NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

评估SaaS服务商安全性的十个要点

作者:安全牛

对于越来越多的企业,软件即服务(SaaS)已成为访问重要业务应用程序的主要手段。从业务的角度来看,“上云”的好处包括:节省成本、提高敏捷性和更易扩展的功能。

但是,任何基于云的产品都存在安全风险。企业如何才能确定其SaaS提供商的安全性是否符合其自身的需求和标准?

Gartner副总裁兼分析师Patrick Hevesi说:“我们面临的挑战是需要了解SaaS供应商是如何保护其基础架构、变更管理和事件响应流程的。”

根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。

与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击,一旦云服务遭受攻击,往往会城门失火殃及池鱼,云服务用户也会受到影响。因此,我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议:

1. 查看SaaS的漏洞管理/修补策略

高管经常关注的一个问题是安全补丁。“通常,SaaS提供商会打补丁,尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程,例如威胁情报和UEBA等的集成,都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(参考:《2020高效漏洞管理现状与趋势报告》)

2. 检查SaaS与内部安全控制的一致性

通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商时,公司需要了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口。他说:“您将应当确保提供商的安全功能如何与您的公司信息安全策略保持一致。”“任何差距都应在此过程中尽早解决。”John认为“控制对齐”有三个关键领域:

  • 身份和访问管理(IAM):问题可能包括无法将现有企业IAM平台与SaaS提供商的产品集成在一起;认证策略冲突,从可用性的角度来看,这可能导致混乱和技术难题;以及SaaS提供商缺乏对单点登录(SSO)的支持。
  • 加密和密钥管理:这里的问题包括SaaS提供商坚持保持对加密的控制,使其可以随时访问客户的信息,以及将数据存储在公司安全范围之外,从而增加了对适当加密管理的依赖。
  • 安全监控:这里的问题包括无法从SaaS环境提供对安全事件日志数据的访问,从而降低了潜在安全风险的透明性。John说:“要克服的挑战之一是确保服务商无法操纵日志。”约翰说:“首选的选择是与SaaS提供商建立适当的数字连接,以便将日志数据实时馈送到您现有的安全运营中心。”“这可以提升整体视野,并支持将本地安全运营功能扩展到云中。”

3. 确保您拥有数据

公司还应密切注意提供商的隐私政策或服务条款,以确保不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来理所当然,但现实中往往会被遗漏。”

McGladrey说:如果SaaS供应商未承诺不会出售您的业务数据或以“市场研究”的名义出售您如何使用云服务的数据,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。

4. 确保SaaS提供商的合规性

McGladrey指出,另一个令人担忧的问题是,如果隐私政策中没有声明遵守特定法规,例如《通用数据保护法规》(GDPR)或《加州消费者隐私法案》(CCPA),则该声明不符合要求。他说:“缺乏必要的合规性,可能表明SaaS提供商没有跟上法律和监管的步伐。”

McGladrey补充说:“ SaaS供应商应该在数据主权和可选本地化方面领先。”“尽管这对于选择SaaS解决方案的跨国企业特别重要,但是单一地理位置的组织也很有肯能会碰到类似的合规问题。”

5. 知道数据存储在哪里

营销技术提供商Epsilon的CIO Robert Walden表示,从安全性,合规性和隐私性的角度来看,这最终都取决于数据。“了解通过SaaS解决方案存储或传输什么样的数据,谁有权访问数据,谁拥有数据,如何保护数据以及在发生安全漏洞时谁应负责都非常重要”,Walden说道。

Walden说:“许多公司甚至都不知道无意中存储在SaaS解决方案中的敏感数据的类型,或者谁可以访问这些敏感数据。”“此外,很多公司不了解,如果在设置SaaS解决方案期间执行了标准的点击(click-through)协议,则该提供商通常对数据拥有所有权。”

6. 检查数据丢失或损坏的规定

从数据保护的角度来看,许多公司没有意识到,尽管SaaS协议可能包含灾难恢复条款,但这些条款往往并未涵盖数据丢失或损坏的问题。

7. 安全团队应当参与SaaS采购过程

Pinto说,在采购过程中,安全和风险团队的成员应始终与采购团队联系。“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业。”

John说,信息安全团队应出席所有关键讨论,以确保解决涵盖与数据安全有关的技术或非技术性问题。“对于我们来说,如果云服务商无法及时解决网络安全问题,将从我们的候选名单上消失。”

8. 识别SaaS提供商使用的子服务

SaaS提供商可能使用的子服务也是需要讨论的话题。John说:“这些问题需要在签订任何合同之前解决。”“这可能会影响您的组织对数据存储位置的要求。”

约翰说,在评估SaaS的安全报告时,“重要的是确认报告范围包括合同中的位置和子服务。”“这需要对合同和适用的安全报告进行交叉检查,以确保审计结果具有足够的覆盖范围和可靠性。”

讨论还应涵盖SaaS提供商确保合规的方法。John说:“在解决这个问题时,重要的是要了解云服务商的安全服务和功能,例如检测、数据隐私和事件响应报告,以及任何相关活动,是否合规。”

9. 在SaaS免费试用期间进行彻底测试

应在免费的SaaS试用期间进行无死角的IT和安全性的全面测试,包括容量和峰值的压力测试。Pinto说:“应该有多个管理员和超级用户同时使用该工具,并在同一窗口内评估性能。”

另外,需要测试并发和多进程活动。Pinto说:“用户应该了解云服务程序在高负载(忙于计算或移动信息并创建报告)时的响应速度。”

John说,作为内部测试的一部分,“还需要评估关键安全流程与SaaS提供商的解决方案集成的能力”。“这将有助于确定在解决方案实施后,安全性方面需要投入的资源和成本。”

10. 审查SaaS提供商的第三方安全审计报告

John说,很重要的一个环节是查看云服务商的最新第三方审计报告,包括渗透测试结果,这些结果将确认安全控制的适用性和有效性。“索取国家或国际认证的证书也有助于确定云服务商的企业级安全控制的成熟度。”





加入NISP、CISP课程学习网络安全行业

报考联系人nisp证书管理中心丹丹老师

微信号:nisptest/13520967307

0
NISP管理中心

评估SaaS服务商安全性的十个要点

作者:安全牛 浏览: 发表时间:2020-06-16 12:08:32

对于越来越多的企业,软件即服务(SaaS)已成为访问重要业务应用程序的主要手段。从业务的角度来看,“上云”的好处包括:节省成本、提高敏捷性和更易扩展的功能。

但是,任何基于云的产品都存在安全风险。企业如何才能确定其SaaS提供商的安全性是否符合其自身的需求和标准?

Gartner副总裁兼分析师Patrick Hevesi说:“我们面临的挑战是需要了解SaaS供应商是如何保护其基础架构、变更管理和事件响应流程的。”

根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。

与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击,一旦云服务遭受攻击,往往会城门失火殃及池鱼,云服务用户也会受到影响。因此,我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议:

1. 查看SaaS的漏洞管理/修补策略

高管经常关注的一个问题是安全补丁。“通常,SaaS提供商会打补丁,尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程,例如威胁情报和UEBA等的集成,都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(参考:《2020高效漏洞管理现状与趋势报告》)

2. 检查SaaS与内部安全控制的一致性

通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商时,公司需要了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口。他说:“您将应当确保提供商的安全功能如何与您的公司信息安全策略保持一致。”“任何差距都应在此过程中尽早解决。”John认为“控制对齐”有三个关键领域:

  • 身份和访问管理(IAM):问题可能包括无法将现有企业IAM平台与SaaS提供商的产品集成在一起;认证策略冲突,从可用性的角度来看,这可能导致混乱和技术难题;以及SaaS提供商缺乏对单点登录(SSO)的支持。
  • 加密和密钥管理:这里的问题包括SaaS提供商坚持保持对加密的控制,使其可以随时访问客户的信息,以及将数据存储在公司安全范围之外,从而增加了对适当加密管理的依赖。
  • 安全监控:这里的问题包括无法从SaaS环境提供对安全事件日志数据的访问,从而降低了潜在安全风险的透明性。John说:“要克服的挑战之一是确保服务商无法操纵日志。”约翰说:“首选的选择是与SaaS提供商建立适当的数字连接,以便将日志数据实时馈送到您现有的安全运营中心。”“这可以提升整体视野,并支持将本地安全运营功能扩展到云中。”

3. 确保您拥有数据

公司还应密切注意提供商的隐私政策或服务条款,以确保不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来理所当然,但现实中往往会被遗漏。”

McGladrey说:如果SaaS供应商未承诺不会出售您的业务数据或以“市场研究”的名义出售您如何使用云服务的数据,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。

4. 确保SaaS提供商的合规性

McGladrey指出,另一个令人担忧的问题是,如果隐私政策中没有声明遵守特定法规,例如《通用数据保护法规》(GDPR)或《加州消费者隐私法案》(CCPA),则该声明不符合要求。他说:“缺乏必要的合规性,可能表明SaaS提供商没有跟上法律和监管的步伐。”

McGladrey补充说:“ SaaS供应商应该在数据主权和可选本地化方面领先。”“尽管这对于选择SaaS解决方案的跨国企业特别重要,但是单一地理位置的组织也很有肯能会碰到类似的合规问题。”

5. 知道数据存储在哪里

营销技术提供商Epsilon的CIO Robert Walden表示,从安全性,合规性和隐私性的角度来看,这最终都取决于数据。“了解通过SaaS解决方案存储或传输什么样的数据,谁有权访问数据,谁拥有数据,如何保护数据以及在发生安全漏洞时谁应负责都非常重要”,Walden说道。

Walden说:“许多公司甚至都不知道无意中存储在SaaS解决方案中的敏感数据的类型,或者谁可以访问这些敏感数据。”“此外,很多公司不了解,如果在设置SaaS解决方案期间执行了标准的点击(click-through)协议,则该提供商通常对数据拥有所有权。”

6. 检查数据丢失或损坏的规定

从数据保护的角度来看,许多公司没有意识到,尽管SaaS协议可能包含灾难恢复条款,但这些条款往往并未涵盖数据丢失或损坏的问题。

7. 安全团队应当参与SaaS采购过程

Pinto说,在采购过程中,安全和风险团队的成员应始终与采购团队联系。“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业。”

John说,信息安全团队应出席所有关键讨论,以确保解决涵盖与数据安全有关的技术或非技术性问题。“对于我们来说,如果云服务商无法及时解决网络安全问题,将从我们的候选名单上消失。”

8. 识别SaaS提供商使用的子服务

SaaS提供商可能使用的子服务也是需要讨论的话题。John说:“这些问题需要在签订任何合同之前解决。”“这可能会影响您的组织对数据存储位置的要求。”

约翰说,在评估SaaS的安全报告时,“重要的是确认报告范围包括合同中的位置和子服务。”“这需要对合同和适用的安全报告进行交叉检查,以确保审计结果具有足够的覆盖范围和可靠性。”

讨论还应涵盖SaaS提供商确保合规的方法。John说:“在解决这个问题时,重要的是要了解云服务商的安全服务和功能,例如检测、数据隐私和事件响应报告,以及任何相关活动,是否合规。”

9. 在SaaS免费试用期间进行彻底测试

应在免费的SaaS试用期间进行无死角的IT和安全性的全面测试,包括容量和峰值的压力测试。Pinto说:“应该有多个管理员和超级用户同时使用该工具,并在同一窗口内评估性能。”

另外,需要测试并发和多进程活动。Pinto说:“用户应该了解云服务程序在高负载(忙于计算或移动信息并创建报告)时的响应速度。”

John说,作为内部测试的一部分,“还需要评估关键安全流程与SaaS提供商的解决方案集成的能力”。“这将有助于确定在解决方案实施后,安全性方面需要投入的资源和成本。”

10. 审查SaaS提供商的第三方安全审计报告

John说,很重要的一个环节是查看云服务商的最新第三方审计报告,包括渗透测试结果,这些结果将确认安全控制的适用性和有效性。“索取国家或国际认证的证书也有助于确定云服务商的企业级安全控制的成熟度。”





加入NISP、CISP课程学习网络安全行业

报考联系人nisp证书管理中心丹丹老师

微信号:nisptest/13520967307

评估SaaS服务商安全性的十个要点
我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议。
长按图片保存/分享
0

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6