数据安全成熟度模型

时间:2024-03-04 14:19:53编辑:奇闻君

《车联网网络安全标准体系建设指南》 明确标准体系建设

易车讯 近日,为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,工信部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。指导思想是,贯彻落实党中央、国务院关于促进车联网产业发展的部署要求,推动制造强国和网络强国建设,着力构建车联网(智联网联汽车)网络安全标准体系,指导标准统筹规划,系统推进网络安全标准研制,注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接,促进强化标准落地实施,为保障车联网产业安全可持续发展提供标准支撑。建设目标是,计划到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准,完成50项以上重点急需安全标准的制修订工作。到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。建设思路是,在《国家车联网产业标准体系建设指南》整体框架基础上,结合车联网(智能网联汽车)网络安全工作实际需求,统筹规划、突出重点、急用先行、循序渐进,进一步明确安全标准建设的对象和重点内容,建立统一协调的标准体系框架,指导车联网(智能网联汽车)网络安全标准化建设。建设内容是,车联网(智能网联汽车)网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分。总体与基础共性标准包括术语和定义、总体架构、密码应用等三类;终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类;网联通信安全包括通信安全、身份认证等两类;数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类;应用服务安全包括平台安全、应用程序安全、服务安全等三类;安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。

工信部:加强车联网网络安全和数据安全工作

易车讯 日前,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》。各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。具体内容如下:加强智能网联汽车安全防护,进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护,保障车联网通信安全并开展车联网安全监测预警。同时,做好车联网安全应急处置以及车联网网络安全防护定级备案。在加强车联网服务平台安全防护方面,首先要加强平台网络安全管理,并且做好在线升级服务(OTA)安全和漏洞检测评估,并强化应用程序安全管理。加强数据安全保护层面,一要加强数据分类分级管理,其次需提升数据安全技术保障能力。与此同时,车企需要规范数据开发利用和共享使用,并强化数据出境安全管理。为建设健全安全的标准体系,需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

数据安全有哪些案例?

“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。员工监守自盗数亿条用户信息今年初,公安部破获了一起特大窃取贩卖公民个人信息案。被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。企业、组织机构等如何提升自身数据安全能力?企业机构亟待提升数据安全管理能力“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。“大数据安全能力成熟度模型”已提国标申请数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。阿里巴巴集团安全部总监郑斌介绍DSMM。作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。


数据安全的哪些案例,可以看?

大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。“大数据安全能力成熟度模型”已提国标申请数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。图说:阿里巴巴集团安全部总监郑斌介绍DSMM。作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。一位数据安全研究人员分析,企业要提升数据安全管理能力,首先就得认清自身数据保护能力水平,再对症下药弥补缺失和短板,而该标准正是针对大多数企业普遍存在的,不了解或不清楚自身数据安全管理能力的问题。从标准架构来看,会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期,就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化,1级至5级的能力成熟等级,等级越高意味数据安全能力越强。


近几年网络隐私泄露的经典案例都有哪些?

例如:2017年3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。泄露的信息包括用户的:持卡人姓名、身份证、所持银行卡类别、卡号、CVV码以及用于支付的6位密码。相关信息个人信息主要包括以下类别:1.基本信息。包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息,有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等相对隐私的个人基本信息。2.设备信息。主要是指所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。3.账户信息。主要包括网银账号、第三方支付账号,社交账号和重要邮箱账号等。

工业互联网的安全挑战及应对策略

1、 企业
以信息化促进企业数字化、智能化转型升级,推动 操作控制智能化、风险预警精准化、危险作业无人化、运维辅 助远程化,提升安全生产管理的可预测、可管控水平。强化企业快速感知、实时监测、超前预警、动态优化、智能决策、联动处置、系统评估、全局协同能力,实现提质增效、消患固本, 打造企业工业互联网新基础设施,建设企业标识节点并与行业二级节点对接,为企业新发展注入新动能。
2、 园区
通过打造工业互联网网络、平台、安全三大体系, 建设全要素网络化连接、敏捷化响应和自动化调配能力,实现 不同企业、不同部门与不同层级之间的协同联动,全面开展安全生产风险研判、应急演练和隐患排查,推动安全生产“三个转变”,推动科技创新、产业生态、配套服务在园区内外的渗透及融合发展,提升政府对园区的高效协作、精准扶持、有效 监管,实现新园区建设和已有园区安全、可持续发展。
3、 行业
坚持工业互联网与安全生产同规划、同部署、同发 展,依托国家工业互联网大数据中心,建设“工业互联网+危化 安全生产”分中心。依托国家骨干网络,完善危险化学品领域工业互联网标识解析二级节点布局,与国家顶级节点对接,建设危险化学品工业互联网数据支撑平台、安全监管平台。推动危 险化学品安全管理经验知识的软件化沉淀和智能化应用,公开遴选和推荐数字季生、全要素网络化连接和智能化管控解决方案,培育壮大解决方案提供商和服务团队,扎实推进工业互联 网与危险化学品安全生产的深入融合应用。以信息化推进危险化学品安全治理体系和治理能力现代化,提高监测预警能力,实现精准治理,精准预警,精准抢险救援,精准恢复重建,精准监管执法。
4、政府
布局涵盖生产、储存、使用、经营、运输等环节的危险化学品全产业链协同,向上延伸至卫星、5G等工业互联网 领域,获取地质、水文、气象、精确定位等信息,服务于规划准入和安全监管,向下延伸至能源等其他工业互联网领域,将产业链与供应链深度融合,促进价值链提升,系统构建“工业互联网+危化安全生产”的初步框架,优化产业结构和布局,延伸产业链,提升全过程、全要素的安全生产水平,推进行业转型升级和高质量发展。


如何构建工业互联网安全体系?

2018年中国工业互联网行业分析:万亿级市场规模,五大建议构建安全保障体系工业互联网安全问题日益凸现工业互联网无疑是这个寒冬中最热的产业经济话题。“BAT们”视之为“互联网的下半场”,正在竞相“+工业”“+制造业”而工业企业、制造业企业们也在积极“+互联网”,希望借助互联网的科技力量,为工业、制造业的发展配备上全新引擎,从而打造“新工业”。不难看出,工业互联网正面临着一个重要的高速发展期,预计至2020年将达万亿元规模。但与此同时,工业互联网所面临的安全问题日益凸现。在设备、控制、网络、平台、数据等工业互联网主要环节,仍然存在传统的安全防护技术不能适应当前的网络安全新形势、安全人才不足等诸多问题。工业互联网万亿级市场模引发安全隐患据前瞻产业研究院发布的《中国工业互联网产业发展前景预测与投资战略规划分析报告》统计数据显示,2017年中国工业互联网直接产业规模约为5700亿元,预计2017年到2019年,产业规模将以18%的年均增速高速增长,到2020年将达到万亿元规模。随着国家出台相关工业互联网利好政策,中国工业互联网行业发展增速加快,截止到2018年3月,中国工业互联网平台数量超250家。世界各国正加速布局工业互联网,围绕工业互联网发展的国际竞争日趋激烈。预计2020年我国工业互联网产业规模将达到万亿元数据来源:公开资料、前瞻产业研究院整理一方面,加快工业互联网发展是制造业转型升级的必然要求;另一方面,工业互联网是构筑现代化经济体系的必然趋势。工业互联网是深化“互联网+先进制造业”的重要基石,也是发展数字经济的新动力。发展工业互联网,实现互联网与制造业深度融合,将催生更多新业态、新产业、新模式,创造更多新兴经济增长点。伴随着工业互联网的发展,越来越多的工业控制系统及设备与互联网连接,网络空间边界和功能极大扩展,以及开放、互联、跨域的制造环境,使得工业互联网安全问题日益凸显:1、网络攻击威胁向工业互联网领域渗透。近年来,工业控制系统漏洞呈快速增长趋势,相关数据显示,2017年新增信息安全漏洞4798个,其中工控系统新增漏洞数351个,相比2016年同期,新增数量几乎翻番,漏洞数量之大,使整个工业系统的生产网络面临巨大安全威胁。2、新技术的运用带来新的安全威胁。大数据、云计算、人工智能、移动互联网等新一代信息技术本身存在一定的安全问题,导致工业互联网安全风险多样化。3、工业互联网安全保障能力薄弱。目前,传统的安全保障技术不足以解决工业互联网的安全问题,同时,针对工业互联网的安全防护资金投入较少,相应安全管理制度缺乏,责任体系不明确等,难以为工业互联网安全提供有力支撑。如何构建工业互联网安全体系?那么,如何铸造工业互联网的安全基石,加快构建可信的工业互联网安全保障体系呢?1、突破关键核心技术。要紧跟工业互联网最新发展趋势,努力引领前沿技术和颠覆性技术发展。2、推动工业互联网安全技术标准落地实施。全面推广技术合规性检测,促进工业互联网产业良性发展。3、完善监管和评测体系。4、切实推进工业互联网安全技术发展。加强全生命周期安全管理,构建覆盖系统建设各环节的安全防护体系。5、联合行业力量打造工业互联网安全生态。在工业互联网的安全防护能力建议:1、顶层设计:出台系列文件,形成顶层设计;2、标准引导:构建工业互联网安全标准体系框架,推进重点领域安全标准的研制;3、技术保障:夯实基础,强化技术实力;4、系统布局:依托联盟,打造产业促进平台;5、产业应用:加强产业推进,推广安全最佳实践。近年来,中国也陆续出台了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划(2018-2020年)》等文件,明确提出工业互联网安全工作内容,从制度建立、标准研制、安全防护、数据保护、手段建设、安全产业发展、人员培养等方面,要求建立涵盖设备安全、控制安全、网络安全、平台安全、数据安全的工业互联网多层次安全保障体系。在国家政策以及业界的一致努力下,相信我国工业互联网在取得快速发展的同时在安全层面的保障也会更上一层楼。

上一篇:2019年江苏卫视跨年演唱会

下一篇:陈中华太极拳