david liu

信息安全

诸子笔会2022 | 刘志诚:无边界办公的无边界安全

自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。 无边界办公的无边界安全      文 | 刘志诚 刘志诚 乐信集团信息安全中心总监 关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。 疫情肆掠,居家办公已经成为美国科技公司的标配。2020-2021年,在经历短暂的居家办公后,中国的疫情管控政策基本恢复原样,但病毒变异导致其传染性直线上升,上海被迫经历长达2个月的封控,这使得我们不得不再一次思考居家办公常态化的解决方案。前不久,马斯克关于回归线下办公的言论引发渲染大波,让我们需要从辩证的角度系统

By david liu

信息安全

诸子笔会2022 | 刘志诚:动荡时代,安全“变”与“不变”

自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。 动荡时代的安全变与不变      文 | 刘志诚 刘志诚 乐信集团信息安全中心总监 关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。 习总书记提出的百年不遇之大变局,指出当下世界发展趋势的动荡不安,存在着威胁也意味着机会,对于安全从业者而言同样适用。借用狄更斯双城记的一句话,这是一个最坏的时代,也是一个最好的时代。当然,安全从业者需要一双慧眼,透过层层迷雾看到本质,需要识别出目前世界动荡的根源所在,对安全领域的影响,哪些因素是变化的,哪些是永恒的。不会因为对未知的恐惧而动作变形,不会因为执念抱守残缺不

By david liu

信息安全

诸子笔会 | 刘志诚:从业务保障到业务驱动的安全规划实践三部曲

自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。 从业务视角看安全团队工作年度总结 文 | 刘志诚 刘志诚          乐信集团信息安全中心总监 中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。 岁末年初,总结与规划是两个绕不开的主题,上篇文章谈了业务视角的

By david liu

信息安全

云原生安全的陷阱与机遇n --云原生安全的创新、挑战的关键词

作者简介-------------------------------------------------------- 刘志诚,乐信集团信息安全中心总监 中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人,CSA大中华区数据安全专家,FreeBuff、安全牛、安在、网安家、安全村等安全智库特聘安全专家。关注智慧城市,企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。 --------------------------------------------------------------------- 云原生作为CNCF定义的新一代信息基础设施与基础架构的底层逻辑,是整体上适应数字化时代业务数字化转型的技术体系革命性升级。网络信息安全日益面临严峻的挑战,安全的边界逐渐蔓延,安全的场景日益复杂,安全面临的问题日益严

By david liu

信息安全

诸子笔会 | 刘志诚:从业务视角看安全团队工作年度总结

自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。 从业务视角看安全团队工作年度总结 文 | 刘志诚 刘志诚          乐信集团信息安全中心总监 中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。 步入12月份,各个业务和能力单元都进入了复盘时刻,准备本年度的

By david liu

信息安全

诸子笔会 | 刘志诚:从供应链到生态——情景化安全的创新与挑战

自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。 从供应链安全到生态安全 ——情景化安全的创新与挑战 文 | 刘志诚 刘志诚          乐信集团信息安全中心总监 中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。 中美贸易战引发的科技封锁,以及全

By david liu

信息安全

诸子笔会 | 刘志诚:从网络安全周看安全宣传与意识教育

自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。 从网络安全周看安全宣传与意识教育 文 | 刘志诚 刘志诚          乐信集团信息安全中心总监 中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。 中国政府高度重视网络信息安全在国家安全战略层面的意义,习近平主席

By david liu

信息安全

《网络安全审查办法》征求意见稿变更与简析

2021年7月10日,国家互联网信息办公室发起了《网络安全审查办法(修订草案征求意见稿)》征求意见,据2020年4月13日12部委联合发布《网络安全审查办法》仅过去15个月,这也是对7月2日开始对以滴滴为首的6月份美国上市企业集中发起网络安全审查的后续立法方面的动作和策略,核心仍在于原来的《网络安全审查办法》对此系列事件管辖覆盖的部分欠缺。我们从本次修改的内容做下分析和简述: 新征求意见稿:第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。 变更:征求意见稿相对于原办法增加了“《中华人民共和国数据安全法》” 新征求意见稿:第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 变更:相对于原办法增加了“数据处理者(以下称运营者)开展数据处理活动” 简析:这两条变更是对2021年6月10日通过,2021年9月1日生效的《数据安全法》“第二十四条 国家建立数

By david liu

信息安全

信息安全风险与策略共识机制浅谈

在国家网信安全和安全可信战略背景下,信息安全作为组织专业领域的保障和支撑方向,在业务数字化转型过程重要性越来越明显,信息安全带来的合规风险,品牌声誉风险,和业务风险成为组织风险治理的关键风险。 同时,信息安全的技术复杂性和专业性,需要考虑风险分析、决策、治理策略与业务战略的一致性和共识,在进行相关的风险识别、评估、分析的方法,展现形式上如何实现组织级的沟通与共识,在针对风险分析决策的参考因素,需要在关注信息安全带来的影响,损失,和投入成本之外,还需要关注业务价值,影响和带来的成果,需要考虑信息安全之外的因素和变量。在风险治理策略上,需要综合评估方案的有效性,便利性,对业务的影响, 其中的资源投入的时间成本和资金成本,获取的收益和潜在价值的影响,在综合考虑ROI的同时,关注治理方案的外部性。相对于传统的信息安全风险评估的定量、定性分析以及从综合保障纵深防御角度的风险治理策略,需要相应的分析、决策、策略综合考虑组织内的协调与共识,需要信息安全部门与业务运作、支撑部门达成广泛的共识,才能实现信息安全风险的全面治理。否则,一方面抱怨信息安全意识薄弱,一方面又觉得工作难以推动和开展,孤军奋战陷

By david liu

信息安全

欧盟《通用数据保护条例》与中国《数据安全法》差异简析

中国《数据安全法》草案的公布,带来相关研究的热潮,基于相关法案的学习研究,对其中重要差异点进行分析。 一、立法的目的、范围不同 欧盟《通用数据保护条例》的目的是对个人隐私数据的保护,防止数字空间和新技术带来的个人隐私侵犯风险,尤其注重对公权力机构在采集、使用、处理个人数据过程中的监管。鉴于历史原因,对涉及民族、种族、政治、宗教信仰、个人生物识别特征的数据均为敏感数据,其相应的获取、应用均有严苛的规定和用户权利保护的强制措施。不涉及到经济发展、业务运营的数据促进以及商业、社会关键数据的安全保障。不关注数字经济的发展过程中数据的重要性,不针对该问题进行数据产业发展、流动、交易的立法监管和保护。中国《数据安全法》的目的是保障数字经济发展过程中带来的通用数据安全问题,不局限于个人隐私数据的保护,而把数据作为未来经济发展的重要生产要素,从战略高度出发促安全保发展。重调强调政府主导,自上而下的顶层设计,战略布局,通过统筹协调安排,集国家之力,集中力量办大事,在全球数字经济竞争中脱颖而出,弯道超车。目的在于发展,安全的目标是发展过程中必要支撑。 二、权利的定义与冲突 欧盟《

By david liu

信息安全

一个EXIN DPO眼中的《数据安全法》

刘志诚一、明确目标,建立基础,达成共识,形成原则: 第一章数据安全法总则概述了立法的目的,管辖范围,其立法涉及的意义和本质以及立法的指导思想、组织保障以及基本原则。 首先定义了立法目标(第一条)保障数据安全与开发利用放在第一项,在强调数据安全的同时强调了数据利用是根本,保护公民和组织合法权益放在第二项,是对社会组织与个人数据保障要求的回应,国家主权,安全与发展权益放在第三项,确定国家安全的基本原则不能动摇。 数据安全法的范围(第二条)确立了境内相关活动适用,同时增加了长臂管辖条款,境外数据损害第一条规定目标利益的适用本法管辖。 数据安全涉及的主体以及意义的本质(第三条),数据包含电子、非电子的信息和记录,概念的内涵和外延包含了通常意义的电子信息也包含其他介质和形式,内容在数字身份,敏感数据的基础上包含了数据记录等。活动范围与欧盟《通用数据保护条例》包含了收集、存储、加工、使用、提供、交易、公开,其中提供、交易、公开的活动进一步扩充了活动的本质,相对于数据安全保障的目标,增加了数据利用的合法保障。数据安全强调了采取必要措施,对数据实时有效保护,保障合法利用的前提下使数据处于安全状态的能力

By david liu

信息安全

企业安全公共能力开源化实现参考(2020年3月13日更新)

通过开源项目实现企业安全,需要从办公域、业务域的安全需求开发,注重业务生命周期的研发、集成运维阶段的安全预防、检测、处置技术公共能力建设,通过管理运营平台,覆盖企业的信息化安全需求,具备攻击能力,实现以攻为守,通过sorceforge、github最近3年内比较活跃的评价较高的项目梳理,形成本文,供参考。 图一、开源项目分类全景图 一、安全能力公共组件   图二:安全公共能力组件 1          密码技术 1.1         CA中心 EJBCA is an enterprise class PKI Certificate Authority built on JEE technology. It is a robust, high performance, platform independent, flexible, and component based

By david liu