企业软件产品和服务 之 设计保证安全 七项承诺

1. 引言

公司如何保护自己免受数据泄露的影响?标准答案就是:

  • “启用多因素身份验证”——MTA(Enable multifactor authentication)。

但是,目前很多公司仍然盲目地只使用密码作为唯一的身份来源。

网络安全的核心是身份,无论是用户、设备还是服务。
不幸的是,有时,感觉仍然生活在 20 世纪的数字技术世界中,而向云端的迁移只是将密码转移到了那里。

最近,Prof Bill Buchanan OBE FRSE 与 Troy Hunt 交流,Troy Hunt指出:

  • 数据泄露事件中仍然普遍存在旧的(且不安全的)密码的哈希版本。
  • 有许多旧的 MD5 哈希密码与 bcrypt 混合的情况,其中更新了密码的用户使用的是 bcrypt 哈希,而未更新密码的用户仍然使用 MD5。
    • 这很愚蠢,因为应该可以在单个实例中对密码进行双重哈希,且使用 MD5 哈希作为 bcrypt 的种子。这似乎完全缺乏对网络安全的了解,或者完全不关心保护公民数据。

因此,多年来(甚至几十年来),人们关注的是“设计后的安全(secure after design)”而不是“设计保证安全(security by design)”。安全性因此成为事后的想法和附加选项。相应的原因有很多,包括:

  • 开发人员缺乏网络安全知识(尤其是密码学)
  • 懒惰
  • 成本
  • “尽快发货”的心态
  • 在使用公民数据时缺乏应有的谨慎和勤勉
  • 以及对产品和服务的实际使用方式缺乏真正的了解

在欧盟,GDPR 无疑推动公司采用安全的设计方法,并要求使用假名化、在给定的时间限制内报告事件以及使用加密。但是,GDPR 是一项平淡无奇的法规,并未详细阐述产品和服务的实际设计。

不过,美国旨在通过新的“安全设计承诺(Secure by Design Pledge)”来克服这些问题(见CISA Secure by Design Pledge):
在这里插入图片描述
这是 CISA 在最近的 RSA 会议上宣布的。不幸的是,这是一项自愿承诺,目前的签署该承诺的公司有:
在这里插入图片描述
总体而言,其包含七项重要的网络安全改进承诺:

  • 多因素身份验证 (MFA)。目标:在签署承诺后的一年内,展示已采取的行动,以显著增加制造商产品中多因素身份验证的使用。
  • 默认密码。目标:在签署承诺的一年内,在减少制造商产品的默认密码方面取得可衡量的进展。
  • 减少所有类型的脆弱性。目标:在签署承诺书的一年内,展示已采取的行动,使制造商产品中一种或多种类型的脆弱性发生率显著降低。
  • 安全补丁。目标:在签署承诺的一年内,展示所采取的行动,以显著增加客户安装的安全补丁数量。
  • 漏洞披露策略。目标:签署承诺后一年内,发布漏洞披露策略 (vulnerability disclosure policy,VDP)。
  • CVEs。目标:在签署承诺书的一年内,展示漏洞报告的透明度。
  • 入侵证据。目标:在签署承诺书的一年内,证明客户收集影响制造商产品的网络安全入侵证据的能力有显著提高。

Prof Bill Buchanan OBE FRSE个人认为这些应该是大型科技公司强制性的要求,而且还应该添加其他与隐私相关的内容,如:

  • 加密数据、使其匿名化。

每个组织都应该签署以下基本承诺:

  • CISA Secure by Design Pledge

参考资料

[1] Prof Bill Buchanan OBE FRSE 2024年5月11日博客 The Seven Cybersecurity Commandments: And Whatever Happened To “Secure By Design”?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/23104.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【分享】两种方法设置PDF“打开密码”

想要保护PDF文件的私密性,只允许特定人查看,我们可以给PDF设置“打开密码”,这样只有知道密码的人才可以打开文件。如果小伙伴们不知道如何设置,就一起看看以下两种方法吧! 方法1:使用PDF编辑器 大部分PD…

HarmonyOS(二十四)——Harmonyos通用事件之触摸事件

1.触摸事件。 触摸事件是HarmonyOS通用事件的一种事件之一,当手指在组件上按下、滑动、抬起时触发。 名称是否冒泡功能描述onTouch(event: (event?: TouchEvent) > void)是手指触摸动作触发该回调,event返回值见下面TouchEvent介绍。 2. TouchEve…

埃隆·马斯克 - 从梦想家到改变世界的企业家

埃隆马斯克 - 从梦想家到改变世界的企业家 本文内容是埃隆马斯克传的重点章节精华提炼,介绍了马斯克传奇一生 参考资料内容:埃隆马斯克传&造梦者埃隆马斯克 参考资料在文末获取,关注我,分享优质前沿资料(IT、运…

交互设计专业解析:发展前景和薪资待遇

交互式设计专业是一门旨在帮助人们更好地与数字产品和服务互动的设计学科。交互式设计专业涉及人机交互、用户体验设计、用户界面设计等多个不同领域。交互式设计是当今数字时代不可缺少的一部分。它能为用户提供更好的体验和更高效的功能,为企业创造更高的价值和影…

LabVIEW储油罐监控系统

LabVIEW储油罐监控系统 介绍了基于LabVIEW的储油罐监控系统的设计与实施。系统通过集成传感器技术和虚拟仪器技术,实现对储油罐内液位和温度的实时监控,提高了油罐监管的数字化和智能化水平,有效增强了油库安全管理的能力。 项目背景 随着…

买卖股票的各种最佳时机问题

买卖股票的最佳时机 分析 根据题意可知,我们只需要找出来一个最小价格的股票和一个最大价格的股票,并且最小价格的股票出现在最大价格的股票之前。 如果尝试使用暴力解法,时间复杂度为O(N^2),对于题目中给的长度,显然…

金士顿U盘被写保护的解决方法

1.适用的U盘芯片信息 USB设备ID: VID 0951 PID 1666 设备供应商: Kingston 设备名称: DataTraveler 3.0 设备修订版: 0110 产品制造商: Kingston 产品型号: DataTraveler 3.0 产品修订版: PMAP 主控厂商: Phison(群联) 主控型号: PS2251-07(PS2307) - F/W 08.03.50 [2018-…

从学士-硕士-博士-博士后-副教授-教授-优青-杰青-长江-院士:一文看懂学术巨人的成长历程

会议之眼 快讯 学术之路,如同攀登一座高耸入云的山峰,需要毅力、智慧和不断的求知探索。从奠定基础的学士,到站在学术巅峰的院士。这条成长之路充满了挑战和机遇。 如果把学术界比作王者荣耀,那么学者们的成长历程就像是在进行一…

SpringBoot-SchedulingConfigurer源码初识:理解定时任务抛异常终止本次调度,但不会影响下一次执行调度

SchedulingConfigurer源码初识:理解定时任务抛异常终止本次调度,但不会影响下一次执行调度 EnableSchedulingScheduledAnnotationBeanPostProcessor进入finishRegistration方法 ScheduledTaskRegistrar处理触发器任务(TriggerTask&#xff09…

F5G城市光网,助力“一网通城”筑基数字中国

《淮南子》中说,“临河而羡鱼,不如归家织网”。 这句话在后世比喻为做任何事情都需要提前做好准备,有了合适的工具,牢固的基础,各种难题也会迎刃而解。 如今,数字中国发展建设如火如荼,各项任务…

训练营第二十七天 | 491.递增子序列46.全排列47.全排列 II332.重新安排行程51. N皇后

491.递增子序列 力扣题目链接(opens new window) 给定一个整型数组, 你的任务是找到所有该数组的递增子序列,递增子序列的长度至少是2。 示例: 输入: [4, 6, 7, 7]输出: [[4, 6], [4, 7], [4, 6, 7], [4, 6, 7, 7], [6, 7], [6, 7, 7], [7,7], [4,7,7]] 说明: …

Python脚本自动填充数据和生成文档轻松办公

一,自动填充数据生成word文档 代码: from docx import Document# 创建一个新的Word文档对象 doc Document()# 添加标题 doc.add_heading(自动填充数据和生成文档, level1)# 添加段落 doc.add_paragraph(这是一个使用Python脚本自动填充数据并生成文档的…

刷新方盒子最快10万销量纪录 捷途旅行者何以颠覆越野市场?

近年”方盒子“产品迅速崛起,在新一轮的市场角逐中,率先突围的并非传统豪强,而是首次进军越野市场的捷途汽车。作为“燃油车,”捷途旅行者,在面对纯电、混动等产品的强势围剿下,仅用时9个月便成为细分市场销…

基于细节增强卷积和内容引导注意的单图像去雾

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 摘要Abstract文献阅读:DEA-Net:基于细节增强卷积和内容引导注意的单图像去雾1、研究背景2、方法提出3、相关知识3.1、DEConv3.3、多重卷积的…

C语言指针与数组名的联系

目录 一、数组名的理解 a.数组名代表数组首元素的地址 b. 两个例外 二、使用指针来访问数组 三、一维数组传参的本质 一、数组名的理解 a.数组名代表数组首元素的地址 我们在使用指针访问数组的内容时,有这样的代码: int arr[10] {1,2,3,4,5,6,7,…

枚举(enum)+联合体(union)

枚举联合 一.枚举类型1.枚举类型的声明2.枚举类型的优点3.枚举类型的使用 二.联合体1.联合体类型的声明2.联合体的特点3.相同成员的结构体和联合体对比4.联合体大小的计算5.联合体的练习(判断大小端)6.联合体节省空间例题 一.枚举类型 1.枚举类型的声明…

Sentinel1.8.6更改配置同步到nacos(项目是Gateway)

本次修改的源码在:https://gitee.com/stonic-open-source/sentinel-parent 一 下载源码 地址:https://github.com/alibaba/Sentinel/releases/tag/1.8.6 二 导入idea,等待maven下载好各种依赖 三 打开sentile-dashboard这个模块&#xf…

华为手机录屏在哪里?图文详解帮你找!

随着科技的进步,智能手机已成为我们日常生活中不可或缺的工具。其中,华为手机凭借其卓越的性能和用户体验,在全球范围内赢得了广泛的赞誉。在众多功能中,录屏功能尤为实用,无论是制作教程、记录游戏精彩瞬间&#xff0…

压敏电阻器是在规定温度下,当电压超过某一临界值时电导随电压的升高而急速增大的一种电阻器

压敏电阻器是在规定温度下,当电压超过某一临界值时电导随电压的升高而急速增大的一种电阻器。压敏电阻器的伏安特性是非线性的,因此,压敏电阻器亦称为非线性电阻器,非线性来自于压敏电阻器两端的外加电压,其伏安特性如图 9-1所示。从图9-1可以看出,压敏电阻器有对称型和非对称型…

网络运维简介

目录 1.网络运维的定义 2.诞生背景 3.网络运维的重要性 4.优点 5.缺点 6.应用场景 6.1.十个应用场景 6.2.数据中心运维 7.应用实例 8.小结 1.网络运维的定义 网络运维(Network Operations)是指管理、监控和维护计算机网络以确保其高效、安全和…