首页 > 其他分享 >18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?

18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?

时间:2023-10-07 10:56:38浏览次数:33  
标签:Web 葫芦 框架 标准 18 安全 画出 PDCA 公司

作为安全人员,该如何推动公司整体的安全体系建设

安全标准和框架有哪些?

国内的安全和标准框架,就是等保。

在国外,比较知名的安全标准和框架包括:ISO27000 系列、NIST、COBIT 和 ITIL。

ISO27000 系列是国际上比较认可的安全标准之一。它提供了兼容性极高的安全体系和信息安全管理的最佳实践指导。但是,ISO27000 系列更关注于方向上的指导,没有覆盖具体的实施细节,所以无法作为技术手册来使用。

COBIT( Control Objectives for Information and related Technology)则是给安全管理者提供了一个内控的框架,它本身更关注于内控和审计。

ITIL( Information Technology Infrastructure Library )。ITIL 是一个提升服务质量的标准框架,而安全只是影响服务质量的一个因子。因此,ITIL 会更多地考虑如何提高公司的研发和管理效率,在机密性、可用性和完整性上只给予了比较基本的关注。

以上这些安全标准和框架,除了能对企业的安全建设进行指导,也提供了测评的服务。

现有安全标准和框架有哪些可以借鉴的地方?

·1、等保:为什么安全体系建设要区分管理与技术?

技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心; 管理要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

从这些分类中,我们可以看出,等保的大体思路是将安全分为了管理和技术。我们之前就讲过,安全往往是需要自上而下来推动的。因此,安全并不是一个纯技术的“活”,它也需要在管理层面上作出改进。比如,等保要求公司必须要成立专门的安全管理机构,安排专门的安全管理人员,这样才有人能够对公司的整体安全来负责,去推动安全的落地。

 

2. ISO27001:如何通过 PDCA 流程进行规划安全建设?

ISO 的一系列框架和标准其实都遵循 PDCA 流程,PDCA 也是项目管理上经常被提到的管理方法。这里我就简单说一下。

Plan:计划,确定安全的目标并制定建设的规划。

Do:执行,按照计划的内容和时间来执行。

Check:检查,对执行的结果进行总结,看是否符合预期。

Action:改进,如果执行不符合预期,或者计划出现纰漏,则进行分析和改进。

那 PDCA 流程如何应用在安全体系的建设中呢?这里,我就举一个公司在做 ISO27001 例子。

Plan:认证机构会先到公司进行调研和培训,然后和公司一块制定一个详细的安全规划。

Do:公司会花几个月的时间,去执行这些规划。

Check:完成之后,认证机构再次去公司进行回访,评估完成的情况。

Action:如果达到预期,则通过认证;否则继续计划、执行、检查的操作。

 

3. NIST:如何通过 IPDRR 建立纵深防御?

以 Web 安全为例,结合 IPDRR 方法的五个步骤,来详细讲解一下,针对 Web 应用中可能出现的各种漏洞,我们该如何建立安全防护体系。

第一步是 Identify(识别)。我们需要掌握公司有哪些 Web 应用,并对 Web 应用做威胁评估。也就是说,我们需要定位公司的资产,衡量这些资产的价值,然后评估资产保护的优先级和投入成本。

第二步是 Protect(保护)。我们要在安全事件发生之前,对数据和资产采取适当的保护措施。(比如:通过访问控制机制来避免越权访问、通过加密来保护数据的 CIA、通过防火墙保护内网隔离等)。在开发上,我们需要采用安全的方法,尽量避免漏洞出现。同时,我们可以部署 WAF 等安全工具,统一对 Web 攻击进行防护检测。

第三步是 Detect(检测)。在安全事件发生之中或者之后,我们要能及时发现和检测出安全事件或者攻击行为。这就需要对请求的日志和返回的结果进行分析,评估是否产生攻击行为和数据泄露。

第四步是 Respond(响应)。当检测到安全事件后,我们需要采取有效的措施,来阻止攻击的持续进行,尽可能地降低事件所带来的影响。我认为最可行的操作,就是对出现漏洞的 Web 业务进行下线,对已经受到影响的数据进行隔离。这也要求我们制定好详细的应急预案,避免攻击发生时公司陷入手忙脚乱的无序状态。

第五步是 Recover(恢复)。当事件响应完成后,我们要将应用或者服务恢复到攻击前的状态,也就是对应用和数据进行修复和重新上线。同时,也要对事件的原因进行复盘分析,然后进一步完善安全机制。

总结

等保:

介绍:根据公司的安全性高低,划分了由一到五的等级,等级越高,说明公司的安全水平越高,越被政府认可

可借鉴思路:将安全分为管理与技术

ISO27001

是国际上比较认可的安全标准之一,更关注于方向上的指导,没有覆盖具体的实施细节,无法作为技术手册来使用

可借鉴思路:遵循PDCA流程

NIST

被称为美国版等保。所以除了美国政务之外,NIST很少被使用

可借鉴思路:IPDRR方法框架

 

标签:Web,葫芦,框架,标准,18,安全,画出,PDCA,公司
From: https://www.cnblogs.com/Adam-Ye/p/17745787.html

相关文章

  • Intel 18A工艺稳了!16代酷睿Lunar Lake现身SiSoftware Sandra
    近日,在SiSoftwareSandra数据库中出现了LunarLake处理器的信息,这可是Intel第16代酷睿处理器的代号,要知道第14代酷睿处理器也要等到2个月后发布。上面这张图展示了非常多的信息:1、处理器型号Intel(R)00001.00GHz表明还是非常早期的ES工程样品,离上市还早。2、4x2.5MB+4MB......
  • 《CF1824E LuoTianyi and Cartridge》 解题报告
    好题。模拟赛出了这题,抽象。初步化简:由于\(\min(A,C)\)不好处理,我们考虑从大到小加边加点,或者从小到大删边删点。一般题目是考虑加边加点好操作一点,这题是考虑删边删点好操作。然后我们记当前枚举的\(\min(A,C)\)的最小值是多少,记为\(x\)。然后称大于等于\(x\)点权......
  • CF1878E Iva & Pav
    思路要求从一个点开始最远可以选择那个点使得两点之间的数字的与大于等于\(k\),最开始想到的是提前预处理出每个点往后若干位的与,因为与只可能变小不可能变大,所以可以二分找到最远的位置,但是这样无论时间还是空间都会爆掉,所以我们考虑优化一下这个办法。既然不能把每个点的后面......
  • 【美团3.18校招真题2】
    大厂笔试真题网址:https://codefun2000.com/塔子哥刷题网站博客:https://blog.codefun2000.com/最多修改两个字符,生成字典序最小的回文串提交网址:https://codefun2000.com/p/P1089由于字符串经过修改一定为回文串,且最多修改两次,所以原字符串位置i与对称位置n-i-1不一样的个数最多为2......
  • 【美团3.18校招真题1】
    大厂笔试真题网址:https://codefun2000.com/塔子哥刷题网站博客:https://blog.codefun2000.com/小美剪彩带提交网址:https://codefun2000.com/p/P1088题意:找出区间内不超过k种数字子数组的最大长度使用双指针的方式,用哈希表来统计每个数出现次数。在双指针移动的过程中,动态的维护区间......
  • 【线段树合并】CF1805E There Should Be a Lot of Maximums 题解
    CF1805E待补:有另解看到维护树上问题,可以想到线段树合并。但直接维护显然不行,要一点技巧。发现\(val\)的出现次数\(cnt_{val}\)如果\(\ge3\),那么一定是一个候选项,若\(cnt_{val}=1\),那么一定不能作为候选项。于是可以用权值线段树维护对于\(val\)有\(cnt_{val}=......
  • 【基环树 | 题解】P5022 [NOIP2018 提高组] 旅行
    前言一日知基环树弱,固补题。关于基环树基环树定义一个环,环上每个点都有一颗以该点为根的树,如下图为一棵基环树关于基环树常规思路通常来说基环树常规思路是先处理环上树的结果,后通过树的结果来处理换上结果。具体处理方式依照题目来定。然而只是通常来说因为基环树的问......
  • The 2018 ACM-ICPC Asia Qingdao Regional Contest, Online (The 2nd Universal Cup
    The2018ACM-ICPCAsiaQingdaoRegionalContest,Online(The2ndUniversalCup.Stage1:Qingdao)J-PresstheButton\(1\leqa,b,c,d\leq10^6\)题解容易发现存在循环节,每次位于\(gcd(a,c)\)的倍数的位置所以我们考虑处理一个循环节内的情况如果\(v\le......
  • Adobe_InDesign_2023_18.4.0.056图文安装教程及下载
    AdobeInDesign是Adobe公司的一个桌面出版(DTP)应用程序,简称“Id”,主要用于各种印刷品的排版编辑。InDesign是一款功能强大的出版物创作、排版和打印软件,可以帮助出版物和广告创作者提高效率,节省时间,改善印刷质量。InDesign可以满足广泛的创作需求,使您可以从其他应用程序快速访问......
  • MySQL-8.0.18的搭建
    一、安装mysql-8.0.18(1)下载安装包#下载前先卸载mariadb的一些东西yumremove-ymariadb*#然后下载安装包mkdir/usr/local/soft&&cd/usr/local/softwget-chttps://downloads.mysql.com/archives/get/p/23/file/mysql-8.0.18-linux-glibc2.12-x86_64.tar.xz(2)......