱼测试等社交工程的安全攻击,也能实现10%左右的成功率,而这些人群往往是属于闭目塞听的非受众人群,吸引到他们的关注,以他们认可的方式避免安全意识教育的盲区是安全教育成功的关键环节。



四、 闭环管理

有效性度量,持续改进


图二、网络宣传教育目的与评价指标设计


安全意识教育关于人的认知,思考,行为,逻辑模式的变革,和心理学,行为学,社会科学密切相关,不能仅靠经验思维或者主观认知去做规划,设计,编排,展示,这样往往难以达到预期的效果。需要在前期做好受众的相关调查,对当下的热点问题,重要的风险,以及相关方案对问题解决的普遍认知,受众的范围,认知层次,理解水平,进行充分的调查研究,建立在数据之上的规划设计,通过科学的手段推动网络安全意识教育的落实。


另外需要关注对网络安全宣传教育的结果的度量,需要有相应的指标支撑,以进行评价,涉及目标用户群与真实的受众人群的触达率,受众认知和理解宣传教育和意识宣传渗透率,受众在接受相关安全宣传和意识教育后对风险理解和认知的激活率,受众在激活后面对实际风险合理处置的转化率都属于可以有效度量网络安全宣传效率和效果的指标,对宣传教育的投入产出比也可以进行有效的度量,评价不同内容,形式的投入产出之间的关系。


目前,并未发现网络安全周期间各地实践活动中关于这部分度量的内容,其实对网络安全周的持续进行和改进缺少科学决策的依据,更多的仍是当作必须完成的政治任务,不计投入产出的完成。


从企业的角度来看,如果改变传统的网络安全教育宣传模式,就需要有客观的评价评估依据,以进行资源投入的决策,因此,建立闭环的度量和持续改进模式就至关重要。



五、 发展展望

运动变常态,宣传教育变实践


网络安全宣传周的模式在现阶段起到了至关重要的承上启下作用,把老百姓日常相关却又难以理解的网络空间安全风险的技术复杂度用显而易见的方式,进行教育宣传,激起人民群众对网络安全的关注,了解对相关权利的使用和义务的承担,实现认知上的进步。掀起全民热潮,推动产业的进步与发展,对相关工作的推动大有裨益。但也存在网络安全周期间成为热点,事后恢复平静,这也是运动式的网络安全宣传带来的弊病。那么如果从网络安全周到网络安全月,甚至进一步到网络安全宣传教育成为常态,才是网络安全走进人民群众中间的,成为生活一部分的前提。


宣传教育,意识建设仍属于认知层面的工作,从陌生到熟悉和了解,但对行为的改变,对义务的承担,对权利的使用,仍是一个从认知到行为的过程,只有实现了行为的改变,底层思维逻辑的改变,才真正达到了网络安全意识教育的目的。


相对于国家网络安全周,企业的网络安全宣传交易工作目的性更强,常态化的网络安全宣传教育嵌入到业务运营过程中是理想的状态,在企业运作的关键节点做到风险的评估,度量和管控策略的落实与有效性审计,把思想意识改变为行为,在业务设计,开发,运营过程中始终保持安全意识指导下的安全行为,实现网络安全的全面闭环管理。



2021年的国家网络安全周已经结束了,给企业留下了无数宝贵的网络安全宣传教育的内容与形式可以借鉴,同样企业网络安全意识教育的实践和度量,国家网络安全周不妨也能借鉴和效仿,共同推动国家的网络安全教育和宣传工作的全面发展。






推荐阅读

诸子笔会 |10月征文合集《安全周》

张永宏:网络安全周,教育是抓手

王振东:星星之火,可以燎原——深远长久的网络安全宣传

赵锐:网络安全意识教育的业务价值

蔚晨:金融科技助力国家网络安全宣传周


诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐

 

诸子笔会 |8月征文合集《数据安全》

赵锐 刘顺 刘志诚 杨文斌 张永宏
蔚晨 王振东 孙琦 肖文棣 月奖公布


诸子笔会 | 7月征文合集《安全自动化》

张永宏 肖文棣 杨文斌 于闽东 孙琦 
刘志诚 蔚晨 赵锐 季奖公布


诸子笔会 | 6月征文合集《安全数字化》

张永宏 刘志诚 孙琦 李磊 赵锐 于闽东
肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布


原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看


本篇文章来源于微信公众号: 安在

《网络安全审查办法》征求意见稿变更与简析

2021年7月10日,国家互联网信息办公室发起了《网络安全审查办法(修订草案征求意见稿)》征求意见,据2020年4月13日12部委联合发布《网络安全审查办法》仅过去15个月,这也是对7月2日开始对以滴滴为首的6月份美国上市企业集中发起网络安全审查的后续立法方面的动作和策略,核心仍在于原来的《网络安全审查办法》对此系列事件管辖覆盖的部分欠缺。我们从本次修改的内容做下分析和简述:

新征求意见稿:第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。

变更:征求意见稿相对于原办法增加了《中华人民共和国数据安全法》

新征求意见稿:第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

变更:相对于原办法增加了“数据处理者(以下称运营者)开展数据处理活动

简析:这两条变更是对2021年6月10日通过,2021年9月1日生效的《数据安全法》“第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”形式呼应。

新征求意见稿:第六条 掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

变更:新增

简析:规定了具体的数据安全审查的依据,100万条个人信息运营者赴海外上市,个人认为该条过于具体到数量和数据种类的细节,不利于数据安全涉及到国家安全的审查,国家安全不仅涉及到个人信息,尚包括涉及到国计民生的相关数据,例如地理测绘信息,经济运行数据等统计性数据,包括网上传闻滴滴涉及到部委加班的统计数据,以及《汽车数据安全管理若干规定(征求意见稿)》2021年5月12日涉及到的相关数据,虽然部分数据可以参照保密法相关规定予以规制,但从数据安全法的角度,此条文仍有待进一步丰富。

新征求意见稿:第八条 运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;

(四)网络安全审查工作需要的其他材料。

变更:新增“拟提交的IPO材料”

简析:这是对中办、国办2021年7月6日《关于依法从严打击证券违法活动的意见》第十九条“

加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理。坚持依法和对等原则,进一步深化跨境审计监管合作。探索加强国际证券执法协作的有效路径和方式,积极参与国际金融治理,推动建立打击跨境证券违法犯罪行为的执法联盟。”的回应,但仍然只是形式上的呼应,仅增加对IPO材料的要求,但对已经海外上市企业的审查,包括网上猜疑与美国证券交易委员会SEC审计底稿要求相关的冲突,均未涉及,是否需要对海外证监提交审计文件进行提交审核,未做明确规定,对存量上市企业的监管存在空白空间。

新征求意见稿:第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;

(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;

(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。

变更:新增“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;

(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;”“和国家数据安全的”

简析:是对审查的范围和潜在风险增加对数据安全领域的覆盖,主要涉及数据安全和出境风险,国外政府影响、控制、恶意利用风险的反制,这是对美国为首的西方围堵中国联盟的长臂管辖法案做出反应和反制,具体的风险评估和风险处置策略,预计需要在细则中持续优化。

在原文中“(五)其他可能危害关键信息基础设施安全和国家安全的因素”“国家安全”被修订为“国家数据安全”缩小了安全范围,窃以为“数据安全等国家安全”更为恰当合适,避免管辖范围狭窄,不能覆盖其他国家安全的情景。

新征求意见稿:第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

变更:新增“数据处理活动以及国外上市行为,

简析:这是对本办法覆盖范围调整的补充说明,重点依据数据安全法和《关于依法从严打击证券违法活动的意见》补充相关安全审查范围。

新征求意见稿:第二十条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

变更:修改了第19条“运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

简析:原文对处理规定仅限于网络安全法第65条,“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”惩戒范围和力度均不足,甚至未能涵盖《网络安全法》关于数据安全方面的处罚规定,例如第64、66、68条关于个人信息和数据安全相关的处罚,例如第64条“情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”可以对违法行为处以极刑。当然,这也和本次《网络安全审查》范围的扩大有关,另外也为9月1日生效的数据安全法相关处罚的落地出台了行政法规。

整体来看,本次《网络安全审查》网信办在短时间内协调十二部委达成共识,增加对数据处理和海外上市涉及国家安全的关键行为的审查,有效的弥补了网络安全审查的空白,承接《数据安全法》的数据安全审查执行办法,呼应中办国办关于海外上市的强监管,体现了规范和效率前提下依法治国精神的落实。但也可以看到,《网络安全审查办法》以网络安全产品和服务为切入点进行安全审查的局限性,以此为基础的范围扩大,由于审查内容,审查依据,审查程序的不同,势必带来一定的制约。在具体条款的拟定上,对底线的把握,对情景的适应,对应用的尺度,存在优化的空间。当然,这也是征求意见稿吸纳社会意见,逐步完善的意义所在。相信在新的网络安全审查办法出台后,对数据安全和海外上市等涉及到国家安全领域的行为监管会进一步规范化,标准化,透明化,保障国家安全有法可依。


本篇文章来源于微信公众号: IT的阿土

信息安全风险与策略共识机制浅谈


在国家网信安全和安全可信战略背景下,信息安全作为组织专业领域的保障和支撑方向,在业务数字化转型过程重要性越来越明显,信息安全带来的合规风险,品牌声誉风险,和业务风险成为组织风险治理的关键风险。

同时,信息安全的技术复杂性和专业性,需要考虑风险分析、决策、治理策略与业务战略的一致性和共识,在进行相关的风险识别、评估、分析的方法,展现形式上如何实现组织级的沟通与共识,在针对风险分析决策的参考因素,需要在关注信息安全带来的影响,损失,和投入成本之外,还需要关注业务价值,影响和带来的成果,需要考虑信息安全之外的因素和变量。在风险治理策略上,需要综合评估方案的有效性,便利性,对业务的影响, 其中的资源投入的时间成本和资金成本,获取的收益和潜在价值的影响,在综合考虑ROI的同时,关注治理方案的外部性。相对于传统的信息安全风险评估的定量、定性分析以及从综合保障纵深防御角度的风险治理策略,需要相应的分析、决策、策略综合考虑组织内的协调与共识,需要信息安全部门与业务运作、支撑部门达成广泛的共识,才能实现信息安全风险的全面治理。否则,一方面抱怨信息安全意识薄弱,一方面又觉得工作难以推动和开展,孤军奋战陷入泥潭。当然,对于在组织中处于强势的信息安全管理部门,以红线为准绳,通过向上管理,自上而下的强制执行,但这种方式,仅依靠强大的专制能力,组织内被动实施和执行,难以达到主动发现,积极防御,协同联防的效果,而且工作开展过程中的满意度下降,错误会被放大,难以稳定持久的发展。

因此,组织内对信息安全风险与策略达成共识,对信息安全工作的开展,形成人民战争,通过基层动员,达到主动协防,无死角解决信息安全问题至关重要。

一、共识内容:建立两图一表的顶层沟通基础

信息安全部门的工作开展,往往存在目标导向,从做什么开始。会有一个做什么的计划列表,或者做什么的逻辑框架,把领域,方向,模块进行拆解划分,并根据模块的进展情况,重要程度,进行工作的推进和开展。例如划分为研发安全,数据安全,身份安全等。这其实是有个潜台词,往往信息安全部门已经根据经验和能力,潜意识的完成了风险评估以及解决方案的设计,得出的是安全策略的全景图。由于工作的专业性,在协同第三方推动过程中,根本未意识到由于信息不对称,业务方和其他支撑方缺少风险的识别,分析,判断的背景知识和来龙去脉,会从这个安全策略本身的价值进行追问,为什么,是什么,带来什么,经典3问出来,往往需要从头解释,自认为的想当然变成了灵魂追问,沟通的问题显现,事情的推动会受到阻碍。

信息安全风险评估作为从风险角度来看信息而全而言,逐渐有成熟的方法和标准,但应用和实践层面往往用于第三方测评认证和信息安全审计项目。基于威胁和漏洞的风险识别,基于影响和损害程度的风险分析,往往可以得出风险矩阵,可以定性的分析,也可以结合风险概率和损失的数字化,实现定量的分析。这种分析方式根据具象和抽象的粒度不同,可以作为共识沟通的基础。

两图中的第一图其实关注的是重要风险的整体视图。这个视图在组织级层面需要关注到的是组织信息安全风险的系统性和整体性,要做到麦肯锡MECE原则,不遗漏,不重复。另外就是要考虑风险的动态性和分布性,随着威胁、漏洞在时间、空间范围内的变化,势必会有动态的演进和调整。不过至于抽象的粒度和更新的频度,需要根据组织的规模,资源的情况,问题解决的能力和速度,逐步调整成优化的适合值。对于一般性组织,二十-三十项的重要风险抽象相对比较合适,一是外部变化引起的及时更新,例如合规风险,一是在半年或一年的调整范围内比较合适。

第二图是风险的紧急程度分布图,以百分比饼图作为对风险紧急程度的百分比分布,根据紧急程度关注到风险的占比分析,作为风险治理决策的依据和跟踪的相关指标。从经验值来看,需要关注长期能力建设的重要风险防范和紧急风险的处置,维持20%-30%风险是需要紧急处置的风险比较合适,在整体20-30项风险的前提下,4-9项的紧急高危风险的治理在年度范围内是比较适合。

这两个图是组织内对信息安全风险形成共识的基础,信息安全部门在充分调研和专业判断的前提下,确定整体风险视图和风险的紧急程度分布图。在风险层面达成信息安全风险治理的共识。

基于需要紧急治理降低风险等级的20-30%高危风险,从预防、检测、监测、响应的维度,确定解决方案,结合投入成本,实现价值,以及实施的复杂度,协同范围,业务影响,时间等多维度评估,形成风险治理解决方案落实项目表,确定项目经理,相关成员和关键里程碑,跟进落实,推动风险治理的落地实施。风险治理项目跟进表作为高危风险治理的共识基础,需要信息安全部门与涉及到的相关支撑业务达成共识,共同推动,确保风险治理的成功。

综上所述,两图一表在共识达成至关重要,是全面实现信息安全风险治理共识的基础。

二、共识方法:问卷、访谈、会议三步法沟通计划

两图一表的形成和更新过程,需要建立良性的沟通计划,相关关系人需要考虑达成共识的相关方法,确定干系人沟通输入、过程方法和输出,实现共识的达成。

RACI干系人的问卷,针对干系人相关领域的风险和治理策略,进行开放式的问卷设计,通过对现有风险分析和治理项目的定性评价,确定相关共识支持的比例,以及反对,修订的意见和建议,并收集相关领域对风险的识别和需求。

中高层、关键干系人访谈,进行1 by 1沟通,提前针对沟通内容进行梳理,主要包括对风险识别、分析、处置的沟通。首先,确认中高层,关键干系人对相关领域的风险认知和风险识别,对需要信息安全关注和解决,处理的风险进行阐述,对需要信息安全提供的帮助进行梳理和描述,对中高层和关键干系人的风险意识和风险认知进行了解,对需求进行分析和梳理,纳入到风险识别中去。其次,确认中高层对信息安全既定的信息安全风险的识别、分析的判断以及风险治理方案的认可和支持情况,可以投入的资源支持,以及修订的意见和建议。正式的沟通输入可以是两图一表,非正式的沟通可以是相关问题的口头描述。

关键节点的会议方式,针对具体风险的识别、分析、决策,以及高危风险的治理解决方案的遴选、决策,可以通过会议的方式具体讨论,形成决策性的意见纳入项目计划进行跟进。

三、持续改进:具象风险与项目,持续迭代和优化

组织级的两图一表在具体领域,部门和方向上,可以进一步细化和拆解。从抽象的组织级两图一表,细化到具体实施层面的两图一表。无论是自上而下的组织级具象到领域级,还是自下而上的从领域级抽象为组织级,都是行至有效的风险治理方法,关键在于团队的水平能力以及组织整体的信息安全水平,各业务和支撑部门具有良好的信息安全意识和稳定的安全能力水平的,可以对相关部门内和领域内的风险进行自主识别、判断和自行制定解决方案并贯彻执行的,适用于自下而上的模式。而整体组织安全能力水平依赖于信息安全团队的专业性实现保障和支撑的,适合自上而下的模式,从抽象逐渐具象。

   当然,组织风险的动态特征以及组织能力水平的持续演进,会经历由自上而下到自下而上,从而形成持续改进的循环模式。而抽象与具象的灵活转换,形成统一的沟通语言体系,从而形成组织战略融合的信息安全风险共识治理机制是最终的理想状态。

   信息安全工作的开展从做什么到如何做,已经不是单纯的专业性和支撑的话题,而是如何真正的解决信息安全合规和信息安全业务保障融为一体,真正实现信息安全本质目的,降低业务因信息安全带来风险造成的损失,甚至更进一步,通过信息安全策略的实施,实现业务的战略竞争力,从而创造价值。路长道远,信息安全团队需要在提升专业能力的同时,提升组织共识达成的能力。

本篇文章来源于微信公众号: IT的阿土

欧盟《通用数据保护条例》与中国《数据安全法》差异简析



中国《数据安全法》草案的公布,带来相关研究的热潮,基于相关法案的学习研究,对其中重要差异点进行分析。

一、立法的目的、范围不同

欧盟《通用数据保护条例》的目的是对个人隐私数据的保护,防止数字空间和新技术带来的个人隐私侵犯风险,尤其注重对公权力机构在采集、使用、处理个人数据过程中的监管。鉴于历史原因,对涉及民族、种族、政治、宗教信仰、个人生物识别特征的数据均为敏感数据,其相应的获取、应用均有严苛的规定和用户权利保护的强制措施。
不涉及到经济发展、业务运营的数据促进以及商业、社会关键数据的安全保障。不关注数字经济的发展过程中数据的重要性,不针对该问题进行数据产业发展、流动、交易的立法监管和保护。
中国《数据安全法》的目的是保障数字经济发展过程中带来的通用数据安全问题,不局限于个人隐私数据的保护,而把数据作为未来经济发展的重要生产要素,从战略高度出发促安全保发展。重调强调政府主导,自上而下的顶层设计,战略布局,通过统筹协调安排,集国家之力,集中力量办大事,在全球数字经济竞争中脱颖而出,弯道超车。目的在于发展,安全的目标是发展过程中必要支撑。

二、权利的定义与冲突

欧盟《通用数据保护条例》强调对个人用户权益的保护,在数据的采集环节,重点关注用户的主管意愿下的同意,以及允许后悔的权利,虽然补充有商业利益场景下平衡责任义务的保障条款,但个人的数据权利至上的原则贯穿始终,数据业务用途的唯一性,单独授权,数据的最小化,对提供服务的业务提供商而言存在不利于发展的制约倾向,其中用户数据权利的访问、变更、携带、遗忘权,在保障用户权利的前提下,对数据使用方具有较大的制约。所提倡的基于默认设计的隐私原则,更是以用户为中心出发,在用户隐私保护的可用性和便捷性方面提出挑战。
中国《数据安全法》对数据涉及的范围较为广泛,所涉及到的数据主体未进行明确定义,相关的权利未进行详细阐述,其中涉及到个人数据部分的描述,也仅从同意、授权、最小化等基本原则进行了阐述。缺少权利的清晰定义,就难以从主体权利的角度出发保护主体权利,保护的范围也仅是数据自身的安全性基本要素。由于立法的目的核心在于促进数据利用产业的发展,其中包含对交易场景的支持,数据交易的内容和本质并为进行限制和定义,是否包含个人数据仍需要配套法律的细化,但从数据主体权利角度分析,数据的最小化,数据的用途限定,避免自动化决策等个人基本权利与交易场景存在冲突的可能性。

三、数据保护与数据安全的义务

欧盟《通用数据保护条例》强调了数据控制者与数据处理者角色的定位以及承担的责任和义务,数据控制者与处理者角色的义务对应的是数据所有者的权利保护。从数据所有者的权利出发,评估相应的风险,进行数据影响分析,并制定权利保护的相关策略和程序,通过数据保护官(DPO)建立数据所有者沟通的渠道和处理数据权利的通道,通过默认的权利主张设计,支持数据所有者的权利主张,并对损害发生进行及时的通知以及报告。相关的惩罚条款,对于数据所有者的权利侵害给予重罚,对于违反相应的保障措施予以相应的惩戒,并授权各国设立统一的数据保护机构,实施相关细则。
中国《数据安全法》对数据安全的义务,重点强调政府部门的统筹规划,协调计划,资源投入,确定相应的基础设施,促进数据利用产业的发展,针对数据利用组织,重点强调数据安全保障的能力建设,流程制度体系保障,通过风险评估,措施落实,应急保障,事故处置等安全措施的落实,确保数据的基本安全属性,并通过公权力机关的测评和认证予以第三方背书。另外,涉及到数据利用的交易、流通、加工的数据主体,建立备案和从业资格的管理机制。对未尽责执行相应措施,获得公权力机构背书和授权,非法从事业务的进行行政处罚,并依据后果进行行政处罚或衔接民法和刑法的追责。

四、公权力的约束

欧盟《通用数据保护条例》对国家机关采集、分析、使用个人数据与企业一视同仁,同样强调个人隐私数据保护的基本原则以及对个人权利的保护和支持。对于数据保护监管,授权各国成立唯一监管机构,进行统筹的监管,具有相应的行政处罚权利,权责简单、清晰。并未涵盖监管机构失责或失去公正的进一步监督、管理和处置的法律要求。

中国《数据安全法》重点在于政府的主导、支持、促进产业发展的角度推动数据利用与数据安全,对数据安全义务的企业组织主体进行行政处罚,对于政府机关涉及到的数据安全义务,通过依法行政处分方式推动。体现了数据安全义务后果在企业与公权力之间的差异化。但在数据安全监管机构存在滥用职权、徇私舞弊等行为时,适用于相应的依法处分和处罚。相对于欧盟的简单、清晰的公权机构。中国的《数据安全法》延续号称九龙治水的网络信息安全治理格局,从业务领域,涉及范围,历史传承等角度,规定了不同主管部门的监管责任。

五、数据的跨境本质

欧盟《通用数据保护条例》强调的是个人数据权利主张保护的义务落实情况,并通过对国家的评估,企业内部协议等模式,支持在充分保护前提下的出境管理。
中国《数据安全法》强调国家安全,第三方国家是否存在歧视性禁止、限制等条款下的对等原则,对于数据的调取,在已签署协议外强调通报、审批的机制,重点在保护国家利益以及企业利益。

综上所诉,欧盟《通用数据保护条例》与中国《数据安全法》从立法的目的,保护的目标,涉及到的范围均存在显著差异,在数据相关方的权利的定义方面存在显著差异。在义务层面,欧盟关注的是对个人数据权利的保护,中国关注的是对数据安全措施的落实和执行的可验证性。在公权力的约束层面欧盟注重公权力参与的同等义务以及单一的监管治理结构,中国公权力参与义务不同存在一定的不公平性,在监管治理结构上延续平衡和妥协的产物,强调备案、授权、测评与认证的权力模式,存在寻租空间。在跨境上欧盟强调的是个人权利保护义务的落实,中国强调的是国家安全与竞争力保护的对等条款,基础不同,摩擦是必然。

本篇文章来源于微信公众号: IT的阿土

一个EXIN DPO眼中的《数据安全法》

                                           刘志诚
一、明确目标,建立基础,达成共识,形成原则:

第一章数据安全法总则概述了立法的目的,管辖范围,其立法涉及的意义和本质以及立法的指导思想、组织保障以及基本原则。

首先定义了立法目标(第一条)保障数据安全与开发利用放在第一项,在强调数据安全的同时强调了数据利用是根本,保护公民和组织合法权益放在第二项,是对社会组织与个人数据保障要求的回应,国家主权,安全与发展权益放在第三项,确定国家安全的基本原则不能动摇。

数据安全法的范围(第二条)确立了境内相关活动适用,同时增加了长臂管辖条款,境外数据损害第一条规定目标利益的适用本法管辖。

数据安全涉及的主体以及意义的本质(第三条),数据包含电子、非电子的信息和记录,概念的内涵和外延包含了通常意义的电子信息也包含其他介质和形式,内容在数字身份,敏感数据的基础上包含了数据记录等。活动范围与欧盟《通用数据保护条例》包含了收集、存储、加工、使用、提供、交易、公开,其中提供、交易、公开的活动进一步扩充了活动的本质,相对于数据安全保障的目标,增加了数据利用的合法保障。数据安全强调了采取必要措施,对数据实时有效保护,保障合法利用的前提下使数据处于安全状态的能力。

数据安全的指导思想(第四条、第五条),第四条强调国家安全观的宏观视野下建立数据安全的治理体系,具备整体性思维,建设保障能力,强调数据安全的能力导向。第五条强调数据利用的根本思想,保障权益的前提下做到合法利用,支持有序的自由流动,把数据作为促进数字经济发展,增进人民福祉的有效手段。

数据安全的组织保障(第六条、第七条),第六条体现国家意志,从国家安全领导机构的角色承担数据安全与数据利用的决策、协调与方针政策的制定,体现数据利用与数据安全的战略定位和政治高度。第七条,从条各部门,块各地区的角度,强调行政主管部门对数据产生、汇总、加工数据和数据安全的主体责任,行业主管部门对所管辖范围内组织的数据安全监管职责,公安与国家安全机关对涉及到国家和公共安全职责范围内的数据安全监管工作,网信部门对整体数据安全工作的统筹协调和监管。延续传统网络与信息安全职责范围的基础上,明确了责任主体和负责范围,为后续的数据利用与数据安全的有序监管提供了基础。

数据安全的基本原则(第八-十一条),第八条规定了法律、道德基础上的义务和责任,核心是不得侵犯数据安全的立法目标。第九条强调建设协同的治理体系,形成良好的数据安全环境。第十条,强调参与国际规则和标准的制定促进跨境安全和数据的自由流动,保持开放的基本原则。第十一条,对投诉、举报的支持以及要求相关部门及时依法处理,强调本法实施的严肃性。

二、辩证数据安全与发展,政策扶持,标准先行,推动流动,培养人才

数据安全法第二章的安全与发展重点从数据利用开发与安全的关系,从战略规划、政策、标准、检测、评估、认证与教育的角度促进数据开发与数据安全。

数据安全与数据开发利用的关系(第十二条)是以利用促安全,以安全保发展。主旋律是在安全保障的前提下促进数据的开发与利用。
数据利用与安全的发展(第十三条)首先从战略与规划的角度提出大数据战略以及数据利用和安全的基础设施建设,强调创新应用促进数字经济的发展。要求各省把数据利用与安全纳入数字经济发展与规划,列入本级国民经济和社会发展规划,再次强调数据利用与安全的战略价值和重要地位。

数据利用与安全的支持政策(第十四条)涉及技术基础研究、开发利用、安全技术与推广,创新产业体系等层面的政策支持和扶持。

数据利用与安全的标准(第十五条)、评估、检测与认证(第十六条),强调体系化、标准化、规范化、专业化在数据利用与安全方面的价值,鼓励相关政策标准的制定,落实,检测,评估与认证。

数据交易管理(第十七条)发挥数据生产要素在促进数字产业发展过程中的作用,提高数据利用价值,离不开数据交易,规范数据交易行为,健全管理制度,培育数据交易市场是明确了数据交易的合法性基础和地位,为数据交易的健康发展奠定了基础。

数据人才培养(第十八条),从国家各级教育体系以及人才培养体系的角度,鼓励专业人才的培养和流动。

三、制度保障,对内分类分级,措施落实,对外安全审查,出口管制,对等保护

数据安全法第三章数据安全制度从国家立法角度强调数据分类分级保护,完善信息安全保障措施,落实数据安全事件应急处置,对影响国家安全的活动的安全审查,出口管制以及对海外歧视限制措施的对等条款,保障数据安全工作有序、合规的开展,保护国家安全和利益。

数据分类分级保护(第十九条)国家根据数据的重要程度以及破坏后危害程度建立分级分类保护,并要求条块建立重要数据保护目录,并对列入目录的数据进行保护。

加强统一的数据保护措施落实,事前(第二十条)国家建立集中、统一高效的风险评估、报告、监测预警机制。事后(第二十一条)建立数据安全应急处置机制,通过应急预案,落实应急处置措施,消除安全隐患,防止危害扩大,及时向公众警示。

加强国家安全相关的数据安全策略,安全审查(第二十二条)对影响或者可能影响国家安全的数据活动进行审查,并确定了安全审查决定为最终决定的法律地位。对履行国际义务或国家安全的管制物项数据纳入出口管制(第二十三条)。针对其他国家地区在投资、贸易方面的歧视、禁止、限制的,根据实际情况采取对应措施(第二十四条),上述基于国家安全和国家义务以及对等原则的数据保护条款,从制度上保障了对第三国长臂法案的平衡和制约。

四、合法活动,数据源合法,全程风险评估,监控预警,应急服务,交易留痕,经营备案,政府依法调取,出境报备审核

第四章义务重点阐述合法开展数据利用业务保障数据安全的责任,符合道德标准以及正面向善的伦理要求。强调相关组织对数据安全风险的监测、补救与报告,事前做好风险评估,合法、正当、获取必要数据。对从事交易的中介机构要求数据来源以及交易各方保存认证交易记录。对在线数据处理企业提出备案经营机制,对国家强力机关数据需求的合发合规以及数据拥有组织的配合义务。对向国外提供的数据需要报告和审核批准。这些义务作为数据安全法后续处罚的基础,虽然言简意赅,却信息量丰富。

由于数据安全法未像欧盟确定数据决策者和处理者身份界定,对所有数据活动的参与实体均纳入义务要求,首先是数据活动主体的合法参与义务,在合法的前提下建立制度,做好培训,采取措施保障安全,对重要的数据处理者需要有数据安全负责人和管理机构,承担责任(第二十五条)。
第二十六条从合法的基础上提出道德要求以及积极向上的价值观导向。

从数据安全具体措施角度,第二十七条强调风险监控,风险发现的补救措施,风险事件的用户告知以及报告机制。第二十八条,强调持续风险评估和报告的机制,并细化了组织掌握的数据种类,数量,数据活动的过程,风险以及应对措施。第二十九条重点强调数据源与数据收集的合法性,正当性和最小化。第三十条强调中介组织数据源的合法性以及对交易者审核以及对审核交易予以记录备查。第三十一条,强调在线数据处理的经营备案机制,并确定工信部的主管单位地位。

公安机关、国家安全机关调取数据强调合法合规以及严格审批机制,依法执行,对合法的数据调取需要被调取者的配合(第三十三条),这在一定程度上避免执法权的滥用也保障强力机关调取数据的法律保护。

针对境外执法机构的数据调取,除明确国家缔约场景外需要申报批准方可调取(第三十三条),强调中国境内数据调取的决定权,保障国家以及组织与公民的合法权益不受国外执法机构的侵害,同样也是构建数据调取的对等立法条款。

五、政务数据,义务同等,依法开放,推动利用

第五章政务数据安全与开放强调电子政务建设中运用数据服务经济社会发展(第三十五条),规范国家机关数据收集处理的合法性以及数据安全义务(第三十六条),对委托第三方处理的审批与监管,保障第三方履行数据安全责任的义务(第三十七条)。除依法不得公开的数据外要及时、准确的公开政务数据(第三十八条),建立数据开放目录,建立数据开放平台,推动政务数据开放利用(第三十九条),公共事务管理职能的组织相关活动适用本法(第四十条)。政务数据公开从数据安全法的角度明确相关范围和义务,对推动各级政府主管部门的政务数据公开落实十分必要,也是推动数据作为生产要素的核心举措,当然,其中的数据安全风险首当其冲,机遇与风险并存。

六、约谈整改,行政处罚,吊销许可,后果法律衔接

第六章的法律责任从监管发现风险的约谈制度,到处理数据活动主体在相关义务不到位的行政处罚,以及对国家机关和主管部门工作失责的处分与处罚,涉及到民事责任的追责和处罚等。

对数据处理主体合法性活动(第二十五条)、风险监测(第二十七条)、风险评估(第二十八条)、合法获得数据(第二十九条)相关义务落实不到位的责令整改并处以1万-10万罚款,主管人员5千-5万罚款,拒不整改,造成严重后果的处以10万-100万罚款,主管人员1万-10万罚款(第四十二条)。

对数据交易中介数据源违法的责令整改,没收非法所得处以经营所得1倍-10倍罚款,无经营所得的处以10万-100万罚款,吊销业务许可证和执照,并对主管和责任人处以1万-10万罚款(第四十三条)

对于未进行备案(第三十一条)的在线数据处理商,责令整改,没收非法所得处以经营所得1倍-10倍罚款,无经营所得的处以10万-100万罚款,吊销业务许可证和执照,并对主管和责任人处以1万-10万罚款(第四十四条)。

国家机关未履行数据安全保护业务的,对直接负责的主管人员和其他直接责任人员依法予以处分(第四十五条),履行监管责任的国家工作人员滥用职权,徇私舞弊,尚不构成犯罪的依法予以处分(第四十六条)。对国家机关和工作人员的处罚仍有待商榷。

数据活动危害国家安全,公民组织合法权益的,依照法律法规处罚(第四十七条)违法民法的追究民事责任,违法治安处罚的,治安处罚,构成犯罪的,依法追究刑事责任(第四十八条)。衔接现行法律体系,对相关后果依法进行处置。

第七章对涉密数据以及军事数据按照相关法律执行的例外条款。

本篇文章来源于微信公众号: IT的阿土

企业安全公共能力开源化实现参考(2020年3月13日更新)

 



通过开源项目实现企业安全,需要从办公域、业务域的安全需求开发,注重业务生命周期的研发、集成运维阶段的安全预防、检测、处置技术公共能力建设,通过管理运营平台,覆盖企业的信息化安全需求,具备攻击能力,实现以攻为守,通过sorceforge、github最近3年内比较活跃的评价较高的项目梳理,形成本文,供参考。

图一、开源项目分类全景图

一、安全能力公共组件

 

图二:安全公共能力组件

1        密码技术

1.1       CA中心

EJBCA is an enterprise class PKI Certificate Authority built on JEE technology. It is a robust, high performance, platform independent, flexible, and component based CA to be used standalone or integrated in other JEE applications.

https://sourceforge.net/projects/ejbca/

1.2       签名服务

The SignServer is an application for server side signatures called by other systems. It is flexible and can be customized to specific needs. 

https://sourceforge.net/projects/signserver/

2        身份

2.1单点登录

Atricore’s JOSSO is an open source and commercially supported Internet Single Sign-On (FSSO) solution for point-and-click and standards-based (SAML2) Internet-scale SSO implementations.

https://sourceforge.net/projects/josso/

2.2身份管理

versatile identity management solution.

https://www.unity-idm.eu/

2.3多因素认证

2.3.1   智能卡认证

 

Virtual Smart Card Architecture is an umbrella project for various projects concerned with the emulation of different types of smart card readers or smart cards themselves.

http://frankmorgner.github.io/vsmartcard/

2.3.2   指纹认证

SourceAFIS is a software library for human fingerprint recognition.

https://sourceforge.net/projects/sourceafis/

3        协议

3.1可信计算

Integrity Measurement Architecture to know EXACTLY what has been run on your machine.

https://sourceforge.net/projects/linux-ima/

IBM’s TPM 2.0 TSS

https://sourceforge.net/projects/ibmtpm20tss/

This is a user space TSS for TPM 2.0. It implements the functionality equivalent to (but not API compatible with) the TCG TSS working group’s ESAPI, SAPI, and TCTI API’s (and perhaps more) but with a hopefully simpler interface.

Open Source Tripwire® is a security and data integrity tool for monitoring and alerting on file & directory changes. This project is based on code originally contributed by Tripwire, Inc. in 2000.

https://github.com/Tripwire/tripwire-open-source

 

3.2数据协议

gsoap toolkit development toolkit for web services and xml data bindings for c&C++,The gSOAP toolkit is an extensive suite of portable C and C++ software to develop XML Web services with powerful type-safe XML data bindings. Easy-to-use code-generator tools allow you to directly integrate XML data in C and C++. Serializes native application data in XML. Includes WSDL/XSD schema binding and auto-coding tools, stub/skeleton compiler, Web server integration with Apache module and IIS extension, high-performance XML processing with schema validation, fast MIME/MTOM streaming, SOAP and REST Web API development, WS-* protocols (WS-Security, WS-Policy, WS-ReliableMessaging, etc), XML-RPC and JSON. Licensed under GPLv2.

https://sourceforge.net/projects/gsoap2/

4   应用

4.1微服务安全

Istio is an open platform for connecting, securing, and managing microservices. It provides a uniform way of integrating microservices, managing traffic flow, enforcing policies and aggregating telemetry data. 

https://sourceforge.net/projects/istio.mirror/

https://github.com/spring-projects/spring-security

https://github.com/spring-projects/spring-security-oauth

 

4.2API安全

API-aware Networking and Security using eBPF and XDP 

https://github.com/cilium/cilium

 

二、基础安全设备

图三、基础安全设备

1、防火墙

1.1NG防火墙

Netdeep Secure is a Linux distribution with focus on network security.
Is a Next Generation Open Source Firewall,

https://sourceforge.net/projects/nds/

1.2SOHO防火墙

OPNsense is an open source, easy to use firewall and routing platform

https://sourceforge.net/projects/opnsense/

BrazilFW is a mini Linux distribution designed to be used as a Firewall and Router that runs easily on older computers.

https://sourceforge.net/projects/brazilfw/

 

The IPCop Firewall is a Linux firewall distribution. It is geared towards home and SOHO users. The IPCop web-interface is very user-friendly and makes usage easy.

https://sourceforge.net/projects/ipcop/

 

Smoothwall is a best-of-breed Internet firewall/router, designed to run on commodity hardware and to provide an easy-to-use administration interface to those using it. Built using open source and Free software, it’s distributed under the GNU Public License.

https://sourceforge.net/projects/smoothwall/

 

An iptables based firewall for systems running the Linux 2.4 or later kernel. Very flexible configuration allows the firewall to be used in a wide variety of firewall/gateway/router and VPN environments.

https://sourceforge.net/projects/shorewall/

 

“TKMsense” an easy to use secure OpenBSD based firewall distribution. 

https://sourceforge.net/projects/tkmsense/

 

1.3WEB防火墙

ModSecurity is a web application firewall that can work either embedded or as a reverse proxy. It provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring, logging and real-time analysis.

https://sourceforge.net/projects/mod-security/

 

2、安全网关

2.1防垃圾邮件

Anti-Spam SMTP Proxy Server

https://sourceforge.net/projects/assp/

2.2云安全网关

Falco is a open source project to detect abnormal application behavior in a cloud native environment like Kubernetes. This cloud native runtime security project allows you to detect unexpected application behavior and alerts on threats.

https://sourceforge.net/projects/falco.mirror/

2.3UTM网关

Untangle is a Linux-based network gateway with pluggable modules for network applications like spam blocking, web filtering, anti-virus, anti-spyware, intrusion prevention, bandwidth control, captive portal, VPN, firewall, and more.

https://sourceforge.net/projects/untangle/

 

Endian Firewall Community (EFW) is a “turn-key” linux security distribution that makes your system a full featured security appliance with Unified Threat Management (UTM) functionalities. The software has been designed for the best usability: very easy to install, use and manage and still greatly flexible.

https://sourceforge.net/projects/efw/

3、入侵检测

Snort

It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging.

https://www.snort.org/

OSSEC is an Open Source Host-based Intrusion Detection System that performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response.

https://github.com/ossec/ossec-hids

3.1网站防篡改

WebESC detects changes in your list of local or web files. 

https://sourceforge.net/projects/webesc/

 

 

4、抗DDOS攻击

OpenDDS is an open source C++ implementation of the Object Management Group (OMG) Data Distribution Service (DDS).

https://opendds.org/

 

SNĒZ is a web interface to the popular open source IDS programs SNORT® and Suricata. IDS output can be unified2 or JSON formats.

https://sourceforge.net/projects/snez/

 

 

三、运营分析

图四、运营分析

1、资产管理

i-doit is a web based IT documentation and CMDB. i-doit documents IT-systems and their changes, defines emergency plans, displays vital information and helps to ensure a stable and efficient IT operation:

https://sourceforge.net/projects/i-doit/

2、数据源

2.1网络监控

Security Onion is a Linux distro for IDS (Intrusion Detection) and NSM (Network Security Monitoring). It’s based on Ubuntu and contains Snort, Suricata, Bro, Sguil, Squert, ELSA, Xplico, NetworkMiner, and many other security tools. 

https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md

2.2日志管理

Cyberoam iView; the Intelligent Logging & Reporting solution provides organizations network visibility across multiple devices to achieve higher levels of security, data confidentiality while meeting the requirements of regulatory compliance.

2.3威胁情报

https://sourceforge.net/projects/cyberoam-iview/

Sigma is a generic and open signature format that allows you to describe relevant log events in a straight forward manner.

https://github.com/Neo23x0/sigma

3、数据分析

3.1流量分析

Flexible web-based firewall log analyzer, supporting netfilter and ipfilter, ipfw, ipchains, cisco routers and Windows XP system logs, and mysql or postgresql database logs using the iptables ULOG or NFLOG target of netfilter others mapped to the ulogd format with a view. 

https://sourceforge.net/projects/webfwlog/

3.2日志分析

3.3访问行为分析

AWStats is a free powerful and featureful server logfile analyzer that shows you all your Web/Mail/FTP statistics including visits, unique visitors, pages, hits, rush hours, os, browsers, search engines, keywords, robots visits, broken links and more

https://sourceforge.net/projects/awstats/

4应用服务

4.1管理前端

NagiosQL is a professional, web based configuration tool for Nagios 2.x/3.x/4.x. It is designed for large enterprise requirements as well as small environments. Any Nagios functionalities are supported.

https://sourceforge.net/projects/nagiosql/

4.3取证分析

Xplico is a Network Forensic Analysis Tool (NFAT).

https://sourceforge.net/projects/xplico/

Autopsy® is a digital forensics platform and graphical interface to The Sleuth Kit® and other digital forensics tools. 

https://sourceforge.net/projects/autopsy/

MantaRay Forensics

MantaRay is designed to automate processing forensic evidence with open source tools.

https://sourceforge.net/projects/mantarayforensics/

5、威胁分析

5.1病毒分析

The goal of this project is to build an add-on for browser that passively audits the security posture of the websites that the user is visiting. Assume that the tool is to be used on non-malicious websites, currently not under attack or compromised. Add-on wants to report security misconfigurations, or failure to use best security practices.

https://sourceforge.net/projects/web-security-audit/

Antivirus Live CD is an official 4MLinux fork including the ClamAV scanner. It’s designed for users who need a lightweight live CD, which will help them to protect their computers against viruses. 

https://sourceforge.net/projects/antiviruslivecd/

Cuckoo Sandbox uses components to monitor the behavior of malware in a Sandbox environment; isolated from the rest of the system. It offers automated analysis of any malicious file on Windows, Linux, macOS, and Android.

https://sourceforge.net/projects/cuckoosandbox.mirror/

 

5.2WEB漏扫

Wapiti is a vulnerability scanner for web applications.

https://sourceforge.net/projects/wapiti/

web application attack and audit framework, the open source web vulnerability scanner.

https://github.com/andresriancho/w3af

一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc 

https://github.com/chaitin/xray

Web Application Security Scanner Framework 

https://github.com/Arachni/arachni

Next generation web scanner

https://github.com/urbanadventurer/WhatWeb

A PHP script designed to detect trojans, viruses, malware and other threats within files uploaded to your system wherever the script is hooked, based on the signatures of ClamAV and others.

https://sourceforge.net/projects/phpmussel/

5.3网络安全

Network Security Toolkit (NST) is a bootable ISO image (Live DVD/USB Flash Drive) based on Fedora 30 providing easy access to best-of-breed Open Source Network Security Applications and should run on most x86_64 systems.

https://sourceforge.net/projects/nst/

OSS Next Gen Network Management System (NG-NetMS)OPT

https://sourceforge.net/projects/ngnms/

openQRM is a web-based open source datacenter management and hybrid cloud computing platform that integrates flexibly with existing components in enterprise data centers.

https://sourceforge.net/projects/openqrm/

 

Netdisco is an SNMP-based L2/L3 network management tool designed for moderate to large networks. Routers and switches are polled to log IP and MAC addresses and map them to switch ports. Automatic L2 network topology discovery, display, and inventory.

https://sourceforge.net/projects/netdisco/

 

5.4数据安全

Parrot Project

Security, Development and Privacy Defense, all in one place.

https://sourceforge.net/projects/parrotsecurity/

5.5攻击模拟

An open source Breach and Attack Simulation tool to evaluate the security posture of your network.

https://www.guardicore.com/infectionmonkey/

 

 

四、研发安全

图五、研发安全

1、         代码安全

1.1源代码审计

Source Code Security Audit (源代码安全审计)

https://github.com/WhaleShark-Team/cobra

VCG is an automated code security review tool for C++, C#, VB, PHP, Java, PL/SQL and COBOL, which is intended to speed up the code review process by identifying bad/insecure code.

https://sourceforge.net/projects/visualcodegrepp/

Bandit is a tool designed to find common security issues in Python code.

https://github.com/PyCQA/bandit

scanner detecting the use of JavaScript libraries with known vulnerabilities

 http://retirejs.github.io/retire.js/

https://github.com/securego/gosec

HTML5 Security Cheatsheet – A collection of HTML5 related XSS attack vectors 

https://html5sec.org/

 

 

2、    组件安全

2.1依赖关系检查

OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.

https://github.com/jeremylong/DependencyCheck

2.2开源组件漏洞挖掘

OSS-Fuzz – continuous fuzzing of open source software. 

https://github.com/google/oss-fuzz

WhiteSource Bolt for GitHub/Azure DevOps is a FREE app/extension, which scans all of your projects and detects vulnerable open source components.

https://sourceforge.net/projects/whitesource-bolt/

 

3、   接口安全

3.1接口检查

https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md

3.2检查列表

https://github.com/danielmiessler/SecLists

4、    集成安全

4.1漏洞挖掘

A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

https://github.com/aquasecurity/trivy

r

Rules engine for cloud security, cost optimization, and governance, DSL in yaml for policies to query, filter, and take actions on resources 

https://github.com/cloud-custodian/cloud-custodian

 

4.2自动化渗透

Fully automated offensive security framework for reconnaissance and vulnerability scanning

 https://j3ssie.github.io/Osmedeus/

4.3审计检查

InSpec: Auditing and Testing Framework

https://github.com/inspec/inspec

 

五、教育训练

图六、教育训练

1、WEB安全

Web Security Dojo is a virtual machine that provides the tools, targets, and documentation to learn and practice web application security testing.

https://sourceforge.net/projects/websecuritydojo/

 

OWASP Juice Shop is probably the most modern and sophisticated insecure web application! It can be used in security trainings, awareness demos, CTFs and as a guinea pig for security tools! Juice Shop encompasses vulnerabilities from the entire OWASP Top Ten along with many other security flaws found in real-world applications!

https://owasp.org/www-project-juice-shop/

Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable.

https://github.com/ethicalhack3r/DVWA

WEB安全学习

https://github.com/CHYbeta/Web-Security-Learning

2APP安全

The Mobile Security Testing Guide (MSTG) is a comprehensive manual for mobile app security development, testing and reverse engineering. 

https://github.com/OWASP/owasp-mstg

3、安全加固

https://github.com/imthenachoman/How-To-Secure-A-Linux-Server

4、渗透测试

This is Metasploitable2 (Linux)

Metasploitable is an intentionally vulnerable Linux virtual machine. This VM can be used to conduct security training, test security tools, and practice common penetration testing techniques.

https://sourceforge.net/projects/metasploitable/

六、渗透测试


图七、渗透测试

1、    渗透测试

1.1载荷攻击

Nishang is a framework and collection of scripts and payloads which enables usage of PowerShell for offensive security, penetration testing and red teaming. Nishang is useful during all phases of penetration testing.

https://github.com/samratashok/nishang

1.2渗透框架

面向中国信息安全白帽子人员的红方渗透作战操作系统,内容工具更适用于中国的环境,避免大而全精简不常用的工具软件,集成国内优秀的开源渗透工具帮助红方人员更好的实施工作!

https://sourceforge.net/projects/taie-redteam-os/

We are excited to announce the availability of Blackhat-Global OS Lite. We’ve condensed the full Blackhat-Global experience into a streamlined operating system that’s fast, user-friendly, desktop-oriented operating system based. Which is available immediately for download.

https://sourceforge.net/projects/blackhat-global/

Automated pentest framework for offensive security experts

https://github.com/1N3/Sn1per

2专项攻击

2.1DDOS攻击

UFONet – is a toolkit designed to launch DDoS and DoS attacks.

https://sourceforge.net/projects/ufonet/

2.2钓鱼攻击

Gophish is a powerful, open-source phishing framework that makes it easy to test your organization’s exposure to phishing.

https://getgophish.com/

2.3社会工程

Trape is an OSINT analysis and research tool, which allows people to track and execute intelligent social engineering attacks in real time. 

https://github.com/jofpin/trape

 

七、办公安全

 

图八、办公安全

1、内网接入

OpenVPN is a robust and highly flexible tunneling application that uses all of the encryption, authentication, and certification features of the OpenSSL library to securely tunnel IP networks over a single TCP/UDP port.

https://sourceforge.net/projects/openvpn/

2、网络准入

A network access control (NAC) system featuring a captive-portal for registration and remediation, wired and wireless management, 802.1X support, isolation of devices, integration with IDS; it can be used to secure networks from small to large.

https://sourceforge.net/projects/packetfence/

3、密码管理

Bitwarden is an easy-to-use and secure desktop vault for managing passwords and other sensitive data. It helps individuals and teams share, store and sync sensitive data, and create and secure passwords. All data is fully encrypted before it even leaves your device, with end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256.

https://sourceforge.net/projects/bitwarden.mirror/

 

 


本篇文章来源于微信公众号: IT的阿土

浅谈互联网统一身份认证服务价值和意义(一)

天涯、CSDN、支付宝、银行、广东出入境管理局、用户身份、密码泄露有不断蔓延的趋势,好像一夜之间,互联网服务千疮百孔,不堪一击。

脆弱不是一天形成的,堤坝不是一夜倒塌的,当风险意识和信息安全成为业务发展的噱头,只是卖点,那么这一切的悲剧早已注定。一个用户,可能不了解一个账号、一个身份、一个密码的价值和意义,但是如果从业者同样无知者无畏,一面不顾一切的疯狂的获取用户的隐私,一面为了业务的发展,对信息的保护置若罔闻。那么,这一场悲剧必将是一种必然。

有几个概念要好好的聊一聊,首先是标识,既怎么样来唯一确认一个实体,像身份证号码,在中华人民共和国境内,它是识别一个公民的唯一标识。同样,每一个网站也都会有一个唯一的标识来识别用户,这个标识一般是邮箱,也可以是不冲突的昵称。

第二个概念是身份,一个标识只是一个符号,意义有限,一个标识一旦有了属性,这个属性和标识就一起构成了身份,像一个身份证号码,就会有姓名、性别、出生日期、地址等一系列属性信息。这些属性信息与标识一起构成了身份,同理,像驾驶证、护照等同样是基于标识与属性的身份。在互联网的虚拟空间里,身份就是网站定义的标识和属性,这些标识和属性千奇百怪,大多毫无章法,只是人云亦云的照搬、照抄一些属性信息而已。身份涉及到标识和属性,就会涉及到标识和属性的有效性问题,身份证标识和属性的有效性来源于公安局,公安局通过一系列的甄别、审核、跟踪、追溯机制确认一个人的标识和属性的正确性,因此可以说这个身份是真实身份。驾驶证、护照的身份源自于身份证,因此承载的和身份证相同属性信息来自于身份证,而其他属性则需要同样的甄别、审核、跟踪、追溯。互联网的身份一般源自于网站,因此,其标识和属性都来自于用户与网站的协商,网站并不承担标识和属性的真实性甄别、审核、跟踪与追溯,因此互联网也可以称之为匿名社会,是基于虚拟身份的虚拟空间,身份既不能互通,一般也得不到认可,这是一个无序而噪杂,当然也充满着创意与活力的虚拟社会。

第三个概念是认证,既如何判断一个标识持有者拥有标识对应的身份,我们判断一个人的身份,需要查验身份证和持证人的属性特征,当一个人面貌和身份证的照片属性对应后,既可以识别一个人。同理,在互联网环境中,一个人的密码即代表一个人身份的一个属性,通过这个属性的校验既可以认证一个互联网身份。这个识别的过程就是认证。

第四个概念是凭证,既认证过程中需要校验的身份属性,在身份证中这个凭证就是这张脸,一个可以肉眼识别的生物特征,在互联网中一般而言这个属性就是我们常说的密码。

第五个概念是身份服务,身份服务是基于身份的基础可以从事和参与的活动,像住宾馆、坐飞机和动车就需要一个有效的身份,这也是身份可以提供的服务,同样你用这个身份可以登录哪一个网站,也是身份服务,像目前可以用新浪微博账号登录很多网站,即是新浪基于身份提供的身份服务。

了解了几个基本概念,我们也可以了解这几起看似相同的案例背后有如何的不同,首先,天涯、CSDN泄露的是包括标识、属性、凭证的用户身份,问题要严重得多,身份的关键要素完全泄露,就可以肆意的仿冒用户,为所欲为。支付宝、银行泄露的是标识以及一些属性,不过没有凭证,相对而言,对用户的伤害是有限的。广东省出入境管理局泄露的信息,虽然没有凭证,但是却有身份服务的完整记录,这个泄露,对用户造成的更多的是隐私的困扰。

在了解基本概念过程中,我们的界限是线上与线下,为了更好地理解,做了些对比,但是随着信息社会的迅猛发展,随着公共服务开通线上服务,线上线下的概念逐渐模糊,但是,人们对身份的概念仍停留在单纯的线上和线下,理解上存在差异,技术上存在着缺陷,才是导致这种现象频现的根本原因。只有详细分析存在的挑战,确定问题的核心,才能一劳永逸的解决上述问题,否则,只是头疼医头脚疼医脚的临时性解决方案,于事无补。

线上线下融合过程中的一个核心特征是线上身份线下身份的整合,有两种情况,一是线下服务的线上迁移,例如,网上银行。一是线上服务自身的演进,有两来源,一是实名制的需求,例如新浪微博,一是服务的需求,例如支付宝。线上线下身份的整合带来的问题主要是,如何实现线下身份的鉴别,线上线下身份的绑定,以及线下、线上身份绑定后的身份认证。线下服务的线上迁移涉及到网点的线下认证,可以解决线下身份鉴别的问题,网上银行的USB Key可以提高身份认证的强度。线上服务自身的演进往往带来了混乱,首先是缺乏线下身份的鉴别手段,通过身份证扫描上传,视频人工校验是一种方法,成本不菲,只是电子商务大站的方法,普通网站对这个环节的处理是五花八门,缺少规范,也缺少手段,对于整合后的身份认证往往仍是基于原有的用户名和密码。

线上线下融合的特征带来的风险比单纯的线上密码泄露风险要多得多,首先是线下身份属性暴漏的风险,基于互联网的匿名服务模式在线上线下身份融合的过程中并未升级身份认证的手段,基于用户名、密码的身份认证方式安全系数最低,在密码泄漏后,就会到来线下身份属性的暴漏。

其次是身份服务记录暴漏的风险,线下身份属性的服务记录具有分散性或无记录的特点,记录的不可获得性比较高,而线下线上身份的融合带来的是线下身份线上服务记录的可获得性提高,基于线下线上身份融合带来的用户身份服务记录的暴漏将会直接影响用户的真实生活。

(未完待续)

可信网络需要电子签名与认证服务的基础设施建设提供保障

刘志诚

网络的发展经历了三个时代。

首先是硬件和协议的网络时代,网络的主要作用在于计算能力的共享、沟通、通信、静态内容展示。这个时代的核心是硬件和协议,基础设施以大型主机、终端、网络设备为主。此时的身份验证方式集中在以现实身份为基础的现实身份验证,接入的网络节点和设备数量有限并且具备明确的现实身份,设备使用者有着明确的身份以及现实可审计的访问记录,主要特征是用户和设备等主体的认证依赖与现实身份的校验和审计。

然后是网络服务的时代,网络的主要作用在于提供沟通、通信、信息收集与获取、动态内容展示与交互、以及基于网络的现实服务信息化等网络服务,这个时代的核心是网络服务,对应的基础设施是网络服务的软件和服务模式的系统和平台,例如:云计算。网络服务时代的身份验证集中在以虚拟身份为基础的匿名身份验证,网络对用户的身份认证依赖于虚拟的服务账号,服务账号通常并未与用户的现实身份建立必然的联系,主要特征是用户和设备等主体的认证依赖于割裂的服务账号。

未来是可信主体的时代,网络的主要作用在于主体间的网络空间互动,提供现实社会服务在网络空间的实现以及融合现实与网络的创新服务,这个时代的核心是可信主体,对应的基础设施是主体的识别、认证的系统和平台。可信主体时代的认证方式集中于以现实身份为基础的实名身份验证,虽然表现形式可以是虚拟账号,但该虚拟账号以经过验证的现实身份为基础。主要特征是用户和设备等主体的认证依赖于经过验证的实名身份。

目前,正处在网络服务时代与可信主体时代的过渡时期,认证方式除了具备网络服务时代和主体时代的特征,还存在一种过渡的身份认证方式,以现实身份为基础的匿名身份验证,网络对用户的身份认证依赖于虚拟的服务账号,该账号以用户的现实身份为基础,却并未以用户身份为基础建立可信的依赖关系,用户身份的认证依然依赖与服务账号。主要特征是用户和设备等主体的标识依赖于现实身份,但并不具备可验证性。

现阶段网络存在着大量的信息滥用、网络欺诈、身份盗用的问题,这些问题促进技术手段和管理模式的变革与发展,促生了以公钥基础设施为基础的身份认证的技术和管理体系。上述因素只是可信个体时代的促进因素,并不是根本因素。可信个体时代的必然并非来自于管制的需求,真正的必然来自于个体在网络空间的参与程度,以及个体在网络空间的现实需求。

网络空间与现实社会的界限日益模糊,逐渐共生和融合,网络的形式和内容潜移默化中从量变到质变。最终,网络空间与现实空间会融为一体,因此,可信个体时代也可以称之为可信网络时代,时代构建的基础在于可信参与的个体,个体的可信取决于个体身份是经过认证的可信现实身份,在网络空间的验证方式是基于可信现实身份的标识以及标识在网络实现的技术手段,信息系统基于技术手段可以实现对个体的身份、行为的识别和认证,对信息系统而言它识别和认证的是权威机构宣称的个体。

网络身份成为可信现实身份的一种属性,和现实身份密切关联,但这种关联并不意味着传统意义上的网络实名化,而只意味着网络身份作为一种身份属性与个体密不可分,不再割裂,与可信现实身份关联的网络身份的表现形式依然可以丰富多彩,个体现实身份的网络身份属性并不单一,个体可以根据信息服务的价值和内容提供不同的网络身份。从一定意义上而言,信息系统信任的内容可以包括不同的个体的身份属性的状态,而不包括属性的具体内容,这种个体现实身份关联的网络身份并未泄漏现实身份的隐私。

需要加强公共身份属性基础设施建设

可信网络依赖的基础是可信身份基础设施,从目前来看,已经具备了现实身份认证和发放的基础设施和相关的技术实现,即公钥基础设施(PKI)和传统意义上的认证中心(CA),CA中心只是依赖与现实身份发放可以在信息系统认证的身份标识即数字证书,信息系统可以依赖于PKI的数字签名技术实现现实身份关联的行为认证。在诸如《电子签名法》等相关法律的保护下,可以一定程度上解决信息滥用、网络欺诈、身份盗用等相关问题。

目前需要加强属性身份基础设施的建设,在以现实身份为基础的CA系统的建设中,数字证书一般只作为身份标识使用,不包括身份属性,而缺少身份属性的标识往往不能作为信息服务系统的可信依据。例如:在电子政务的工商和税务等分别以组织机构代码、营业执照、税务登记证等作为服务账号,这些服务账号是关联个体身份的属性,对于电子政务招投标系统等依赖于个体身份属性的服务系统,如果没有权威机构对个体身份工商、税务属性的鉴权,即使拥有个体身份标识也不能使用相关服务。这也是认证机构之间的互操作性障碍的根本原因。

在可信网络时代,个体身份的可信包括对个体身份标识的认证以及对个体身份标识与属性身份关系的鉴权,属性身份包含个体身份的隐私信息,属性身份数据粒度最小化和属性的状态化是属性身份隐私保护的重要特征。例如:对于某些以年龄为限制的网游系统需要知道用户是成年人的状态即可,并不需要知道用户具体的年龄。因此,需要可信的权威机构建立身份标识与身份属性之间关系,并提供身份标识关联的属性认证和鉴权,建立公共身份属性基础设施服务。

公共身份属性基础设施定义了个体身份标识以及身份属性关系的建立、维护、验证以及对外提供认证鉴权服务的接口和实现框架。需要主管部门建立一套完整管理机制和实现规范,管理、监督、指导各领域依照规范建立的领域内的身份属性基础设施。

电子签名与认证服务业产业趋势预测

刘志诚

(一)信息化国家战略在完善宽带建设和计算能力建设的同时,会进一步加强电子签名与认证等信息安全基础设施的建设。

支撑信息化国家战略的信息三要素(可用性、真实性、完整性)需要建设核心的基础设施提供保障。随着计算机和网络技术突破和迅猛发展,移动终端进入双核时代,固定网络和移动网络初具规模,计算能力和通信能力已经满足了信息可用性的基本条件。十一五期间《电子签名法》的颁布与实施,奠定了信息真实性和完整性保障的法律基础,依据现阶段技术特征的PKI/CA体系为基础的电子签名与认证服务产业纳入了《电子签名法》的监管体系。

十二五期间,伴随着信息化国家发展战略,进一步完善电子签名与认证服务的基础设施建设,从以CA中心为基础的数字证书发放基础设施扩充到可靠签名的电子数据的生成、传递、接收、保存、提取、举证各环节的基础设施建设。

伴随着移动通信技术和移动设备计算能力的提高,需要在传统互联网基础设施的基础上进一步加大对适用于移动互联网、物联网等新技术领域的数字证书发放、可靠签名的电子数据的生成、传递、接收、保存、提取、举证各环节的基础设施研究、建设的投入。

伴随着云计算等新兴技术和信息化模式的扩充和实现,需要进一步加大对密钥托管、代理签名等电子签名与认证服务的新兴业务领域的基础设施研究、建设的投入。

(二)伴随着信息化的加速发展,电子签名与认证服务的业务范围进一步扩大,服务模式会进一步丰富。

信息化的蓬勃发展带来了机遇的同时,也带来了风险。从传统业务模式过渡到信息化的虚拟业务模式,其身份、行为、交互内容的真实性、完整性需要公正的、权威的第三方保障,十一五期间的《电子签名法》奠定了虚拟业务电子签名与认证的基础,电子认证服务机构以CA中心为依托逐步形成了以PKIX标准的X.509数字证书发放为基础的服务模式。

网络技术和计算机技术的迅猛发展,信息化的业务场景范围进一步扩大,从传统的以固定宽带互联网逐步过渡到以移动通信为基础的移动互联网,以及以传感器或电子标签为计算基础的终端结合丰富的无线通信和移动通信所形成的物联网。随着移动互联网和物联网的爆发式增长,信息化将变得无处不在。

信息化业务发展的趋势是移动化、现场化、社会化、实时化,移动化进一步扩大了信息化业务的使用场景,实现随时随地的业务使用;现场化打通传统业务线上与线下的鸿沟,在资金流、信息流虚拟化的同时实现物流的融合,完善信息化业务的服务流程;社会化强化了现实社会关系与虚拟社会关系的融合,网络匿名社会关系逐渐过渡到实名社会关系;实时化提升了信息化业务的效率,提高了信息化业务的服务能效。

信息化发展的上述趋势势必带来电子签名与认证服务的巨大发展,而电子签名与认证服务的服务范围和服务模式必须适应信息化发展的趋势,在技术上、在服务模式上实现突破,满足信息化发展的需要。

首先,需要从以证书发放为基础的服务模式扩大到以电子签名与认证的全流程服务模式,即证书的发放、存储、管理、可靠签名的电子数据的生成、传递、接收、保存、提取、举证等各个环节。

其次,需要考虑网络的多样性和计算机终端形态的多样性,在数字证书和电子签名的技术层面实现突破性创新。使电子签名和认证服务适用于移动网络下的移动设备和物联网环境下的非计算终端设备。

第三,需要考虑信息化服务的模式和形态,在电子签名的技术和服务层面实现组合式创新。使电子签名和认证服务模式适用于云计算、基于位置的现场服务、社会化服务、实时化等新兴的信息化服务模式。

第四、需要从信息化信息安全的本质出发,鼓励以电子签名与认证服务为基础实现突破性创新服务模式的尝试。电子签名与认证服务模式结合可信计算模型,从安全芯片开始,实现硬件、固件、操作系统、应用软件等逐层验证机制,防止木马、病毒、钓鱼、黑客攻击对信息化的破坏,从根本上建立信息安全的防护体系,营造信息化的可信虚拟环境。

(三)产业发展日益强大,电子签名与认证服务实现亟需引导和规范。

产业产品范围将从现在以数字证书的签发系统、密钥设备、签名、验证设备、开发套件、安全中间件等以技术为主的产品逐步过渡到从用户体验出发、覆盖电子签名和认证服务全流程的产品。

产业服务范围从以数字证书颁发的单一服务模式扩展到可靠签名的电子数据的生成、传递、接收、保存、提取、举证等各环节的服务模式。进一步扩展到担保服务、身份服务等一系列增值的专业服务模式。

产业服务目标分类将从以行业和区域划分,过渡到电子签名与认证在信息化业务支撑的专业服务能力划分。

产业形态分类将从以服务和产品划分,过渡到根据业务需求提供的系统化解决方案进行划分。

具备专业服务能力和系统化解决方案的企业将对电子签名和认证产业进行整合,积聚和融合为电子签名与认证产业的领先企业,进一步通过创新业务模式推动产业的飞速发展。

电子签名与认证产业涉及到的业务范围不断扩大,服务模式不断创新,将会带来产业规范化、标准化的需求。

首先,电子签名和认证服务的业务与技术实现如果缺少统一的标准与规范,电子签名和认证服务只能通过行业规范和企业规范约束,产业间的互联互通缺少有效的保障机制。

其次,电子签名和认证服务的业务与技术实现如果缺少有效指引,会增加安全风险,隐含风险的实现不但起不到电子签名与认证服务的价值,而且降低电子签名与认证服务的法律效力,影响电子签名与认证服务产业的发展。

移动互联网的可信身份认证服务

刘志诚

据统计目前手机、平板电脑等智能设备以移动通信网络接入的移动互联网规模,从接入设备规模和应用产生流量上已经超越了以电脑为主的传统互联网。移动互联网终端的特征决定了移动互联网的应用模式以云计算为主。解决云计算环境下的移动互联网的可信和安全问题是移动互联网进一步蓬勃发展的基础。

移动互联网终端环境的复杂性是移动互联网需要关注的重要问题,目前移动终端存在多种操作系统,操作系统的安全性设计各不相同,缺少统一的机制保障移动终端的可信和安全,实现安全可信的统一终端环境,解决移动互联网云计算模式中的终端可信和安全问题是移动互联网蓬勃发展需要面对的一个课题。课题的解决思路着眼于独立于操作系统层之上,构建一套基于电子签名和电子认证服务的可信和安全机制,结合移动可信计算的研究成果,建立终端的可信认证机制,实现终端硬件可信、操作系统可信、应用可信、用户可信,从而实现可信的终端应用环境。

硬件可信、操作系统可信、应用可信解决终端的安全问题,通过终端应用的可管可控,确保了终端环境的安全,有效地防止病毒、木马、恶意代码对移动终端的危害,由被动治理转为主动防御,而基于电子签名和电子认证的机制,可以实现应用召回功能,事后发现的问题可以及时对应用进行召回,防止损害的扩大,从而做到防治的有效结合。硬件可信、应用可信、用户可信结合电子签名和电子认证机制实现应用的版权声明和可信授权,防止了应用和内容的盗版传播,提升了正版应用的价值。

可信安全的终端环境实现机制建立了移动互联网可信网络的基础,用户、终端之间的交互可以做到有据可依,有证可查,实现行为和交互信息的完整性、机密性和有效性。

移动互联网最基本的特征之一是随时随地接入,对于移动终端设备而言,一般支持两种网络的连接,移动通信网路中3G和4G网络连接,无线通信网络中基于WIFI热点实现的网络连接,WIFI连接的资源充足,成本远低于移动通信网络,是移动通信网络的有益补充。两种连接间的切换如何能保障应用环境的无缝切换,尤其是依托于移动通信号码资源的业务提供手机号码的识别和认证。因此,解决移动通信网络和无线网络间应用环境的无缝切换是移动互联网爆发增长的前提。

电子签名和认证服务结合移动通信的认证能力,以数字证书作为应用认证用户和设备的基础,为移动互联网应用提供用户认证,实现移动通信网络和无线网络应用环境的无缝切换。