Imaolabiyi/paybridge-cybersecurity-plan

GitHub: Imaolabiyi/paybridge-cybersecurity-plan

基于 NIST 网络安全框架为一家虚构的尼日利亚金融科技中小企业设计的完整网络安全规划,涵盖风险评估、控制措施、合规映射和验证方法。

Stars: 0 | Forks: 0

# paybridge-网络安全计划 **3MTT 网络安全 NextGen 队列 — 毕业项目** **作者:** Ima-obong Akinwumi Olabiyi ## 项目简介 本毕业项目为 **PayBridge Solutions Ltd.** 设计、规划和记录了一套全面的网络安全框架。该公司是一家虚构的位于拉各斯的金融科技中小企业,提供移动转账、账单支付、代理银行和小额贷款服务。该计划基于建立在 **NIST Cybersecurity Framework**(识别、保护、检测、响应、恢复)基础上的风险评估方法,保护客户数据、财务记录和支付基础设施免受勒索软件、网络钓鱼和数据泄露的威胁。 ## 仓库结构 ``` ├── PayBridge_Cybersecurity_Plan.docx # Full cybersecurity plan (main deliverable) ├── README.md # This file ├── docs/ │ ├── risk-register.xlsx # Detailed risk register with treatment status │ └── evidence/ # Scan reports, restore-test logs, screenshots ├── policies/ │ ├── information-security-policy.md │ ├── acceptable-use-policy.md │ ├── incident-response-runbook.md │ ├── data-retention-policy.md │ └── password-mfa-standard.md └── diagrams/ └── network-topology.png # Segmented network diagram (production/corporate/guest) ``` ## 计划摘要 | NIST 功能 | 关键控制措施 | |---|---| | **识别** | 资产清单,季度风险登记册审查,DPO 主导的治理 | | **保护** | MFA + RBAC,网络隔离,WAF,TLS/AES-256 加密,EDR + 补丁 SLA,安全意识培训 | | **检测** | 集中化日志记录,每月**带凭据的** OpenVAS/GVM 扫描,季度外部扫描,年度渗透测试,欺诈/异常检测 | | **响应** | NIST SP 800-61 六阶段事件响应计划,沟通矩阵,事件响应应急包,NDPR 72 小时违规通知 | | **恢复** | 分层备份策略(RPO 15 分钟 / RTO 4 小时),跨区域灾难恢复,年度灾难恢复桌面演练 | 完整的细节、风险评估矩阵、实施路线图,以及专门的**验证与确认**部分(将每项控制措施与其证明方式相对应,而不仅仅是文档记录)均在 `PayBridge_Cybersecurity_Plan.docx` 中。 ## 合规性对齐 - **NDPR**(尼日利亚数据保护条例) - **CBN 网络安全框架**(持牌支付服务提供商要求) - **PCI DSS**(通过代币化卡处理实现,不存储原始卡数据) ## 验证方法 本项目早期评估中反复出现的一个主题是证明补救措施,而不仅仅是描述它。本计划全面贯彻了这一经验教训: - **带凭据的漏洞扫描**(不仅是未经身份验证的扫描),以暴露真实的内部软件版本和补丁漏洞 - 每个已关闭漏洞的**修复前/后扫描证据** - 按既定周期进行的**备份恢复测试**,并记录结果 - **事件响应桌面演练**,根据既定的 SLA 衡量实际的遏制时间 证据工件(扫描截图、恢复日志、桌面演练总结报告)在生成后存放在 `docs/evidence/` 中。 ## 状态 - [x] 风险评估与资产清单 - [x] 已记录的“保护/检测/响应/恢复”控制措施 - [x] 包含沟通矩阵和应急包的事件响应计划 - [x] 验证与确认部分 - [ ] 证据工件(扫描截图、恢复日志)— 将在环境构建完成后添加 - [ ] 网络拓扑图导出 *这是为 3MTT 毕业项目创建的模拟业务;PayBridge Solutions Ltd. 是虚构的。*
标签:NIST CSF, 合规治理, 库, 应急响应, 底层编程, 灾难恢复, 网络安全规划, 金融科技