《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 ·上
导读
缘起
安全监管单位:政策发布频率加快,监管要求日趋严格
安全运营单位:如何落实监管要求,新要求与原体系融合
安全产业单位:产业创新焦点明确,助力行业安全发展
安全已经走向业务化,如何将复杂的事情简单化,需要全局视角、业务视角,落实监管、行业创新、体系融合、一体化落地,多方呼唤出台新一代安全保护框架。
历程
安全业务《攻防真实场景》:2020年研究成果年度红蓝攻防全景推演系列套图
安全业务《模块与一体化》:2021年研究成果“看管监控一体化”安全中枢建设
安全业务《重点及关键点》:2021年研究成果关键信息基础设施 三化六防挂图作战总体架构图
安全业务《安全保护框架》:2022年研究成果《基于行业最佳实践的安全保护框架》
聚焦
共性顽疾:资产不清、风险不明、能力不足、防御无序等
共性问题:新要求与原体系融合路径/方法、一体化程度等
共性经验:安全业务场景化、模块化、体系化、融合化等
定位
宏观视角:具备全局性、科普性,聚焦行业安全运营单位
中观架构:逻辑结构分层模块化,共性经验解决共性顽疾
微观要素:抓重点关键点,实战对抗&资产&数据&供应链等
价值
开放共享:安全知识、安全经验、安全智慧,开放共享
体系融合:解决全局多维视角、新要求与原体系融合衔接
一体化:安全管理、技术和运营看管监控、平战结合一体化
计划
2019年8月-2022年5月,三年持续研究持续沉淀
2022年5月-6月,框架出台,开展大范围专家意见征求
2022年6月18日,正式公开发布
后续计划,多轮研讨、持续改进、落地行业
鸣谢
产业研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、数世咨询、数说安全、CIO时代/安全学院
行业实践力量:能源、金融、交通、电子政务、建筑、运营商、医疗、制造、科研院校、地方大数据局等众多行业及安全专家
叶红女士:指导单位致辞
中国信息协会信息安全专业委员会叶红主任就本次安全保护框架的线上发布做致辞。
一、《安全保护框架》历经三年
新一代安全保护框架的议题讨论缘起于2019年年中,三年多来持续完善,历经众多安全专家点拨,经历数十个重要行业、上百家安全运营单位落地实践,凝聚各行业顶级安全专家智慧,聚合生态开放安全力量,于2022年6月正式出台。旨在为网安产业、行业用户和安全从业者提供一个共性安全保护框架模型,用于:
二、《安全保护框架》凝聚了数十个重要行业安全专家智慧奉献
“安全保护框架”进入征求意见稿阶段,以关基运营单位和重要行业单位为基础,开展为期20天左右的安全专家意见征求工作。截至目前,共计对数十个重要行业300余家单位近500人进行意见征求,反馈率达70%以上,其中意见、建议及寄语分别约占10%、20%、40%。经研究团队进一步研讨,约30%的有效建议予以采纳。同时,众多专家给予了寄语和厚望。
三、《安全保护框架》核心内容将进行三个篇章的解读
为了让大家更加深入理解安全保护框架的内涵,后续将从为什么需要新一代《安全保护框架》、《安全保护框架》研究过程、意见反馈与计划、《安全保护框架》核心思想解读等方面展开介绍。
新时代带来新趋势,需要提出新观点,做到融合创新、聚合能力,中国信息协会信息安全专业委员会愿意与安全产业界一起创新为数字中国、数字安全进行更好的知识分享。
谭晓生先生:为什么需要新一代《安全保护框架》
赛博英杰创始人兼董事长谭晓生围绕“为什么需要新一代《安全保护框架》”这一话题,详细阐述了研究团队出台安全保护框架的初衷。
一、“灵魂五问”
百年变局和世纪疫情交织叠加,国际网络安全形势日益严峻,国内安全监管要求密集出台,严峻的安全形势对安全运营单位的安全工作提出了越来越高的要求,引发“灵魂五问”的思考。
二、“延展五问”
研究团队在深度思考“灵魂五问”的基础上,从价值意义、保护层次、服务角色、核心要素和生命周期五个维度,对安全保护框架进行深度剖析,引发“延展五问”。
李少鹏先生:《安全保护框架》研究过程及意见反馈
数世咨询创始人&CEO李少鹏详细阐述了《安全保护框架》的三年研究过程、意见征求反馈情况以及后续工作安排。
一、从困惑到清晰,积木式沉淀完成《安全保护框架》
历年来研究团队深度参与数十个行业、上百家安全运营单位的落地实践,自2019年起着手研讨安全保护框架事宜,持续开展多个专题研究,逐步积淀形成《数字时代——基于行业最佳实践的安全框架》。
安全场景研究:聚焦行业安全场景,于2020年公开发布《年度红蓝攻防全景推演系列套图》,全面刻画网络安全实战攻防的全景对象和步骤推演,受到业界高度认可。
安全模块化研究:分模块、分领域地持续研究安全运营、资产安全、风险、数据安全、供应链安全等专题,形成了多个维度可落地的研究成果。
安全业务化研究:围绕安全业务化目标,深入研究安全管理及运营模式,于2021年公开发布《关键信息基础设施 三化六防挂图作战总体架构图》,通过构建四层架构,实现一体化安全管理运营与指挥协同。
安全框架研究:基于前期研究成果,结合多年安全实战经验,参考并借鉴国际安全保护框架优秀思路,经历持续大量的研讨、推翻、修订的推演打磨,最终形成《数字时代——基于行业最佳实践的安全保护框架》。
二、多方征求意见,持续迭代优化完善《安全保护框架》
本次意见征求工作覆盖了众多关基运营单位和重要行业单位,截至统计时间,共计对数十个行业300余家单位近500人进行意见征求,征求反馈率达70%以上。
经进一步研讨,约30%的有效建议予以采纳,主要来自电子政务、国防科技、交通、金融、科研院校、能源、软件和信息技术服务、物流、医疗、制造、媒体、安全产业单位等12个行业的安全专家。经过综合梳理,建议可分为四大类,研究团队针对有效建议开展了多轮的优化完善。
根据各行业特点,细化具备行业特性的安全保护框架
进一步明确安全保护框架定位、对象、保护范围
安全保护框架中四大支柱维度和粒度不统一
安全保护框架中体系结构及部分表达有待探讨
此外,来自电子政务、国防科技、建筑、交通、金融、科研院校、运营商、能源、软件和信息技术服务、物流、医疗、制造等12个行业的众多安全专家对本次发布的安全保护框架均惠赠寄语,给予了高度评价和厚望。
三、后续工作安排
《数字时代—基于行业最佳实践的安全保护框架》正式发布后,研究团队将组织开展为期两个月的持续线上研讨和线下征求意见,并邀请行业专家,就某行业特色,开展专项研讨,形成行业特色安全保护框架。
02-李少鹏先生:《安全保护框架》研究过程及意见反馈.pdf
参考阅读