专题·漏洞治理 | 美国网络安全和基础设施安全局(CISA)网络安全漏洞治理政策分析

最新推荐文章于 2024-07-12 11:59:24 发布
最新推荐文章于 2024-07-12 11:59:24 发布
阅读量259 收藏
点赞数
分类专栏: 信息安全 应用职责 文章标签: web安全 网络安全 安全 网络协议
原文链接:https://mp.weixin.qq.com/s/b25VGw6dVEnIwbgq95JihQ
版权

来源: 中国信息安全

当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。网络安全漏洞(Vulnerability,以下简称“漏洞”)是网络空间系统构建的必然结果和客观存在,日益成为全球网络空间安全事件的主要诱因,上至重要系统中潜藏的“零日漏洞”,下至网络上俯拾皆是的历史漏洞,均是全球数字化发展的“阿喀琉斯之踵”,一旦被恶意主体利用攻击,就会对信息系统安全造成损害,进而对国家、社会和公众造成重大损失。随着漏洞的资源属性和战略地位不断提高,“谁能利用好漏洞,谁就能在网络空间占据先锋”成为当前“网缘政治”的新名言。美国基于漏洞治理领域先发优势,经过多年的发展,在漏洞的发现收集、验证评估、修复消控、披露和跟踪上建立了完善的漏洞治理体系,其中国土安全部(DHS)及其下属的网络安全和基础设施安全局(CISA)发挥了关键的统筹协调作用。因此,以 CISA 为例研究美国漏洞治理体系的历史沿革、主要内容、实施效果,对于强化我国漏洞治理政策具有一定的借鉴意义。

 

 

 

 

 

 

 

 

 

 

 

通付盾_dappstore
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
美国CISA 宣布建立后量子密码学计划
m0_71890343的博客
08-31 1406
2022 年 7 月 5 日 ,美国网络安全基础设施安全局 (CISA) 宣布建立后量子密码学计划,以统一和推动机构努力应对量子计算带来的威胁。
信息安全技术安全漏洞等级划分指南》(GB/T30279-2013)
热门推荐
hacker0ne的博客
06-03 2万+
高校安全漏洞管理流程:你必须知道的几个要素 | Web安全 2017-07-21 09:42 高校信息安全管理是当前高校信息化工作的重点和难点。经过十余年的发展,各高校都基本完成了信息化建设的“原始积累”,拥有了相当数量的基础设施信息系统和数据。长期的重建设发展,轻运维安全,使得高校在信息安全管理方面基础薄弱。 面对当前严峻的安全形势,面对来自国家相关部门的安全工作要求,往往感到挑战与压力...
Python中的10个常见安全漏洞及修复方法
weixin_33989780的博客
06-24 604
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。文章最后有免费的Python资料,获取方式,关注头条号,私信回复资料获取下载链接。资料目录在文章底部,欢迎评论转发收藏下载。 以下是我总结的10个Python...
软件供应链安全——组件漏洞治理
m0_50579386的博客
04-27 2805
前 言 漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。 CVE:给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。 CPE:漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。 CWE:漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL...
常见安全漏洞及修复方案
07-29 1374
跨站脚本(XSS)漏洞 对参数做 html 转义过滤,要过滤的字符包括:单引号、双引号、大于号、小于号,& 符号,防止脚本执行。 在变量输出时进行 HTML ENCODE 处理 CSRF 漏洞 CSRF漏洞修复方案主要思路有两类: 验证请求是信任页面发起,这类修复方案有: 在表单中填充一次性随机的 csrf token 防止攻击者伪造 form 表单进行 CSRF。同时将此串 token 置入 session,在后端再进行一次一致性校验。 referer 验证。 ...
网络安全基础设施安全局CISA):两国将在网络安全方面扩大合作
m0_50579386的博客
07-31 1106
近日美国政府的网络安全机构已与乌克兰网络安全机构签署了一项关于在网络安全方面加强合作的协议。
CISA网络安全事件和漏洞响应手册.pdf
11-17
CISA网络安全事件和漏洞响应手册》是美国网络安全基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)发布的一份重要指南,旨在帮助联邦政府机构更好地管理和应对网络安全事件及漏洞...
2022网络安全十大调研报告
04-24
小编收集了10大安全报告,分享给大家,可以添加小编微信(zhoushihang6666)进群了解更多哦 2022攻防演练蓝队防守指南 2022漏洞管理指南 2022网络威胁形势研究报告 2022微隔离技术与安全用例研究报告 K8S加固...
网络与信息安全管理人员配备情况及相应资质.docx
04-04
(5)开展网络安全防护工作,如定期开展病毒检测和网络安全漏洞检测等; (6)用户信息保护工作落实等; 4、全职或兼职:全职/兼职 5、资质情况等:是否取得CISP、CISSP、CISA等资质以及等级保护测评机构测评师。 ...
CISA备考模拟题(700道)
01-16
CISA 备考模拟题(700道) 以下是根据提供的文件信息生成的相关知识点: 1. 业务连续性计划的特性:在审核一个组织的业务连续性计划时,某 IS 审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。...
信息安全_数据安全_How corporate boards and governm.pdf
08-22
例如,CISA美国国土安全网络安全基础设施安全局)等机构为私营部门提供指导和支持,协助企业识别和管理国家层面的风险。 3. **数据分析安全中的应用**:数据分析是现代安全实践的重要工具。通过对大量数据...
揭秘CISA——保护关键基础设施免受网络威胁的新联邦机构
systemino的博客
07-29 2148
2018年10月,网络安全基础设施安全局(简称CISA)法案获参议院通过,并最终正式获得美国总统签署成为法律。该法案将国家保护与计划局(简称NPPD)重组为网络安全基础设施安全局(简称CISA),以识别威胁,共享信息并协助事件响应,以保护国家的网络和关键基础设施安全CISA的定义 CISA全称为“网络安全基础设施安全局”(The Cybersecurity and Infrastru...
美国CISA 列出300个已遭利用漏洞,督促组织机构及时修复
smellycat000的专栏
11-04 251
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士当地时间本周三,美国网络安全基础设施安全局 (CISA) 发布了一份包含约300个已遭利用的漏洞清单,同时发布绑定操作指令 (BOD)...
网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 776
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 380
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全那些梗
最新发布
weixin_73442302的博客
07-12 655
例如,“网络购物”本可以直接称为“购物”,“网络安全”则强调了安全概念在网络环境中的应用。:在注册网站时,网络安全界的人有时会采用“真电话+假名字”的方式填写个人信息,以应对可能的骚扰电话。一些笑话中,网络安全从业人员被误解为黑客,被亲戚朋友请求帮忙破解WiFi密码、盗取QQ号等,这实际上是对网络安全工程师工作的误解。:这个梗源自一个笑话,讲述了一位程序员因误解妻子的话而只买了一个包子回家,随后被领导提醒要进行安全检查扫描,程序员戏称“让网络彻底安全的最有效方法竟然是关掉服务器”。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1187
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络设备安全
weixin_48579910的博客
07-11 833
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
网络安全-内网安全加固方案
PanDD_0_1的博客
07-12 487
网络安全-内网安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值