ToB企服应用市场:ToB评测及商务社交产业平台

标题: 怎样选择安全、可验证的技术？ [打印本页]

---

作者: 民工心事    时间: 2024-12-11 19:41
标题: 怎样选择安全、可验证的技术？
澳大利亚信号局的澳大利亚网络安全中央 (ASD 的 ACSC) 发布了一份引导文件，题为《选择安全和可验证的技术》，旨在帮助构造在采购软件（专有或开源）、硬件（例如物联网装备）和云服务（SaaS、MSP 服务）时做出明智的决议。

每个攻击前言大概采取的恶意举动以及大概的缓解策略
威胁举动者的攻击向量大概的恶意举动或攻击大概的缓解策略 1
恶意代码注入正当的开源软件包。该技术制造商通过安全开辟实践（包括内容扫描、验证来源、测试和代码检察）采取缓解步伐，防止摄入恶意开源内容。开辟伪装成正当软件包的恶意开源软件包。技术制造商通过安全开辟实践（包括内容扫描、验证来源、测试和代码检察）采取缓解步伐，防止纳入恶意开源内容。正当贡献者错误地将错误配置或弊端添加到开源软件包中。技术制造商通过安全开辟实践（包括内容扫描、验证来源、测试和代码检察）采取缓解步伐，防止纳入恶意开源内容。产物或服务中存在一类已知弊端。技术制造商拥有辨认、纠正和缓解已知种别的弊端的方法。 2
提供恶意或易受攻击的产物或服务。供应技术制造商提供安全流程来验证所供应产物或服务的正当性，例如数字签名、物料清单和防窜改缓解步伐，并可提供其安全设计实践和风险缓解步伐的证据。提供恶意或易受攻击的补丁。提供技术制造商提供数字签名等安全流程来验证补丁的正当性，并提供管理修补过程和筹划的方法。恶意举动者拦截传输过程并操纵所提供的内容。供应技术制造商提供了一个安全的流程来验证所收到内容的正当性。 3
值得信任的内部人员对要交付给技术消费者的产物或服务进行恶意更改。供应技术制造商接纳内部威胁缓解步伐来防止恶意更改，例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解步伐。产物或服务中存在一类已知弊端。供应技术制造商遵循良好的安全设计实践，采取缓解步伐，消除已知种别的弊端的根本缘故原由。 4
提供恶意或易受攻击的产物或服务。供应技术制造商有一个验证和确认第三方产物或服务（如数字签名）正当性的流程，并验证其供应商安全设计实践和风险缓解步伐的证据。提供恶意或易受攻击的补丁。供应技术制造商拥有一套流程来验证和确认补丁的正当性，并可以管理补丁流程和调度。别的，他们还必须验证其供应商的安全设计实践和风险缓解步伐的证据。提供恶意或易受攻击的步调包或源代码。供应技术制造商拥有一套验证和确认源代码或内容的流程，例如弊端扫描、动态和静态应用步调安全测试以及恶意软件扫描。别的，他们还必须验证其供应商的安全设计实践和风险缓解步伐的证据。恶意举动者拦截传输过程并操纵内容以达到恶意目标。供应技术制造商拥有一套验证和确认收到的内容的流程，例如弊端扫描、动态和静态应用步调安全测试以及恶意软件扫描。别的，他们还必须验证其供应商的安全设计实践和风险缓解步伐的证据。 5
值得信任的内部人员对交付给供应技术制造商的产物或服务进行了恶意更改。供应技术制造商已验证并确认了其供应商实行的缓解步伐，例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解步伐。产物或服务中存在一类已知弊端。供应技术制造商已确认并验证了其供应商实行的缓解步伐，例如弊端扫描、动态和静态应用步调安全测试以及其他安全设计实践。
它的目标客户是高级管理人员、网络安全专家、风险顾问、采购专业人士以及数字产物和服务制造商。
其目标是通过在整个技术生命周期内评估和管理风险提供可行的发起来改善决议。
它提供以下方面的发起：
了解技术采购中的风险
它深入了解供应链攻击载体和不断演变的网络威胁，并为采购前和采购后的风险管理策略提供引导。
外部采购注意事项
它概述了评估制造商的透明度、证明和服从安全设计原则的最佳实践，并强调威胁建模、安全认证和确保产物互操作性。
内部构造评估
使采购决议与内部风险阈值、政策和安全基础办法保持同等的步骤。
安全设计和默认安全
它为技术制造商提供发起和引导，帮助他们在开辟产物时牢记安全设计和默认安全策略，并提供产物安全验证指南。
鼓励各构造整合以下做法：
进行彻底的购买前评估，使用文件的标题和标准来评估制造商的透明度、合规性和风险承受本领。
使用引导来设计强调生命周期安全、变乱管理和数据主权的内部政策和采购策略。
请参阅指南中列出的补充资源和标准以获得深入的技术支持。
本文件并不是一份放之四海而皆准的清单，而是一个可适应每个构造独特需求的机动框架。
该出版物是 ASD 的 ACSC、美国网络安全和基础办法安全局 (CISA)、加拿大网络安全中央 (CCCS)、英国国家网络安全中央 (NCSC-UK)、新西兰 NCSC 和韩国国家谍报局 (NIS) 合作的成果。
选择安全且可验证的技术
https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/outsourcing-and-procurement/cyber-supply-chains/choosing-secure-and-verifiable-technologies

• 介绍
  
• 第一部门——了解技术采购的风险
  
• 第二部门——外部采购思量因素
  
• 第三部门 - 内部采购思量事项
  
• 附录
  

我们鼓励高层领导阅读我们的《选择安全和可验证的技术——执行引导出版物》，这是该发起的执行择要，以便对安全技术做出更明智的评估和决议。

介绍

随着越来越多的网络威胁危及用户的隐私和数据，构造必须确保他们始终选择安全且可验证的技术。客户有责任评估购买和操作数字产物或服务的实用性、安全性和风险。然而，重要的是，客户越来越多地要求制造商接纳并提供设计和默认安全的产物和服务。通过这种方式，消费者可以提高他们的弹性，降低风险并降低与修补和变乱相应相干的成本。
当构造确定需要采购数字产物或服务时，必须思量产物或服务是否安全，以及在其指定的生命周期内是否能保持安全。安全性不敷或较差大概会使构造面对更多甚至无法控制的风险和更高的运营成本。主动将安全思量因素纳入采购流程有助于管理和显著降低风险并降低成本。
虽然采购构造应尽力提出本文发起的尽大概多的标题，但制造商大概需要时间来调整其举动和做法以提供充实的答案。终极，采购构造必须确保他们已经网络了足够的信息以做出明智的决定。
澳大利亚信号局的澳大利亚网络安全中央 (ASD 的 ACSC) 和以下国际合作搭档在本指南中提供了发起，作为选择安全和可验证技术的门路图：

• 网络安全和基础办法安全局 (CISA)
  
• 加拿大网络安全中央（CCCS）
  
• 英国国家网络安全中央（NCSC-UK）
  
• 新西兰国家网络安全中央（NCSC-NZ）
  
• 韩国国家谍报局 (NIS) 和 NIS 国家网络安全中央 (NCSC)
  

观众

本文针对以下人群撰写：

• 采购和使用数字产物和服务的构造。本文中也称为采购构造、购买者、消费者和客户。
  
• 数字产物和服务制造商。
  

应阅读本指南的关键人员包括但不限于构造高管、高级经理、网络安全人员、安全政策人员、产物开辟团队、风险顾问和采购专家。
本文旨在供所有读者完整阅读，以便：

• 向构造提供有关采购数字产物和服务的安全设计思量，从而做出更明智的评估和决议。
  
• 告知制造商数字产物和服务的安全设计注意事项，从而促进安全技术的开辟。本文为制造商提供了关键的安全标题以及他们可以预见到的客户期望。我们并不期望制造商可以或许回答本文中的所有标题。但是，他们仍应积极提供尽大概多的信息，并恰当地协助客户。
  

本文不是一份清单，不应被理解为提供绝对或完美的数字采购结果。相反，它旨在帮助采购构造在其自身运营情况中做出明智的、基于风险的决议。每个构造的结构和采购方法都是独一无二的，因此，本文中的每一项大概都不相干。别的，构造大概需要思量本文未涵盖的其他项目，这些项目大概是构造本身或其运营地点的行业或地区所特有的。
本文档假设读者具有中等水平的计算和网络安全知识。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4