2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
CISO常犯的五个风险管理错误
作者:安全牛
CISO常犯的五个风险管理错误
安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误。
新冠疫情导致全球经济衰退,企业裁员、预算紧缩接踵而至,但网络攻击和数字风险也创下历史新高。新冠疫情期间,勒索软件、重大数据泄露和隐私事件频发,微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…
过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”,例如主流游戏平台Valve(游戏源代码泄露)、Switch(16万用户数据泄露)也纷纷中招。
随着疫情期间安全形势的不断升级,全球越来越多的企业领导者都将网络安全视为头等大事,将其视为亟待加强管理的战略风险。
然而,研究机构对高管和董事会成员的调查表明,企业的网络安全风险管理水平依然不尽如人意。
根据Marsh和微软的《2019年全球网络风险感知调查》发现,有79%的受访者将网络风险视为企业TOP5优先关注对象之一,22%的受访者表示网络风险这是他们最关注的问题。但是,只有11%的人对其组织的安全能力表示高度信任。
与此同时,美国公司董事协会在2019-2020年上市公司治理调查中,有66%的受访者表示,他们的公司在上一年的董事会议程中至少解决了一次网络风险问题。尽管有董事会的关注,但是仍有61%的受访者表示,他们的组织将把业务运营和计划的优先级放在网络安全之上。
安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误:
安全与业务缺乏一致性
多位CISO和高管顾问表示,安全运营与业务策略之间缺乏一致性仍然是风险管理中最常见的错误之一。
埃森哲安全部门董事总经理兼北美负责人Ryan LaSalle说:
| 大多数CISO都不衡量企业实际关心的是什么。他们正在衡量技术风险,而不是对业务的影响。他们仍然沉溺于工具和“数漏洞”,但这并不是衡量企业网络风险的方法。首席信息安全官需要对业务所关心的事情承担风险。 |
LaSalle表示,安全和业务部门也未能统一其风险定义并建立他们认为可接受的风险水平,这进一步加剧了安全性和业务部门之间的脱节,并使有效的风险管理变得更加困难。
他解释,在许多情况下,业务和安全对风险及其影响的看法有所不同,安全有时无法为业务区分固有风险与实施控制和缓解措施后留下的剩余风险之间的区别。
Ryan建议CISO阐明与特定业务目标相关的风险、如何降低风险、可以降低风险的程度以及以何种成本降低风险,以便业务和安全部门对风险有相同的了解,该组织正在采取行动。他补充说:
| 换句话说,首席信息安全官必须解释为什么这种风险对业务很重要。 |
安全能见度低
许多高管正在以“瞎子摸象”的方式管理部分(而非全部)组织的风险,因为他们对企业安全风险没有完全的了解。
毕马威(KPMG)网络安全服务全球联合负责人托尼·布丰曼特(Tony Buffomante)表示:“人们普遍认为企业对情况有完整的了解,这显然是一个误会。”事实上,很多CISO并没有完整的IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说:“结果,许多公司仅对不健全或不准确的库存执行风险评估程序。”
不少业内人士支持该观点:CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时,被收购的公司没有完全融入母公司。有时,各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因,这种情况都会使CISO无法全面评估整个组织面临的风险。
与此同时,许多安全运营团队对自己的工作的了解有限,Insight的安全咨询业务高级经理Mike Sprunger认为,这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说,中小型组织通常不跟踪风险指标,因为它们缺乏此类实践的资金和专业知识,而大型公司有时也不跟踪,因为它们对此类工作的复杂性感到不知所措。
不少安全顾问承认,全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,而且他们必须优先考虑监督要求,以创建可以提供定量观测分析的指标计划。
Sprunger补充道:
| 安全从业人员应该希望以可测量、可重复和有意义的方式量化风险。太多的CISO会关注所有可能的事情,但那无济于事。您必须侧重查看组织中最可能发生的状况,才能更好地管理风险。 |
框架优先
复杂性是企业网络安全面临的的最大挑战,因此也产生了很多框架来帮助企业尽快提高网络安全成熟度并从网络安全投资中获得最大受益。但是,企业安全主管们不要迷信“框架即正义“。AttackIQ客户成功副总裁克里斯托弗·肯尼迪(Christopher Kennedy)认为,过于关注使用监管和合规性框架来管理风险是有风险的。
他说,一些安全领导者错误地过分强调了满足框架要求,并将遵守框架视为最终目标,而不是将资源集中在理解自己组织的独特需求上,使安全计划与业务战略保持一致。并缩小安全计划中的差距。
肯尼迪说:
| 满足框架要求所需要的工作量使资源偏离了CISO最初的问题。因此,作为首席信息安全官,如果我的大部分员工都绑在这些框架上工作,那安全就不会与业务建立密不可分的关系。这意味着安全会被视为业务的阻碍者,因为我专注于这些框架要求而不是业务需求。 |
肯尼迪并没有完全否认框架的价值。然而他说,组织需要将框架的要求与企业战略、行业风险特性、风险承受力联系。
缺乏针对性
如今所有企业和组织都面临不断增长的威胁、攻击矢量和漏洞。CISO可能会试图解决所有这些威胁。但是,很多CISO和安全顾问认为,这种眉毛胡子一把抓的方法是错误的。相反,他们需要更加专注。
Coinbase的CISO Philip Martin说:
| 许多人并非一开始就清楚自己容易受到攻击的薄弱环节和人员,因此往往会无的放矢。 |
Martin表示,缺乏重点的方法会稀释本就稀缺的人力资源并增加费用,而安全状况和风险管理能力却不会相应提高。
为了最好地管理风险,他和其他安全负责人表示,组织应该更具针对性。
Martin说:
| 我们需要考虑(风险的)可能性和影响。我们经常查看最新,最“抓眼球“的攻击。但是,您需要建立有针对性的缓解计划,并专注于最有可能使您陷入困境的攻击。我们的预算和人员有限,必须关注最有可能使公司陷入困境的问题。 |
例如,一家汽车零制造工厂需要优先考虑保护其知识产权和基础设施,而不是银行木马。
没有考虑时间因素
尽管安全或合规审核可以让管理层了解安全运营状况,但专家警告说,审核或审计结果仅反映审核时的安全表现,不能保证未来的有效性。尤其是考虑到新威胁的发展速度,以及安全策略和风险评估同样需要迅速变化以应对这些威胁。
Buffomante指出:
| 我们看到许多组织都执行审计流程,但他们没有利用实时威胁情报来帮助他们澄清与组织相关的当前风险。他们需要对其高优先级区域进行更连续的评估。 |
企业开始通过实施自动化,机器学习和人工智能来生成更多实时安全评估,来逐渐满足这一需求。然后,企业需要创建流程,更快地通过实时评估来调整和管理风险。
但是,安全领导者们强调,企业还必须认识到,解决新发现的风险的举措往往需要更多时间。
LaSalle说:“分析的速度目前超过了决策和采取行动的速度。”安全团队必须将其纳入计划和进度报告中。如果安全部门要求IT部门和业务部门协同应对新威胁,将风险降低到可接受的水平,那么安全部门就要做好准备,接受各种不可控的延迟。
您不希望安全团队的敦促使业务部门产生抵触情绪,安全部门的指南、缓解或者强化措施需要针对业务部门提供循序渐进的计划,确保其中的要求在业务部门力所能及的范围内。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
CISO常犯的五个风险管理错误
作者:安全牛
浏览:
发表时间:2020-05-08 15:49:33
CISO常犯的五个风险管理错误
安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误。
新冠疫情导致全球经济衰退,企业裁员、预算紧缩接踵而至,但网络攻击和数字风险也创下历史新高。新冠疫情期间,勒索软件、重大数据泄露和隐私事件频发,微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…
过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”,例如主流游戏平台Valve(游戏源代码泄露)、Switch(16万用户数据泄露)也纷纷中招。
随着疫情期间安全形势的不断升级,全球越来越多的企业领导者都将网络安全视为头等大事,将其视为亟待加强管理的战略风险。
然而,研究机构对高管和董事会成员的调查表明,企业的网络安全风险管理水平依然不尽如人意。
根据Marsh和微软的《2019年全球网络风险感知调查》发现,有79%的受访者将网络风险视为企业TOP5优先关注对象之一,22%的受访者表示网络风险这是他们最关注的问题。但是,只有11%的人对其组织的安全能力表示高度信任。
与此同时,美国公司董事协会在2019-2020年上市公司治理调查中,有66%的受访者表示,他们的公司在上一年的董事会议程中至少解决了一次网络风险问题。尽管有董事会的关注,但是仍有61%的受访者表示,他们的组织将把业务运营和计划的优先级放在网络安全之上。
安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误:
安全与业务缺乏一致性
多位CISO和高管顾问表示,安全运营与业务策略之间缺乏一致性仍然是风险管理中最常见的错误之一。
埃森哲安全部门董事总经理兼北美负责人Ryan LaSalle说:
| 大多数CISO都不衡量企业实际关心的是什么。他们正在衡量技术风险,而不是对业务的影响。他们仍然沉溺于工具和“数漏洞”,但这并不是衡量企业网络风险的方法。首席信息安全官需要对业务所关心的事情承担风险。 |
LaSalle表示,安全和业务部门也未能统一其风险定义并建立他们认为可接受的风险水平,这进一步加剧了安全性和业务部门之间的脱节,并使有效的风险管理变得更加困难。
他解释,在许多情况下,业务和安全对风险及其影响的看法有所不同,安全有时无法为业务区分固有风险与实施控制和缓解措施后留下的剩余风险之间的区别。
Ryan建议CISO阐明与特定业务目标相关的风险、如何降低风险、可以降低风险的程度以及以何种成本降低风险,以便业务和安全部门对风险有相同的了解,该组织正在采取行动。他补充说:
| 换句话说,首席信息安全官必须解释为什么这种风险对业务很重要。 |
安全能见度低
许多高管正在以“瞎子摸象”的方式管理部分(而非全部)组织的风险,因为他们对企业安全风险没有完全的了解。
毕马威(KPMG)网络安全服务全球联合负责人托尼·布丰曼特(Tony Buffomante)表示:“人们普遍认为企业对情况有完整的了解,这显然是一个误会。”事实上,很多CISO并没有完整的IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说:“结果,许多公司仅对不健全或不准确的库存执行风险评估程序。”
不少业内人士支持该观点:CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时,被收购的公司没有完全融入母公司。有时,各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因,这种情况都会使CISO无法全面评估整个组织面临的风险。
与此同时,许多安全运营团队对自己的工作的了解有限,Insight的安全咨询业务高级经理Mike Sprunger认为,这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说,中小型组织通常不跟踪风险指标,因为它们缺乏此类实践的资金和专业知识,而大型公司有时也不跟踪,因为它们对此类工作的复杂性感到不知所措。
不少安全顾问承认,全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,而且他们必须优先考虑监督要求,以创建可以提供定量观测分析的指标计划。
Sprunger补充道:
| 安全从业人员应该希望以可测量、可重复和有意义的方式量化风险。太多的CISO会关注所有可能的事情,但那无济于事。您必须侧重查看组织中最可能发生的状况,才能更好地管理风险。 |
框架优先
复杂性是企业网络安全面临的的最大挑战,因此也产生了很多框架来帮助企业尽快提高网络安全成熟度并从网络安全投资中获得最大受益。但是,企业安全主管们不要迷信“框架即正义“。AttackIQ客户成功副总裁克里斯托弗·肯尼迪(Christopher Kennedy)认为,过于关注使用监管和合规性框架来管理风险是有风险的。
他说,一些安全领导者错误地过分强调了满足框架要求,并将遵守框架视为最终目标,而不是将资源集中在理解自己组织的独特需求上,使安全计划与业务战略保持一致。并缩小安全计划中的差距。
肯尼迪说:
| 满足框架要求所需要的工作量使资源偏离了CISO最初的问题。因此,作为首席信息安全官,如果我的大部分员工都绑在这些框架上工作,那安全就不会与业务建立密不可分的关系。这意味着安全会被视为业务的阻碍者,因为我专注于这些框架要求而不是业务需求。 |
肯尼迪并没有完全否认框架的价值。然而他说,组织需要将框架的要求与企业战略、行业风险特性、风险承受力联系。
缺乏针对性
如今所有企业和组织都面临不断增长的威胁、攻击矢量和漏洞。CISO可能会试图解决所有这些威胁。但是,很多CISO和安全顾问认为,这种眉毛胡子一把抓的方法是错误的。相反,他们需要更加专注。
Coinbase的CISO Philip Martin说:
| 许多人并非一开始就清楚自己容易受到攻击的薄弱环节和人员,因此往往会无的放矢。 |
Martin表示,缺乏重点的方法会稀释本就稀缺的人力资源并增加费用,而安全状况和风险管理能力却不会相应提高。
为了最好地管理风险,他和其他安全负责人表示,组织应该更具针对性。
Martin说:
| 我们需要考虑(风险的)可能性和影响。我们经常查看最新,最“抓眼球“的攻击。但是,您需要建立有针对性的缓解计划,并专注于最有可能使您陷入困境的攻击。我们的预算和人员有限,必须关注最有可能使公司陷入困境的问题。 |
例如,一家汽车零制造工厂需要优先考虑保护其知识产权和基础设施,而不是银行木马。
没有考虑时间因素
尽管安全或合规审核可以让管理层了解安全运营状况,但专家警告说,审核或审计结果仅反映审核时的安全表现,不能保证未来的有效性。尤其是考虑到新威胁的发展速度,以及安全策略和风险评估同样需要迅速变化以应对这些威胁。
Buffomante指出:
| 我们看到许多组织都执行审计流程,但他们没有利用实时威胁情报来帮助他们澄清与组织相关的当前风险。他们需要对其高优先级区域进行更连续的评估。 |
企业开始通过实施自动化,机器学习和人工智能来生成更多实时安全评估,来逐渐满足这一需求。然后,企业需要创建流程,更快地通过实时评估来调整和管理风险。
但是,安全领导者们强调,企业还必须认识到,解决新发现的风险的举措往往需要更多时间。
LaSalle说:“分析的速度目前超过了决策和采取行动的速度。”安全团队必须将其纳入计划和进度报告中。如果安全部门要求IT部门和业务部门协同应对新威胁,将风险降低到可接受的水平,那么安全部门就要做好准备,接受各种不可控的延迟。
您不希望安全团队的敦促使业务部门产生抵触情绪,安全部门的指南、缓解或者强化措施需要针对业务部门提供循序渐进的计划,确保其中的要求在业务部门力所能及的范围内。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
点击右上角
分享给朋友吧
长按图片保存/分享
0
文章推荐
