网络攻防学习笔记 Day122
云密码服务是一种全新的密码功能交付模式,是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。密码服务提供商按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程,将密码系统的设计、部署、运维、管理、计费等组合成一种服务,来解决用户的密码应用需求。
在生产业务中,以人员为主线的身份、凭证、权限管理,是业务逻辑安全运行的基础。在信息化系统中,以资产为主线的资产、配置、漏洞、补丁管理,是信息化资产安全运行的基础。这两类安全运行事务需要投入可观的人力和物力来满足基础的安全保障需求。在对安全产品与工具提出更高可运行要求的同时,也对安全运行团队的工作承载能力提出了挑战。
实战化安全运行能力建设是以业务架构为基础衍生出安全架构的组织体系建设解决方案。它通过识别业务架构中支撑“生产运行”的业务驱动力、组织构成和组织行为,并以此为基础推动支撑“安全运行”组织建设的对等设计。
企业网络安全人员能力是指为保护企业的信息系统及其数据资产所需的企业所有人员的整体网络安全软能力的总称。安全人员能力包含企业安全管理人员的安全规划和管理能力、安全运行团队人员的技术能力,还包含企业全员的安全意识。
高效建设具有实战能力的网络安全团队涉及两个方面:一是能够根据企业、行业的业务需求和信息化建设要求,设计或选择合适的网络安全从业人员认证体系,同时根据认证体系的要求设计合理的实训课程体系,用于衡量人才水平,为人才培养指明方向;二是能够适应网络安全领域的对抗性特点,提升人员解决实际安全问题的能力(一般通过实训系统或网络靶场等技术平台开展网络安全实战训练)。
应用安全能力是结合应用开发流程,充分考虑敏捷、持续集成、开发运维一体化(DevOps)等应用开发新模式,实现安全防护机制内生于应用系统,保持应用开发敏捷的同时,确保应用建成后满足合规要求,能够对抗风险,实现安全防护机制内生于应用系统的组织能力。这种综合性的组织能力覆盖了应用全生命周期的各个环节,包括应用全生命周期的人员、工具、流程。
内生安全是应用安全能力支撑的核心思想,需要将安全工具与应用系统开发、测试、运维的工具和平台进行对接与集成,使安全嵌入到开发乃至运维的每个阶段,实现安全工作的前置,将安全与应用系统的开发、测试、维护进行深度聚合。
物联网安全能力支撑是针对当前物联网发展阶段,结合企业对物联网建设的泛化模型,以复杂系统的分析方法进行建模、分析后进行安全架构设计而得到的一个安全参考模型。它以建设边缘安全保障能力为主要目标,能够为遵循安全三同步原则进行物联网系统建设,帮助企业认清物联网安全的难点和安全能力需求,并提供可以与企业整体安全架构紧密结合的物联网安全建设参考。
企业的业务安全能力,即以保障企业整体业务流程顺畅,帮助企业降低成本、提升收益,进一步增强企业竞争力为核心目标,以业务中出现或可能出现的风险为场景,基于业务流程中的内生数据,充分利用大数据分析等技术,有效防范企业业务流程中出现的各类内外部风险威胁的持续性业务风险管控、安全保障能力。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/7892d94ae1838956cbf7cc1c7】。文章转载请联系作者。
评论