《数字时代一基于行业最佳实践的安全保护框架》 数十位产业、行业安全专家智慧结晶PCSA●数世咨询●数说安全●CIO时代/安全学院中国信息协会信息安全专业委员会 2022年6月18日联合出品 聚合中国关键安全能力,赋能数字智能时代 第三篇:《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 郭峰,北大硕士,中科大工程博士在读。PCSA安全能力者联盟首席专家,中国信息协会信息安全专业委员会理事,多个监管单位和中央部委安全专家库专家,央企安全联盟智库特聘安全专家,中国电科太极股份首席安全官,电科云特聘首席安全专家,药品监管信息化研究专业委员会委员。 二十余年服务监管单位、中央政府、中央企业,承担数百项网络安全重点工程,长年提供网络安全重保及服务。 承担网信办、国家发改委网络安全等多个专项课题,发表研究成果核心期刊和专业刊物、学术论文、观点等十余篇。 获得MCSE/TCSB/CCNA/CISP/SM信息系统/ITILV3Foundtion认 CISI/CISA等十余项专业认证。 近年致力于网络空间安全领域的研究与科技创新,聚焦关基安全、数据安全、供应链安全、资产安全、智能安全等。 研究背景:安全从合规走向实战&协同 智能化、智慧化 数据化数字化第三阶段:协同保护驱动 信息化体系化 第一阶段:合规基础驱动 2004-2016 第二阶段:实战强化驱动未来 等级保护2.0系列 新政策关基、数据、供应链安全等系列 监管部门推动新政策出台,组织实战演练 运营单位需要满足监管新要求,实现看管监控一体化,面对实战化,实现平战结合一体化,安全走向场景业务化、平台化、运营化,亟待解决多年共性问题顽疾,实现管理、技术、运营的体系融合一体化….. 网安产业需要研发新型安全能力,聚合基础资源,打造一体化弹性平台 总体安全观强化,新形式、新政策 监管部门协同关基单位、重要数据中心、重点行业、城市进行国防级协同保护联动 运营单位逐步完成基础安全、强化安全、协同安全建设,满足数字化转型,解决基础资源数据化、安全能力生态化,逐步实现自动化、智能化和智慧化的协同保护安全 网安产业AI+Sec智能化、信息情报共享、战略预警、多层协同监测、响应、分析与 防御实现是主要发展方向 2016年-十四五 等级保护系列 F级保护系列 监管部门推动完成基础合规、体系建设 运营单位完成基础安全管理、技术…… 网安产业初成长,研发安全点能力,局部突破安全线能力,合规推动产业发展。 安全政策:密集出台运营单位应接不暇 国际安全形势日趋严峻,监管日趋严格,安全法律法规密集出台,各行业开展十四五安全规划,如何进行多体系融合,需要一个能够参考的安全保护框架,将安全战略与业务发展融合,原体系与新要求融合,安全管理、技术与运营融合一体化,监管视角看管监控融合一体化,实战场景下的平战融合一体化。 等保 F保 密码 安全 商密 保护 供应链 安全 数据 安全 关基 安全 个人信 息保护 …… 监管要求:(新政策要求落实、与原基础如何融合) 刚性需求:(满足数字化转型、满足实际需求、满足实战化) 安全监管:看管监控一体化平战结合一体化安全体系:安全管理、安全运营、安全技术一体化 供应链清晰化保护对象范围界定资产动态化管管理及审查业务、数据、资产理及运营 数据安全管理及流动管控 实战化、智能化安全运营 …… 一个安全保护框架的重要性凸显: 融合一体化的安全保护框架 新监管要求、政策频出,如何有序落地 新监管要求、政策与现有安全体系如何融合 满足安全监管新要求:实现看管监控一体化 满足安全实战化趋势:实现平战结合一体化 满足行业数字化转型:实现安全管理、安全技术、安全运营融合一体化 …… 安全产业界 如何助力:安全标准?安全趋势?新需求?新安全能力…… 运营操作:资产?漏洞?安全能力?安全运营流程…… 模块化工作:安全闭环?处置效率?一体化?实战效果…… 战略一致性:保护对象?攻防状态?风险隐患?考核评价…… 全局视角:安全战略?安全投入?业务匹配度…… 安全运营单位 监管部门 安全保护框架 新时代 安全保护框架 安全业务化 安全模块化 安全场景化 如何落实:指导、监督、检查、保护、保卫、保障…… 安全工作:从困惑到清晰 角色 困惑及问题 持续研究 积木式积淀 安全决策层安全管理层安全执行层安全运营层 感谢:数十个产业、行业安全专家共同研讨,凝聚智慧结晶,形成较为清晰、可落地实践的安全保护框架! 安全保护框架的定位 安全运营单位 答疑解惑 行业共性 适度全局 不同角色不同视角不同困惑 共性问题共性顽疾共性经验 宏观全局中观架构微观要素 演示者 2022-07-0114:22:21 -------------------------------------------- 安全保护框架:“1-3-3-4”架构 一、“1”个顶层指引:自上而下 总体国家安全观:国家网络空间安全战略+(网络安全法律法规标准规范及监管要求、组织战略) 二、“3”个安全体系:融合一体化 安全管理体系、安全技术体系、安全运营体系 三、“3”个保护层次:模块化 合规基础保护层、实战强化保护层、指挥协同保护层 四、“4”个重要支柱:有效落地 资源保障、能力提升 安全常态化背景、安全业务化趋势 安全保护框架:“1”个顶层指引 一、总体国家安全观 涵盖16种安全:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全等于一体的国家安全体系 二、国家网络空间安全战略 维护国家网络空间主权、安全、发展利益,推动互联网造福人类,推动网络空间和平利用和共同治理 三、网络安全法律法规、标准规范、监管部门及行业主管部门要求、组织战略 法律法规标准规范:覆盖网络安全、数据安全、密码安全、个人信息保护、供应链安全、关键信息基础设施安全等主要方面 监管部门及行业主管部门要求:网信办、公安部、密码管理局、工信部、国资委、人民银行、能源局等监管部门及行业主管部门 组织战略:业务战略,数字化规划等 9 安全保护框架:“3”个安全体系 完善安全管理体系、安全技术体系,构建安全运营体系,实现安全管理、安全运营、安全技术的常态化运转 安全技术体系:梳理保护措施、整合防护手段、构建异构安全能力 安全管理体系:落实管理制度、优化管理组织、强化管理考核 安全运营体系:组建运营团队、制定运营流程、搭建运营平台 演示者 2022-07-0114:22:23 -------------------------------------------- 两个三对调 安全体系一体化:延伸、强化与融合 融合 融合 强化 延伸 延伸 融合:将安全管理体系、安全技术体系融入到安全运营体系,实现一体化运转 将安全管理体系中建立的各类制度标准、组建的团队人才融入安全运营体系,实现安全管理指标化、管理运营团队一体化 将安全技术体系中建立的各类安全能力探针融入到安全运营体系,实现异构安全能力生态化横向打通 强化 强化:面向体系化对抗,强化安全管理和安全技术要求,全面提升管理和技术能力 延伸:面向系统性风险,聚焦供应链安全,延伸安全管理和安全技术要求 安全保护框架:“3”个保护层次 基于不同的安全成熟度、保护对象重要程度、体系建设完整度,循序渐进完善安全保护。 指挥协同保护层:聚焦多场景、多角色、多视角下的联合协同(“海、路、空等多军种协同”),实现一体化指挥 实战强化保护层:重点强化高精尖装备配置(“侦查雷达、精准打击武器、导弹防御系统等”),提升情报侦察分析精准度和响应处置的效率 合规基础保护层:主要完成IT基础环境中供应链安全(“清洁的空气、干净的水、安全的食物”)和合规安全等基础工作(“城墙、步兵、弓箭手、陷阱、烽火台等能力”) 合规基础保护层:供应链安全 供应链安全:加强ICT供应链管理,落实网络安全审查要求,提升供应链条上网络产品及服务的安全保障能力 在安全管理层面,不断健全制度、完善机制、构建组织、梳理底账;在安全技术层面,通过准入验证、安全审查、动态监测、持续改进,形成有效闭环 面对供应商、第三方人员、信息服务、软件开发、系统硬件及系统软件等不同对象,有针对性地落实网络安全审查重点,从关键环节提升安全保护能力 合规基础保护层:合规安全 合规安全:通过等级保护、F级保护、数据安全、密码保护、商业秘密保护、个人信息保护等合规工作的开展,逐步积淀出安全管理体系、安全技术体系 安全管理体系:聚焦管理制度、管理组织、人员管理、建设管理、运维管理和考核管理等内容 安全技术体系:聚焦物理安全、网络安全、主机安全、应用安全、数据安全和平台安全等内容 实战强化保护层:重点关键点-资产安全运营 资产安全运营:建立以保护对象为核心的资产安全运营中心 保护对象由信息系统、云计算、工业控制系统、物联网、移动互联等向神经中枢演变 围绕保护对象,清晰梳理IT资产动态底账,绘制多层级、多维度的全视角资产画像 构建资产与业务、服务、端口、权责等细粒度的关联分析模型 实现轻量与全量、历史与实时、动态与静态的资产安全运营 实战强化保护层:重点关键点-数据安全运营 数据安全运营:建立以数据权益保护为核心的数据安全运营中心 明确数据管理和安全管理责权利,清晰分工和边界 在数据全生命周期保护的基础上,聚焦数据价值释放流动场景,明确流动角色、流动场景、流动阶段 紧抓数据分类分级分层保护、数据确权、主责数据控制与保护、流动安全监管、数据流动审计追溯等关键点,构建数据权益和数据交易证明链 打造数据安全运营中心,深度融合数据安全技术、管理、运营、监管,实现安全监管一体系、数据态势一张图,流动监管一条线 实战强化保护层:重点关键点-智能化安全运营 智能化安全运营:建立以智能化、实战化为核心的一体化安全运营中心 智能安全中枢:聚合可信任、可训练、可持续的数据,利用智能分析与算法对抗主引擎,构建由“认知域、神经域、识别域”组成的智能安全中枢 全维全域监测:建立横向到边、纵向到底全方位监测能力,实现能力生态化支撑下的多维度安全状态与风险的实时监测 快速持续响应:建立平战结合、多角色联动的快速持续响应能力,实现过程跟踪与闭环管理 精准研判预测:基于可信数据源,利用多类规则算法进行精准分析研判,预测事件发展趋势 动态纵深防御:根据研判预测结果,基于剧本自动化编排,对告警和风险进行多方式防御,动态评估技防策略 指挥协同保护层 协同保护落实监管:建立组织内部、与监管部门/行业主管部门、与行业单位之间的协同机制,实现安全场景化,支撑决策智慧化 组织内部协同:明确组织内部安全相关人员的责权利边界,细化基础分工,建立内部协同机制 监管部门、行业主管部门协同:从安全监管视角,协同指导、监督、检查、保护、保卫、保障工作 行业单位协同:基于各行业特性,建立行业运营单位看管监控一体化协同机制 信息共享:建立信息共享机制,实现安全事件、漏洞信息、情报信息、最佳实践等在组织内部、行业、监管部门之间的有效传递及共享 指挥协同:建立协同指挥机制,聚焦资源协同、能力协同、应急协同、生态协同等,实现组织内外部统一指挥协同及动态联动 安全保护框架:“4”个重要支柱—背景与趋势 安全常态化背景:平战结合一体化 平时:夯实日常工作,做好基础合规,重点强化 战时:侧重上下信息共享、指挥协同、预警通报 一体化:组织机构转换、流程精简快速 安全业务化趋势:看管监控一体化 看:看清全局关键资产、风险 管:管好保护对象边界、权责 监:监好安全事件处置全过程 控:控住全局安全防护的底线 安全保护框架:“4”个重要支柱—保障与提升 资源保障:确保战略层-组织层-资