【动画】带你了解�����,何为网络安全“攻击面管理”******
【2022年国家网络宣传周系列科普】
近年来,新兴技术迅速发展带动了网络资产边界快速拓展�����,也增加了企业资产暴露面,而基于供应链�����的新型攻击则大大降低了攻击成本�����。在多重因素�����的驱动下�����,网络安全防御策略也在与时俱进�����,攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理�����的小知识吧。
什么�����是攻击面�����?
近日发布�����的《中国攻击面管理市场研究报告》(以下简称研究报告)指出,攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和�����。
其中�����,包括未经授权的可访问�����的硬件�����、软件、云资产和数据资产等,同样也包括人员管理、技术管理�����、业务流程存在的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。
但不是所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才形成了攻击面�����。
什么是攻击面管理�����?
攻击面管理是一种从攻击者�����的角度对企业数字资产攻击面进行检测发现�����、分析研判�����、情报预警、响应处置和持续监控�����的资产安全性管理方法�����,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。
主要包含外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)�����、数字风险保护服务(DRPS)等内容。
什么�����是攻击面管理框架体系?
攻击面管理框架体系自下向上分别为基础技术�����、安全能力和应用场景�����。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同�����的业务场景需求采用不同�����的能力组合,形成不同的应用场景下�����的攻击面管理解决方案,为用户提供有针对性�����的攻击面闭环管理能力。
什么�����是攻击面管理成熟度模型?
研究报告中还提到了建立攻击面管理�����的成熟度模型,主要�����是工具阶段�����的被动防御、平台阶段的主动防御、流程化阶段的对抗防御�����、先知阶段的优先防御四个层级�����;提出了暴露面获取、脆弱点发现�����、攻击面挖掘、情报获取能力等攻击面管理要具备�����的12个能力域,从检测发现�����、分析研判、情报预警�����、响应运营的闭环管控过程分解了响应�����的29个能力子项�����,从子能力�����的具备和完善情况来评价攻击面管理的有效性。
发展前景怎么看�����?
目前�����,国内外厂商如华云安�����、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队,正在进入攻击面管理创新领域�����。未来攻击面管理将从传统场景扩展到新兴技术场景,并提供跨领域、跨技术平台�����的数字资产及其攻击面管理能力�����,更关注企业内部业务风险和第三方风险�����的管理�����,为用户提供统一的攻击面管理入口�����,并提供一致的安全运营体验�����。
光明网、华云安 联合出品
监制�����:张宁�����、李政葳策划:孔繁鑫制作/配音�����:雷渺鑫
【回眸2022年网信发展这一年】这些新规新策,让数字社会走向规范******
【回眸2022年网信发展这一年——政策法规篇】
一个文明的社会必定�����是一个规范有序的社会�����。回望这一年,不管是线上还�����是线下�����,不管�����是现实生活还�����是虚拟空间�����,一大批与互联网发展和亿万网民云上生活密切相关的新规新策落地实施。它们既有针对电信网络诈骗、网络暴力、算法滥用、有偿跟帖、违规弹窗等行业乱象�����的重拳整治,也有围绕数据流通�����、数字乡村�����、网络文明、技术发展等行业现象�����的精准施策。展望新的一年�����,随着技术与产业�����的融合、理念与实践�����的交汇�����,网络空间治理�����的规范化�����、法治化必将走向新�����的阶段。
《网络安全审查办法》
新修订的《网络安全审查办法》(以下简称《办法》)自2022年2月15日起施行�����。
新华社发 王威 作
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查�����,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。根据审查实际需要�����,增加证监会作为网络安全审查工作机制成员单位�����,同时完善了国家安全风险评估因素等内容。
其中�����,网络平台运营者申报赴国外上市网络安全审查可能有三种情况:一�����是无需审查;二�����是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市�����。《办法》修订对保障国家网络安全和数据安全具有重要意义。
《互联网信息服务算法推荐管理规定》
《互联网信息服务算法推荐管理规定》(以下简称《规定》)自2022年3月1日起施行�����。
新华社发 朱慧卿 作
《规定》要求�����,算法推荐服务提供者应当坚持主流价值导向�����,积极传播正能量�����,不得利用算法推荐服务从事违法活动或者传播违法信息,应当采取措施防范和抵制传播不良信息。《规定》明确了算法推荐服务提供者�����的用户权益保护要求�����,包括保障算法知情权�����、算法选择权�����,并针对向未成年人�����、老年人、劳动者和消费者等主体提供算法推荐服务�����的,作出具体规范�����。《规定》还提到�����,算法推荐服务提供者提供互联网新闻信息服务的�����,应当依法取得互联网新闻信息服务许可�����。
《关于规范网络直播打赏 加强未成年人保护�����的意见》
2022年5月7日,《关于规范网络直播打赏 加强未成年人保护的意见》(以下简称《意见》)发布�����。
新华社发 尹志烨 作
为切实加强网络直播行业规范,营造未成年人健康成长�����的良好环境,《意见》提出,要坚持以社会主义核心价值观为引领�����,聚焦未成年人保护�����,坚持问题导向、重拳出击�����,标本兼治�����、综合施策,协同配合、齐抓共管。通过大力度�����的规范整治夯实各方责任�����,建立长效监管工作机制�����,切实规范直播秩序,坚决遏制不良倾向、行业乱象,促进网络直播行业规范有序发展,共建文明健康�����的网络生态环境。
具体而言�����,《意见》提出禁止未成年人参与直播打赏、严控未成年人从事主播�����、优化升级“青少年模式”、建立专门服务团队�����、加强高峰时段管理等7方面工作举措�����。
《互联网用户账号信息管理规定》
《互联网用户账号信息管理规定》(以下简称《规定》)自2022年8月1日起施行�����。
新华社发 大巢 作
《规定》要求�����,互联网个人用户注册�����、使用账号信息,含有职业信息�����的,应当与个人真实职业信息相一致;互联网机构用户注册�����、使用账号信息,应当与机构名称�����、标识等相一致�����。互联网信息服务提供者为互联网用户提供信息发布�����、即时通讯等服务�����的�����,应当进行真实身份信息认证;应当对互联网用户在注册时提交的和使用中拟变更的账号信息进行核验;应当在账号信息页面展示合理范围内的互联网用户账号的互联网协议地址归属地信息,便于公众为公共利益实施监督�����。《规定》还明确了网信部门依法对互联网信息服务提供者管理互联网用户注册�����、使用账号信息情况实施监督检查�����。
《移动互联网应用程序信息服务管理规定》
新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)自2022年8月1日起施行。
新《规定》共27条�����,包括信息内容主体责任�����、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款�����。新《规定》提出�����,应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向�����、舆论导向和价值取向�����,自觉遵守公序良俗,积极履行社会责任�����,维护清朗网络空间。要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任�����,建立健全信息内容安全管理、信息内容生态治理�����、数据安全和个人信息保护、未成年人保护等管理制度�����,确保网络安全,维护良好网络生态�����。
《数字乡村标准体系建设指南》
2022年8月8日,《数字乡村标准体系建设指南》(以下简称《指南》)发布。
新华社发 商海春 作
《指南》明确了“十四五”时期数字乡村标准化工作目标:到2025年�����,初步建成数字乡村标准体系。
《指南》提出了数字乡村标准体系框架,包括基础与通用标准�����、数字基础设施标准�����、农业农村数据标准、农业信息化标准、乡村数字化标准�����、建设与管理标准、安全与保障标准等7个部分内容,并从标准应用、标准制定、标准修订、标准转化4个方面提出了数字乡村标准化建设路径�����。
《指南》从农业物联网标准建设、农业农村大数据标准建设、农业信息化标准建设及农村电商标准建设等4个方面部署了重点任务�����。
《数据出境安全评估办法》
《数据出境安全评估办法》(以下简称《办法》)自2022年9月1日起施行�����。
《办法》规定�����,数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息�����、自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定�����的其他需要申报数据出境安全评估的情形�����,应当申报数据出境安全评估�����。
《办法》提出,数据处理者在与境外接收方订立�����的法律文件中明确约定数据安全保护责任义务�����,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估�����。
《互联网弹窗信息推送服务管理规定》
《互联网弹窗信息推送服务管理规定》(以下简称《规定》)自2022年9月30日起施行。
新华社发 程硕 作
《规定》紧盯弹窗新闻信息推送�����、弹窗信息内容导向�����、弹窗广告等重点环节,着力解决利用弹窗违规推送新闻信息�����、弹窗广告标识不明显�����、广告无法一键关闭、恶意炒作娱乐八卦等问题�����。
《规定》要求,互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核�����、生态治理�����、数据安全和个人信息保护、未成年人保护等管理制度。
《规定》强调,互联网弹窗信息推送服务提供者应当遵守优化推送内容生态、强化互联网信息服务资质管理�����、规范新闻信息推送、科学设定推送内容占比、健全推送内容审核流程�����、强化用户权益保障�����、合理算法设置、规范广告推送�����、杜绝恶意引流等九个方面具体要求。
《关于进一步规范明星广告代言活动的指导意见》
《关于进一步规范明星广告代言活动�����的指导意见》(以下简称《指导意见》)自2022年10月31日起实施�����。
《指导意见》站在推进文娱领域综合治理�����的高度�����,充分整合现有法律法规和政策性文件,综合运用市场竞争、行业管理�����、监管执法、行业自律、社会监督等多种措施�����,构建起规范明星广告代言活动的治理体系�����,为维护好明星代言领域清朗空间提供新�����的制度支撑。
规范明星广告代言活动,不仅需要加强监管执法,更需要规范市场运行、强化行业管理�����,促进市场主体各负其责�����、市场有序竞争、行业加强自治,形成德艺双馨明星被市场认可、违法失德明星被市场抵制�����的良性循环�����。
《关于切实加强网络暴力治理�����的通知》
2022年11月4日发布�����的《关于切实加强网络暴力治理的通知》(以下简称《通知》),对建立健全网暴预警预防机制�����、强化网暴当事人保护、严防网暴信息传播扩散等作出要求。
新华社发 程硕 作
《通知》要求�����,加强内容识别预警,网站平台要建立网暴信息分类标准和典型案例样本库,在区分舆论监督和善意批评的基础上�����,明确细化涉网暴内容标准,增强识别预警准确性�����。建立涉网暴舆情应急响应机制�����,网站平台要组织专门工作力量,及时收集网暴相关热点话题和舆情线索�����,强化网暴舆情事前预警。
为强化网暴当事人保护�����,《通知》提出�����,设置一键防护功能;建立快速举报通道�����;坚持最有利于未成年人的原则�����,优先处理涉未成年人网暴举报。
《关于进一步规范移动智能终端应用软件预置行为的通告》
《关于进一步规范移动智能终端应用软件预置行为�����的通告》(以下简称《通告》)于2022年11月30日发布,自2023年1月1日起执行�����。
新华社发 徐骏 作
《通告》明确�����,移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷�����、最小必要�����的原则,依据谁预置�����、谁负责�����的要求,落实企业主体责任,尊重并依法维护用户知情权�����、选择权�����,保障用户合法权益。
《通告》按照“最小必要”原则�����,进一步明确每一类基本功能软件包含的具体App类型。其中�����,操作系统基本组件限于系统设置�����、文件管理;保证智能终端硬件正常运行�����的应用限于多媒体摄录�����;基本通信应用限于接打电话、收发短信、通讯录�����、浏览器;应用软件下载通道限于应用商店�����。
《互联网信息服务深度合成管理规定》
《互联网信息服务深度合成管理规定》(以下简称《规定》)于2022年11月25日发布�����,自2023年1月10日起施行�����。
《规定》明确了深度合成数据和技术管理规范。要求深度合成服务提供者和技术支持者加强训练数据管理和技术管理�����,保障数据安全,不得非法处理个人信息,定期审核�����、评估、验证算法机制机理�����;深度合成服务提供者对使用其服务生成或编辑�����的信息内容�����,应当添加不影响使用的标识�����;提供智能对话、合成人声、人脸生成�����、沉浸式拟真场景等生成或者显著改变信息内容功能的服务�����的,应当进行显著标识�����,避免公众混淆或者误认;要求任何组织和个人不得采用技术手段删除�����、篡改�����、隐匿相关标识。
《中华人民共和国反电信网络诈骗法》
《中华人民共和国反电信网络诈骗法》自2022年12月1日起施行�����。
新华社发 程硕 作
该法共7章50条,包括总则、电信治理、金融治理�����、互联网治理�����、综合措施�����、法律责任、附则等,坚持以人民为中心�����,统筹发展和安全,立足各环节�����、全链条防范治理电信网络诈骗�����,精准发力,为反电信网络诈骗工作提供有力法律支撑�����。
作为一部“小切口”�����的专门立法,该法在总结反诈工作经验基础上,着力加强预防性法律制度构建�����,加强协同联动工作机制建设�����,加大对违法犯罪人员�����的处罚,推动形成全链条反诈�����、全行业阻诈�����、全社会防诈的打防管控格局。
该法规定�����,电信�����、银行等机构必须不断提高研究电信网络诈骗反制技术,用于检测异常信息活动�����,同时要求互联网公司做好风险防控特别义务和保护收集到�����的信息�����。
《互联网跟帖评论服务管理规定》
新修订�����的《互联网跟帖评论服务管理规定》(以下简称新《规定》)自2022年12月15日起施行�����。
新《规定》共16条�����,重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。
新华社发 徐骏 作
新《规定》要求�����,跟帖评论服务提供者应当按照用户服务协议对跟帖评论服务使用者和公众账号生产运营者进行规范管理�����。公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理等�����。
新《规定》强调�����,公众账号生产运营者可按照用户服务协议向跟帖评论服务提供者申请跟帖评论区管理权限。跟帖评论服务提供者应当对公众账号生产运营者�����的跟帖评论管理情况进行信用评估后,合理设置管理权限,提供相关技术支持�����。
《关于构建数据基础制度更好发挥数据要素作用的意见》
2022年12月19日�����,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用�����的意见》(以下简称“数据二十条”)发布,构建了数据产权、流通交易、收益分配�����、安全治理等4项制度�����,共计20条政策措施。
新华社发 徐骏 作
“数据二十条”提出从流通规则、交易市场、服务生态等方面加强数据流通交易顶层设计�����,建立数据流通准入标准规则�����,探索开展数据质量标准化体系建设;统筹优化全国数据交易场所规划布局�����,出台数据交易场所管理办法,构建多层次市场交易体系�����;培育数据商和第三方专业服务机构两类主体�����。
监制�����:张宁�����、李政葳
统筹�����:孔繁鑫
撰文�����:孔繁鑫
视频�����:刘昊�����、雷渺鑫
出品:光明网要闻采访部
(文图:赵筱尘 巫邓炎)
[责编�����:天天中]
微信好友 
朋友圈 
)
彩神x地图