企业新闻
企业新闻 行业新闻
工控工程在网络安全领域是如何做好的防护?
2019-02-01 浏览:627
  在网络安全领域,漏洞常被攻击方视为“杀手锏”武器,又被防守方当作“万恶之源”。漏洞本身虽然不产生危害,但一旦被利用,则极有可能带来严重的威胁。关键信息基础设施在数字化、网络化、智能化转型的过程中配置了大量信息资产,其网络体系越来越复杂,漏洞作为“伴生体”所带来的威胁问题日益凸显。习近平总书记曾指出:要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。如何快速应对漏洞产生的威胁,降低关键信息基础设施网络安全风险,无疑是摆在新时代的一个迫切命题。我们针对某些关键信息基础设施在接报漏洞后面临的处置周期长、资产定位难等问题,进行针对性的调研,探索对其重要信息资产开展漏洞治理的工作,并总结了一些实践经验与同行同业分享和探讨,以期抛砖引玉。
  一、网络安全漏洞的定义和治理的概念
国际标准化组织(ISO/IEC 27002)定义漏洞(vulnerability)为一个或多个威胁可以利用的一个或一组资产的弱点。通用漏洞评分系统(CVSS)则将漏洞定义为软件或硬件组件中的弱点或缺陷。我国《信息安全技术 术语》(GB/T 25069-2010)将我们传统意义上认为的漏洞定义为“脆弱性”,指资产中能被威胁所利用的弱点。《信息安全技术 安全漏洞等级划分指南》(GB/T 30279-2013)将安全漏洞(vulnerability)定义为计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。综上可见,漏洞存在于信息资产之上,风险主要来源于该漏洞的环境构成,造成漏洞存在被威胁利用之机。本文所讨论的漏洞与国际标准化组织定义的范围一致。
  治理的概念最早出现在政治学领域,通常指政府运用公权力管理社会和人民;而后这一概念又被引入商业和公共领域,延伸到组织机构中的管理方式和制度等方面。联合国全球治理委员会(CGG)对治理做过权威定义,指“各种公共的或私人的个人和机构管理其共同事务的诸多方法的总和”,并总结治理的一个重要特征是以协同而非控制为基础。21世纪初,随着信息化的发展,IT治理的理念逐步被引入公司治理层面,Gartner认为,IT治理是确保信息技术有效、高效的应用以帮助组织机构达到其目标的过程。本文定义的漏洞治理是指漏洞信息披露后,关键信息基础设施运营者建立机制、协同内外部资源及条件、开展与之相关信息资产的分析和威胁风险评估,快速消除漏洞或隔离其被利用条件的一系列方法之总和。漏洞治理的主体是关键信息基础设施运营者,通过协同工作机制调动其内部资产相关部门、业务运营部门、信息安全部门,科学评估漏洞所产生的风险,在平衡风险控制与业务发展的基础之上,选择最优的治理路径,达到有效管控网络安全风险的目标。
本文由北京天地和兴科技有限公司原创,转载时请注明:工控安全网址:http://www.tdhxkj.com/
关于我们
公司简介 企业文化
发展历程 企业荣誉
人才招聘
联系我们
公司简介
企业文化

公司地址:北京市海淀区中关村科技园8号 华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

E-MAIL:tdhx@tdhxkj.com

友情链接
国家电网 中国大唐集团 中国华电 国家能源集团 华能集团 中核集团 中国石油 酒钢集团 马钢集团 中国通号 中国铁路 上汽集团 北汽集团 东风柳汽 中国海油 SIMENS Honeywell EMERSON 和利时 研华科技 工控安全 浙江大学 华北电力大学
扫一扫,关注天地和兴公众微信号