针对即将发布的网络安全指导原则

LSD

根据上周器审中心的培训，网络安全在原有征求意见稿的基础上又有了新动作，不光针对严重漏洞要进行第三方漏扫，还要求风险分析中引入威胁建模（Threat Modeling）的概念，即你的风险不光从新的网络安全22条里面分析考虑，更要以一种攻击者的思维去考虑网络安全的风险，所以在这里给大家推荐一个威胁建模工具，是属于微软开发的免费软件，当中有医疗器械的模板，里面按照自己产品的体系结构以及数据流程走向编制出工程图，然后软件可以自己分析出有哪些网络安全风险以及推荐的措施并且会按上述的内容输出报告作为自己风险分析的依据。链接如下：Microsoft Threat Modeling Tool 概述 - Azure | Microsoft Docs

LSD

上面的链接有点问题：https://docs.microsoft.com/zh-cn/azure/security/develop/threat-modeling-tool

正能量1

谢谢分享                                             

幻光啊丶

谢谢分享，关于网络安全这块一直没有理解应该做到哪种程度

LSD

幻光啊丶 发表于 2021-9-22 17:06
谢谢分享，关于网络安全这块一直没有理解应该做到哪种程度

其实以现在来说，就将网络安全指导原则提到的几个点做到就行，网络安全需求（现在可以没有），风险分析，管理计划，管理报告，网络安全测试计划，网络安全测试报告，描述文档，追溯报告。大部分审评现在只管维度，不管深度。但是第二版就不同了，开始向FDA靠齐

幻光啊丶

LSD 发表于 2021-9-22 17:17
其实以现在来说，就将网络安全指导原则提到的几个点做到就行，网络安全需求（现在可以没有），风险分析， ...

哈哈有这些文档，维度肯定够了。
另外请教下风险管理报告中的网络安全风险可以引用描述文档吗？

LSD

幻光啊丶 发表于 2021-9-23 17:57
哈哈有这些文档，维度肯定够了。
另外请教下风险管理报告中的网络安全风险可以引用描述文档吗？

没见过，好像反了，只有描述文档中写“见《网络安全风险管理报告》”，而且产品的风险管理报告和网络安全的风险管理最好分开，审评喜欢这样。

幻光啊丶

LSD 发表于 2021-9-24 17:32
没见过，好像反了，只有描述文档中写“见《网络安全风险管理报告》”，而且产品的风险管理报告和网络安全 ...

好的 谢谢，不懂IT网络安全确实比较难做

zxj8090

在延续注册的时候，会要求补网络安全部分吗？

LSD

zxj8090 发表于 2021-9-29 11:21
在延续注册的时候，会要求补网络安全部分吗？

我觉得要看产品了吧，看产品的预期使用环境，有些产品虽然和设备有数据交换，但是是单机部署，在这种情况下去做漏扫和渗透就挺离谱的。

小金库

谢谢分享。