数字时代：基于行业最佳实践主责数据保护与流动安全

《数字时代一基于行业最佳实践的安全保护框架》 数十位产业、行业安全专家智慧结晶PCSA●数世咨询●数说安全●CIO时代/安全学院中国信息协会信息安全专业委员会 2022年6月18日联合出品 聚合中国关键安全能力，赋能数字智能时代 第三篇：《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 郭峰，北大硕士，中科大工程博士在读。PCSA安全能力者联盟首席专家，中国信息协会信息安全专业委员会理事，多个监管单位和中央部委安全专家库专家，央企安全联盟智库特聘安全专家，中国电科太极股份首席安全官，电科云特聘首席安全专家，药品监管信息化研究专业委员会委员。 二十余年服务监管单位、中央政府、中央企业，承担数百项网络安全重点工程，长年提供网络安全重保及服务。 承担网信办、国家发改委网络安全等多个专项课题，发表研究成果核心期刊和专业刊物、学术论文、观点等十余篇。 获得MCSE/TCSB/CCNA/CISP/SM信息系统/ITILV3Foundtion认 CISI/CISA等十余项专业认证。 近年致力于网络空间安全领域的研究与科技创新，聚焦关基安全、数据安全、供应链安全、资产安全、智能安全等。 研究背景：安全从合规走向实战&协同 智能化、智慧化 数据化数字化第三阶段：协同保护驱动 信息化体系化 第一阶段：合规基础驱动 2004-2016 第二阶段：实战强化驱动未来 等级保护2.0系列 新政策关基、数据、供应链安全等系列 监管部门推动新政策出台，组织实战演练 运营单位需要满足监管新要求，实现看管监控一体化，面对实战化，实现平战结合一体化，安全走向场景业务化、平台化、运营化，亟待解决多年共性问题顽疾，实现管理、技术、运营的体系融合一体化….. 网安产业需要研发新型安全能力，聚合基础资源，打造一体化弹性平台 总体安全观强化，新形式、新政策 监管部门协同关基单位、重要数据中心、重点行业、城市进行国防级协同保护联动 运营单位逐步完成基础安全、强化安全、协同安全建设，满足数字化转型，解决基础资源数据化、安全能力生态化，逐步实现自动化、智能化和智慧化的协同保护安全 网安产业AI+Sec智能化、信息情报共享、战略预警、多层协同监测、响应、分析与 防御实现是主要发展方向 2016年-十四五 等级保护系列 F级保护系列 监管部门推动完成基础合规、体系建设 运营单位完成基础安全管理、技术…… 网安产业初成长，研发安全点能力，局部突破安全线能力，合规推动产业发展。 安全政策：密集出台运营单位应接不暇 国际安全形势日趋严峻，监管日趋严格，安全法律法规密集出台，各行业开展十四五安全规划，如何进行多体系融合，需要一个能够参考的安全保护框架，将安全战略与业务发展融合，原体系与新要求融合，安全管理、技术与运营融合一体化，监管视角看管监控融合一体化，实战场景下的平战融合一体化。 等保 F保 密码 安全 商密 保护 供应链 安全 数据 安全 关基 安全 个人信 息保护 …… 监管要求：（新政策要求落实、与原基础如何融合） 刚性需求：（满足数字化转型、满足实际需求、满足实战化） 安全监管：看管监控一体化平战结合一体化安全体系：安全管理、安全运营、安全技术一体化 供应链清晰化保护对象范围界定资产动态化管管理及审查业务、数据、资产理及运营 数据安全管理及流动管控 实战化、智能化安全运营 …… 一个安全保护框架的重要性凸显： 融合一体化的安全保护框架 新监管要求、政策频出，如何有序落地 新监管要求、政策与现有安全体系如何融合 满足安全监管新要求：实现看管监控一体化 满足安全实战化趋势：实现平战结合一体化 满足行业数字化转型：实现安全管理、安全技术、安全运营融合一体化 …… 安全产业界 如何助力：安全标准？安全趋势？新需求？新安全能力…… 运营操作：资产？漏洞？安全能力？安全运营流程…… 模块化工作：安全闭环？处置效率？一体化？实战效果…… 战略一致性：保护对象？攻防状态？风险隐患？考核评价…… 全局视角：安全战略？安全投入？业务匹配度…… 安全运营单位 监管部门 安全保护框架 新时代 安全保护框架 安全业务化 安全模块化 安全场景化 如何落实：指导、监督、检查、保护、保卫、保障…… 安全工作：从困惑到清晰 角色 困惑及问题 持续研究 积木式积淀 安全决策层安全管理层安全执行层安全运营层 感谢：数十个产业、行业安全专家共同研讨，凝聚智慧结晶，形成较为清晰、可落地实践的安全保护框架！ 安全保护框架的定位 安全运营单位 答疑解惑 行业共性 适度全局 不同角色不同视角不同困惑 共性问题共性顽疾共性经验 宏观全局中观架构微观要素 演示者 2022-07-0114:22:21 -------------------------------------------- 安全保护框架：“1-3-3-4”架构 一、“1”个顶层指引：自上而下 总体国家安全观：国家网络空间安全战略+（网络安全法律法规标准规范及监管要求、组织战略） 二、“3”个安全体系：融合一体化 安全管理体系、安全技术体系、安全运营体系 三、“3”个保护层次：模块化 合规基础保护层、实战强化保护层、指挥协同保护层 四、“4”个重要支柱：有效落地 资源保障、能力提升 安全常态化背景、安全业务化趋势 安全保护框架：“1”个顶层指引 一、总体国家安全观 涵盖16种安全：政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全等于一体的国家安全体系 二、国家网络空间安全战略 维护国家网络空间主权、安全、发展利益，推动互联网造福人类，推动网络空间和平利用和共同治理 三、网络安全法律法规、标准规范、监管部门及行业主管部门要求、组织战略 法律法规标准规范：覆盖网络安全、数据安全、密码安全、个人信息保护、供应链安全、关键信息基础设施安全等主要方面 监管部门及行业主管部门要求：网信办、公安部、密码管理局、工信部、国资委、人民银行、能源局等监管部门及行业主管部门 组织战略：业务战略，数字化规划等 9 安全保护框架：“3”个安全体系 完善安全管理体系、安全技术体系，构建安全运营体系，实现安全管理、安全运营、安全技术的常态化运转 安全技术体系：梳理保护措施、整合防护手段、构建异构安全能力 安全管理体系：落实管理制度、优化管理组织、强化管理考核 安全运营体系：组建运营团队、制定运营流程、搭建运营平台 演示者 2022-07-0114:22:23 -------------------------------------------- 两个三对调 安全体系一体化：延伸、强化与融合 融合 融合 强化 延伸 延伸 融合：将安全管理体系、安全技术体系融入到安全运营体系，实现一体化运转 将安全管理体系中建立的各类制度标准、组建的团队人才融入安全运营体系，实现安全管理指标化、管理运营团队一体化 将安全技术体系中建立的各类安全能力探针融入到安全运营体系，实现异构安全能力生态化横向打通 强化 强化：面向体系化对抗，强化安全管理和安全技术要求，全面提升管理和技术能力 延伸：面向系统性风险，聚焦供应链安全，延伸安全管理和安全技术要求 安全保护框架：“3”个保护层次 基于不同的安全成熟度、保护对象重要程度、体系建设完整度，循序渐进完善安全保护。 指挥协同保护层：聚焦多场景、多角色、多视角下的联合协同（“海、路、空等多军种协同”），实现一体化指挥 实战强化保护层：重点强化高精尖装备配置（“侦查雷达、精准打击武器、导弹防御系统等”），提升情报侦察分析精准度和响应处置的效率 合规基础保护层：主要完成IT基础环境中供应链安全（“清洁的空气、干净的水、安全的食物”）和合规安全等基础工作（“城墙、步兵、弓箭手、陷阱、烽火台等能力”） 合规基础保护层：供应链安全 供应链安全：加强ICT供应链管理，落实网络安全审查要求，提升供应链条上网络产品及服务的安全保障能力 在安全管理层面，不断健全制度、完善机制、构建组织、梳理底账；在安全技术层面，通过准入验证、安全审查、动态监测、持续改进，形成有效闭环 面对供应商、第三方人员、信息服务、软件开发、系统硬件及系统软件等不同对象，有针对性地落实网络安全审查重点，从关键环节提升安全保护能力 合规基础保护层：合规安全 合规安全：通过等级保护、F级保护、数据安全、密码保护、商业秘密保护、个人信息保护等合规工作的开展，逐步积淀出安全管理体系、安全技术体系 安全管理体系：聚焦管理制度、管理组织、人员管理、建设管理、运维管理和考核管理等内容 安全技术体系：聚焦物理安全、网络安全、主机安全、应用安全、数据安全和平台安全等内容 实战强化保护层：重点关键点-资产安全运营 资产安全运营：建立以保护对象为核心的资产安全运营中心 保护对象由信息系统、云计算、工业控制系统、物联网、移动互联等向神经中枢演变 围绕保护对象，清晰梳理IT资产动态底账，绘制多层级、多维度的全视角资产画像 构建资产与业务、服务、端口、权责等细粒度的关联分析模型 实现轻量与全量、历史与实时、动态与静态的资产安全运营 实战强化保护层：重点关键点-数据安全运营 数据安全运营：建立以数据权益保护为核心的数据安全运营中心 明确数据管理和安全管理责权利，清晰分工和边界 在数据全生命周期保护的基础上，聚焦数据价值释放流动场景，明确流动角色、流动场景、流动阶段 紧抓数据分类分级分层保护、数据确权、主责数据控制与保护、流动安全监管、数据流动审计追溯等关键点，构建数据权益和数据交易证明链 打造数据安全运营中心，深度融合数据安全技术、管理、运营、监管，实现安全监管一体系、数据态势一张图，流动监管一条线 实战强化保护层：重点关键点-智能化安全运营 智能化安全运营：建立以智能化、实战化为核心的一体化安全运营中心 智能安全中枢：聚合可信任、可训练、可持续的数据，利用智能分析与算法对抗主引擎，构建由“认知域、神经域、识别域”组成的智能安全中枢 全维全域监测：建立横向到边、纵向到底全方位监测能力，实现能力生态化支撑下的多维度安全状态与风险的实时监测 快速持续响应：建立平战结合、多角色联动的快速持续响应能力，实现过程跟踪与闭环管理 精准研判预测：基于可信数据源，利用多类规则算法进行精准分析研判，预测事件发展趋势 动态纵深防御：根据研判预测结果，基于剧本自动化编排，对告警和风险进行多方式防御，动态评估技防策略 指挥协同保护层 协同保护落实监管：建立组织内部、与监管部门/行业主管部门、与行业单位之间的协同机制，实现安全场景化，支撑决策智慧化 组织内部协同：明确组织内部安全相关人员的责权利边界，细化基础分工，建立内部协同机制 监管部门、行业主管部门协同：从安全监管视角，协同指导、监督、检查、保护、保卫、保障工作 行业单位协同：基于各行业特性，建立行业运营单位看管监控一体化协同机制 信息共享：建立信息共享机制，实现安全事件、漏洞信息、情报信息、最佳实践等在组织内部、行业、监管部门之间的有效传递及共享 指挥协同：建立协同指挥机制，聚焦资源协同、能力协同、应急协同、生态协同等，实现组织内外部统一指挥协同及动态联动 安全保护框架：“4”个重要支柱—背景与趋势 安全常态化背景：平战结合一体化 平时：夯实日常工作，做好基础合规，重点强化 战时：侧重上下信息共享、指挥协同、预警通报 一体化：组织机构转换、流程精简快速 安全业务化趋势：看管监控一体化 看：看清全局关键资产、风险 管：管好保护对象边界、权责 监：监好安全事件处置全过程 控：控住全局安全防护的底线 安全保护框架：“4”个重要支柱—保障与提升 资源保障：确保战略层-组织层-资