标签归档:ENISA

ENISA报告《数据假名化:先进技术与使用案例》执行摘要

执行摘要

假名化是一种既定的、被接受的数据保护措施,在《通用数据保护条例》(GDPR)通过后,它得到了更多的关注,在该条例中,它被特别定义,并多次作为一种保障措施被提及。

ENISA在之前的工作中对该领域进行了探索,探讨了数据假名化的概念和范围,同时提出了一些基本的技术方法和实例来实现实践中的假名化。在这份新的报告中,ENISA通过讨论先进的假名化技术,以及来自医疗和网络安全等特定领域的具体使用案例,对过去的工作进行了补充。特别是,报告在基本假名化技术的基础上,研究了更复杂场景的高级解决方案,这些解决方案可以基于非对称加密、环签名和组假名、链式模式、基于多个标识符的假名、具有知识证明的假名和安全的多方计算。然后,它将这些技术中的一些技术应用于医疗领域,讨论不同实例中可能的假名化方案,同时也探讨了数据保管模式的可能应用。最后,研究了基本的假名化技术在常见的网络安全用例中的应用,如遥测和信誉系统的使用。

根据报告提供的分析,为所有相关利益方提供以下基本结论和建议。

继续阅读

ENISA《欧盟的网络安全技能发展情况》报告:执行摘要

翻译:DeepL

来源:https://www.enisa.europa.eu/publications/the-status-of-cyber-security-education-in-the-european-union

执行摘要

网络安全技能短缺(The cybersecurity skills shortage)是指劳动力市场上缺乏合格的网络安全专业人员,这对经济发展和国家安全都是一个问题,特别是在全球经济快速数字化的情况下。它对构成现代社会核心的数据、信息技术系统和网络构成了高度的威胁。这种短缺可以进一步分析为两个同时存在的问题:一个是量的问题,一个是质的问题。量性问题是指网络安全专业人才供不应求,不能满足就业市场的要求,而质性问题则是指专业技能不足以满足市场的需求。本报告主要探讨了网络安全教育体系的现状,以及无法吸引更多的学生学习网络安全专业,无法培养出具有正确的网络安全知识和技能的毕业生。报告认为,通过重新设计教育和培训途径,确定学生毕业后和进入劳动力市场后应具备的知识和技能,可以改善目前网络安全教育中的许多问题。本分析介绍了澳大利亚、法国、英国和美国四个国家——如何利用认证来重新思考网络安全学位。这些认证计划的建立有不同的目的。其主要目的包括:让更多的毕业生拥有可随时被产业界部署的技能,帮助雇主了解学生在学术生涯中培养出来的技能和知识,以及帮助人们选择学位选项。学位认证的最终影响是通过推广网络安全教育、研究和宣传,减少网络安全教育的影响。目前,这四个国家的国家主管部门已经对387个网络安全学位进行了认证。虽然流程和标准不同,但认证有一些共同点:

  • 有具体的重点和足够的学分专门用于网络安全课程和活动。
  • 结构化的课程,可能包括实践/培训部分或特定类型的考试和活动,如网络安全竞赛;
  • 高素质的师资队伍,其中可能包括来自产业界的讲师;
  • 更广泛的多学科/跨学科重点;
  • 外部外联活动以及与国家网络安全生态系统其他部分的合作;
  • 关于学位教育和就业结果的信息。

在此背景下,欧洲网络安全协会创建了网络安全高等教育数据库,这是一份欧洲经济区国家和瑞士的网络安全学位互动清单。该数据库旨在成为所有欧洲公民通过高等教育学位提升网络安全知识和技能的主要参考点。通过检查数据库,公民应该能够在网络安全教育和培训方面做出更多的决定,选择最适合自己需要的学位。在确定信息工作者和雇主可能认为最有用的是什么的时候,数据库从科学文献(本报告第3节)和国家主管部门在评定学位时使用的标准(第4节)两方面进行了大量的借鉴。本报告提出了三个主要考虑因素。

  • 网络安全学位认证(如第4节所示)可有助于制定全面的网络安全劳动力发展战略。这可能是重要的第一步,主要是因为它明确了教育系统应该灌输哪些知识和技能,从而明确了学生毕业后在组织中申请工作时,雇主可以期待什么。未来的研究对于确定认证对学生和雇主的主要好处,以及认证是否能有效地提供更多的技能型劳动力是至关重要的。
  • 然而,确定正确的知识和技能意味着什么只是一个更广泛的问题的一部分,其他几个因素使这个问题变得更加复杂。尽管认证可能是朝着正确的方向迈出了一步,但不能认为它是解决人才短缺问题的唯一办法。网络安全认证既是一个质的问题,也是一个量的问题,应该相应地解决这个问题。通过认证学位来提高网络安全专业毕业生的质量,当然可以让潜在的求职者更有就业能力,但如果专业人才的管道不够充裕,无法保证职位空缺,那是不够的。未来的研究应该确定哪些政策能够激励看起来很大一部分学生进入更有利于网络安全职业的学术和学习途径。
  • 最后,尽管本报告的重点在于此,但政策应超越仅针对国家教育和培训系统的举措。如果能将处理劳动力市场需求方面产生的问题的措施纳入其中,政策将大有裨益。目前,有大量证据表明,劳动力市场需求方的问题,如雇主不愿意对网络安全人力资本进行投资,以及高层次的入职要求等,都对网络安全技能短缺产生了影响。正因为如此,如果能找到缓解从教育系统向劳动力市场过渡的解决方案,从而鼓励雇主成为发展国家网络安全人才队伍的系统参与者,将特别有希望。

鉴于这些考虑,本报告建议进一步调查以下内容。

  • 网络安全学位认证对网络安全技能短缺的影响。对已经建立的国家认证的实施情况和结果进行严格和系统的分析,可以为其他国家可能的最佳实践提供启示。
  • 采用和推广ENISA的网络安全高等教育数据库。只有当数据库包括欧盟大多数网络安全学位时,该数据库才会成为公民和雇主的有用工具。如果能做到这一点,它还将有助于进一步分析欧盟网络安全教育的变化状况。
  • 欧盟网络安全技能短缺的性质和特点。本报告汇总了现有的数据,对欧盟的网络安全技能短缺有了更深入的了解,但同时也指出了缺乏细化的基本信息。由于在设计缓解短缺的政策之前,应该先对其进行充分的了解,因此在知识上仍有太多的空白需要填补。
  • 政策干预是最有效的是增加专业人才的渠道。要确保从量和质两个方面解决人才短缺问题,缓解战略中应包括确保有效增加专业人才梯队的措施。已经制定的一些政策,可以提高人们对网络安全职业的兴趣,但还需要更多地了解这些方案在多大程度上取得了成功,以及是否可以扩大这些方案的规模,以满足日益增长的劳动力市场需求。

网络安全高等教育数据库:https://www.enisa.europa.eu/topics/cybersecurity-education/education-map

ENISA漏洞披露政策模板

2016年1月18日,ENISA发布了名为Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations的报告。在报告附录中,提供了一份可供机构使用的《漏洞披露政策模板》。公司可以根据实际情况对政策进行定制化修改。

来源:https://www.enisa.europa.eu/publications/vulnerability-disclosure

1.安全和漏洞披露理念

在安全问题上,我们的用户是第一位的。

[xxx]致力于快速、谨慎地修复所有报告的安全漏洞,以保护用户的安全和隐私。

2.报告漏洞

注意:回复收件确认邮件是确保安全研究人员知道贵公司已收到报告的关键。您可以选择自动发送,或者添加一个免责声明,说明您的响应时间(见模板)。

3.好报告的要素

宁缺毋滥。

请以XX语言向我们提供详细的描述和简明扼要的指导,以便于安全漏洞的再现。

(如有必要,请提供截图)。

步骤应包括:

  • xxxxx
  • yyyyy
  • zzzzzz

4. 不符合要求的报告

不符合要求的报告:

  • 登录问题和密码问题
  • 拼写错误
  • HTTP 404页面
  • 垃圾邮件或涉嫌欺诈活动

不允许的行为:

  • DDoS攻击
  • 暴力破解攻击
  • 社会工程
  • 安装恶意软件
  • 对我们的系统进行任何更改(包括复制、更改和删除数据)
  • 与他人共享访问权

xxx@xxx.xxx 电子邮箱仅用于报告安全漏洞。如果您需要技术支持,请联系我们的支持服务台:yyy@yyy.yyy

5. 程序步骤和时间表

  • 当我们收到您的漏洞报告后,我们将采取一切必要的措施,迅速、透明地调查并解决当前的安全问题。
  • 虽然我們不能按照固定的时间表提供补丁,但我们承诺在每一个步骤中都会通知您。
  • 我们要求您对所有与漏洞相关的通信保密,以确保我们之间相互信任以及与我们合作发布补丁的灵活性,同时保证客户有足够的时间来部署该补丁。
  • 我们将在更新的发布说明中公开宣布漏洞,并会提到报告漏洞的人,除非研究者希望匿名。