《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 ·下

市场
2年前

本文作者:郭峰先生


注:欢迎各行业和产业安全专家反馈改进、共同完善、交流合作,信息反馈请发送邮件至:徐研究员xuyuhui@cnpcsa.org、淮研究员huaihuarui@cnpcsa.org。

 


声明:本文及框图《数字时代—基于行业最佳实践的安全保护框架》中涉及的内容,包括但不限于文本、图片、数据、表格、观点等各种形式,已取得相关著作权,严格遵循国家网络安全法律法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性经验,意在开展深度交流、学习及研讨。

科技创新、学无止境,尊重原创、尊重创新,转载、摘编使用本文图片、文字或观点等的应注明来源。未经授权许可,任何法人单位及个人不得用于商业目的使用。违反上述声明者,我司可追究其相关法律责任。



PCSA安全能力者联盟首席专家郭峰先生对本次发布的安全保护框架进行深入剖析,详细解读了安全保护框架的目标定位和核心思想内容。


一、《安全保护框架》聚焦面向行业安全运营单位


新时代整体安全形势从合规-走向实战-走向协同,安全政策法规、标准规范密集出台,安全运营单位应接不暇,经过多年的安全建设运营,不同层级的安全人员面临诸多安全困惑和安全问题,亟待需要一个安全保护框架模型,深度融合安全战略与业务发展、原安全体系与新监管要求,做到安全管理、技术与运营一体化、看管监控一体化、平战融合一体化,以解决共性问题和共性顽疾。


本次发布的安全保护框架聚焦服务对象,面向行业安全运营单位,从“宏观-中观-微观”全局综合视角出发,总结凝练行业共性问题、共性顽疾,形成共性经验,为不同角色、不同视角答疑解惑。


二、《安全保护框架》的核心思想:“1-3-3-4”架构


《数字时代—基于行业最佳实践的安全保护框架》的核心思想可总结为“1-3-3-4”架构。


数字时代02.png

 

“1”个顶层指引:自上而下


在总体国家安全观指导下,严格遵循国家网络空间安全战略、安全相关法律法规及标准规范、上级监管部门及行业主管部门要求以及组织战略。



“3”个安全体系:融合一体化


持续完善安全管理体系和安全技术体系,构建安全运营体系,将安全管理指标化、安全技术生态化融入安全运营体系,实现融合一体化。



“3”个保护层次:模块化


基于不同的安全成熟度、保护对象重要程度以及体系建设完整度,模块化、循序渐进完善安全保护,逐步搭建合规基础、实战强化、指挥协同三个保护层次,不断夯实基础合规,有效支撑实战对抗和决策指挥协同。



“4”个重要支柱:有效落地


在平战结合一体化的安全常态化背景和看管监控一体化的安全业务化趋势下,确保充足的资源保障,不断提升安全能力,将成为安全保护工作的重要支柱。



三、《安全保护框架》“1-3-3-4”架构解析


(一)“1”个顶层指引


在总体国家安全观的指导下,以国家网络空间安全战略为依据,遵循安全相关法律法规及标准规范,依据网信办、公安部、保密局、密码管理局、工信部、国资委、人民银行、能源局等监管部门及各行业主管部门相关要求,结合自身业务战略、数字化规划等,开展安全保护工作。


数字时代03.png

 

1、总体国家安全观


习近平总书记在2014年4月15日主持召开的中央国家安全委员会第一次会议并发表重要讲话中强调要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。构建涵盖16种安全于一体的国家安全体系:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全。


2、国家网络空间安全战略


《国家网络空间安全战略》阐明我国关于网络空间发展和安全的重大立场,指导中国网络安全工作,维护国家在网络空间的主权、安全、发展利益。国家网络空间安全工作涉及9项战略任务:坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作。


3、网络安全法律法规、标准规范、监管部门及行业主管部门要求、组织战略


法律法规标准规范:覆盖等级保护、数据安全、供应链安全、密码安全、个人信息安全、关键信息基础设施安全等主要方面。


监管部门及行业主管部门要求:贯彻落实网信办、公安部、密码管理局、工信部、国资委、人民银行、能源局等监管部门及行业主管部门相关安全要求。


组织战略:扎实落地业务战略、数字化规划等组织战略。


(二)“3”个安全体系


持续夯实安全管理体系、安全技术体系,构建安全运营体系,实现安全管理、安全运营、安全技术的常态化运转,满足监督、指导、检查、保护、保卫、保障要求。


数字时代04.png


 

1、安全管理体系


以安全日常管理线上化、流程化、精细化,考核评价标准化、常态化为目标,构建安全管理体系,优化安全管理制度(总纲-规范-细则/指南-流程表单),健全安全管理组织(决策层-管理层-执行层),加强安全人员管理(入职前-任职中-离岗后),逐级压实网络安全责任,强化考核评价机制,完善安全建设全生命周期管理(设计、采购、开发、实施、评测、验收、交付等)以及安全运维管理(环境、资产、介质、风险、变更、配置、事件处置等)。


2、安全技术体系


以安全防御体系化、安全系统平台化、安全建设生态化为目标,构建安全技术体系,覆盖传统应用与新技术应用场景,围绕物理安全、网络安全、主机安全、应用安全、数据安全和平台安全等各个方面,梳理保护措施,整合防护手段,构建异构安全能力,提升基础设施技术防护水平,促进网络安全防护“横到边、纵到底”。


3、安全运营体系


以安全运营一体化、安全分析智能化、协同指挥实战化为目标,构建安全运营体系,组建安全运营团队(运营决策-运营管理-运营执行),完善安全运营标准规范(运营管理类、运营任务类、运营技术类),细化安全运营流程及表单,搭建安全运营平台(多级联动及协同运营),建立应对攻防演练、重保、应急指挥、实战攻防、常态工作等不同场景的智能安全运营中心,夯实资产安全运营、数据安全运营和智能化安全运营能力。


4、安全体系一体化:延伸、强化与融合


数字时代05.png

 

(1)体系延伸


面向系统性风险,在安全合规工作的基础上,需要将安全管理和安全技术向下延伸、贯穿到ICT供应链安全管理,进一步健全制度、完善机制、构建组织、梳理底账,落实准入验证、安全审查、动态监测、持续改进,不断夯实供应链安全保护能力。


(2)体系强化


面向体系化对抗,在安全合规工作的基础上,需要将安全管理和安全技术向上强化到关键信息基础设施领域。安全管理层面强调进一步落实首席安全官制度、加强技能考核、落地安全保护计划、执行监督问责机制、强调多人专岗、培训教育等内容;安全技术层面强调进一步明确关键业务链识别、攻防演练、协同联控、仿真验证、有效性检测、威胁情报等内容,全面提升管理和技术能力。


(3)体系融合


安全运营体系离不开安全管理体系和安全技术体系的支撑。安全管理体系规范指导安全技术体系建设和安全运营工作开展,安全技术体系为安全管理体系和安全运营体系提供支撑工具和手段,安全运营体系则是利用人、经验、平台、流程,有效落地安全管理及技术要求。


在体系融合过程中,将安全管理体系中建立的各类制度标准、组建的团队人才融入安全运营体系,实现安全管理指标化、管理运营团队一体化;将安全技术体系中建立的各类安全能力融入到安全运营体系,实现异构安全能力生态化横向打通。


(三)“3”个保护层次


基于不同的安全成熟度,保护对象的重要程度(关基系统、核心重要信息系统、重要公共服务等)、体系建设完整度(弥补合规缺项、解决痛点问题、谋求安全引领等),确定安全运营单位安全保护层次,由此循序渐进完善安全保护。


数字时代06.png

 

合规基础保护层:主要完成IT基础环境中供应链安全(类比清洁的空气、干净的水、安全的食物等)和合规安全等基础工作(类比城墙、步兵、弓箭手、陷阱、烽火台等能力)。


实战强化保护层:重点强化高精尖装备配置(类比侦查雷达、精准打击武器、导弹防御系统等),提升情报侦察分析精准度和响应处置的效率。


指挥协同保护层:聚焦多场景、多角色、多视角下的联合协同(类比海、路、空等多军种协同),实现一体化指挥。


1、合规基础保护层:供应链安全


供应链中涉及各类软硬件产品、人员、组织、服务,其安全性、可靠性、可用性将极大影响安全运营单位网络安全工作的开展。对于安全运营单位来说,需要加强ICT供应链管理,严格落实网络安全审查要求,提升供应链条上网络产品及服务的安全保障能力,从源头解决安全隐患、风险。


数字时代07.png

 

加强ICT供应链管理:在安全管理方面,不断健全供应链管理制度、完善供应链管理机制、构建供应链管理组织、梳理供应链动态清晰底账;在安全技术层面,落实准入验证(销售许可、厂商能力、版本型号等)、安全审查(安全检测、风险测评、源代码安全审计等)、动态监测(资产底数、风险隐患、稳定性、可靠性等),并进行持续改进,形成有效闭环。


落实网络安全审查:面对不同对象,有针对性地落实网络安全审查重点,从关键环节提升安全保护能力。供应商:审核供应商与需求的匹配度、供应商的可靠性、稳定性、信誉度、透明度和能力成熟度;第三方人员:审查人员的身份背景、拥有的权限、具备的安全技能、是否签署保护协议等;信息服务:审查所提供的安全设计、安全建设、安全运行、评测审计等服务的合规性、满意度等;软件开发:审查开源代码/组件使用及安全情况、代码质量,落实上线前检测和持续动态评估等;系统硬件:审查硬件设备的稳定可用性、安全可靠性、冗余性、是否有备份、是否满足信创可控要求等;系统软件:审查软件的业务连续性、兼容适配性、是否执行安全加固、是否满足信创可控要求等。


2、合规基础保护层:合规安全


围绕等级保护、F级保护、数据安全、密码保护、商业秘密保护、个人信息保护等安全相关要求,开展基础保护建设工作,逐步积淀形成以合规为主的安全管理体系和安全技术体系。


各行业的安全运营单位在合规建设过程中,可结合自身行业属性,明确适配的合规要求,如央企运营单位需要满足商业秘密保护要求、金融运营单位需要满足人民银行、银保监会下发的各类监管要求。


数字时代08.png

 

3、实战强化保护层:重点关键点-资产安全运营


资产清晰化管理是做好网络安全工作基础的基础,为有效解决资产不清晰、不全面、不动态的共性顽疾,围绕被保护对象,建立资产安全运营中心,形成完整的资产安全运营机制流程,实现资产动态与静态、历史与实时、轻量与全量的两层落地运营管理,满足“资产底账清晰化、资产管理动态化、资产运营一体化”的目标。


数字时代09.png

 

明晰保护对象演变:随着网络安全形势的发展,保护对象已不再是传统单个的信息系统、云计算、工业控制系统、物联网等,其演变成“神经中枢”,以业务为核心,又可细分为业务中枢、数据中枢、平台中枢、安全中枢和运行中枢。


建立资产底账画像:采用手工、半自动、全自动等手段对资产进行准入准出管理,动态监测各类资产操作行为及活跃度,形成资产动态底账;从单一资产和全局资产视角多维度、多层面刻画资产的属性信息和分层关联。


建立资产多维关联:搭建资产关联分析模型,建立资产与业务、服务、端口、协议、组件、权责之间细粒度的关联关系,实现资产的精准定位与关联。


建立资产动态全景:从全局的视角,动态展示资产管理视图、组织视图、统计视图和操作视图,展现资产安全运营全景。


4、实战强化保护层:重点关键点-数据安全运营


数据作为新型生产要素,其重要程度不言而喻,《数据安全法》的正式施行,也标志着我国数据安全进入了全面安全监管时代,数据一旦泄露,会对单位形象、社会秩序和公共利益产生较大影响。因此,需要构建以数据权益保护为核心的数据安全运营中心,深度融合数据安全技术、管理、运营、监管,实现安全监管一体系、数据态势一张图,流动监管一条线,实现数据开发利用不违法、解决大量盲数据/僵数据/死数据带来的安全隐患、有效平衡数据开发利用与安全管控。


数字时代10.png

 

明晰数据阶段角色:清晰梳理数据价值阶段(资源阶段、资产阶段、流通阶段)、充分定义数据管理角色(数据生产者、所有者、提供者、使用者、运营者和监管者)、明确拆分数据管理和安全管理的分工、边界及权益(数据部门、安全部门和监管部门)、细致描绘数据流动场景(跨行业、跨区域、跨层级、跨部门/组织、跨应用、跨环境等)。


建立数据底账画像:采用手工、半自动、全自动等手段对数据进行准入准出管理、确权管理,动态监测各类数据操作行为及活跃度,形成数据动态底账,落实数据分类分级工作,绘制数据多维画像。


补充数据能力建设:依据数据安全需求,补充数据加密、脱敏、标签、水印等安全能力建设,配置相关安全策略。


落实数据流动监管:细致梳理访问控制关系,严格执行数据流动管控,绘制数据底账视图、数据流动视图、数据效益视图和数据安全视图,达到全程可视、状态可察、权益可管、权限可控和流动追溯。


数据权益和数据交易证明链:数据在权益认定环节、流动管控环节和数据交易环节,需要通过证据链的形式确认是否是合法权益方、交易方、授权方,方可进行电子化、流程化的访问控制、产权转移、数据流通等具体活动。


5、实战强化保护层:重点关键点-智能化安全运营


面对实战化网络安全形势,应对体系化对抗场景中的系统性风险,快速精准的发现异常、快速及时的响应处置是安全运营单位的核心诉求,因此需聚焦重点保护对象,建立以智能化、实战化为核心的一体化安全运营中心,强化“监测–响应–预测–防御”动态自动化闭环运转以及安全智能化分析能力,实现快速精准的一体化闭环智能对抗,缩减响应时间,降低损失。


数字时代11.png

 

全维全域监测:建立横向到边、纵向到底全方位监测能力,逐步覆盖暴露面、全网流量、主机安全、策略安全、用户行为、邮件安全、Web安全、终端安全、病毒防护、网站监测、边界监测、蜜罐监测等多个维度,实现能力生态化支撑下的安全状态与风险的实时动态、快速深度监测。


快速持续响应:建立平战结合、多角色联动的快速持续响应能力,明确平时响应和战时响应机制,定义流程节点和处置相关角色,执行严格的响应流程定义、发布、执行、跟踪、闭环,实现全过程跟踪与高效响应管理,为安全绩效考核提供数据指标支撑。


精准研判预测:建立多种关联分析规则算法与模型,基于多源监测的可信数据源的输入,通过对网络环境中存在的高可疑IP、ID、风险、事件、威胁等,进行专题研判与预测,分析处置优先级,溯源全攻击链条,通过叠加计算,实现精准预测。


动态纵深防御:基于剧本自动化编排,适配多种防御方式(自动、半自动、手动)落地,分析防御效果,评估影响范围及是否生效,从而协助动态评估、优化技防策略,并通过防御回滚,有效降低防御过程中的误操作概率和影响,实现主动防御、精准防御、快速防御、动态防御、适度反制。


智能安全中枢:建立安全大数据湖,从中提取可信任、可训练、可持续的数据,建立可信数据源平台,叠加智能分析与算法对抗主引擎,构建由“认知域、神经域、识别域”组成的智能安全中枢,与全维全域监测、快速持续响应、精准研判预测、动态纵深防御进行深度双向交互,对网络安全整体态势进行精准研判(NN)和演进研判((NN)N),为决策指挥提供智慧化信息与智能化动力支撑。


6、指挥协同保护层:协同保护落实监管


安全保护工作不仅需要安全运营单位落实好本单位安全责任,更需要与监管部门、行业主管部门以及其他相关部门之间的密切协同,建立组织内部、与监管部门/行业主管部门、与行业单位之间的信息共享与指挥协同,形成有效共享协同机制,实现安全场景化,支撑决策智慧化。


数字时代12.png

 

组织内部协同:明确组织内部安全相关人员的责权利边界,细化基础分工,建立内部协同机制。


监管部门、行业主管部门协同:从安全监管视角,协同指导、监督、检查、保护、保卫、保障工作。


行业单位协同:基于各行业特性,建立行业运营单位看管监控一体化协同机制。


信息共享:建立信息共享机制,实现安全事件、漏洞信息、情报信息和最佳实践等在组织内部、行业、监管部门及其他相关机构间的及时有效传递,为安全事件防范处置、漏洞修复、威胁应对和安全保护能力提升提供基础。


指挥协同:建立协同指挥机制,聚焦资源协同、能力协同、应急协同、生态协同等方面,实现组织内部、行业、监管部门及其他相关机构间统一指挥协同及动态联动。


(四)“4”个重要支柱


1、背景与趋势


在安全常态化背景下,持续完善三个保护层次、持续融合三个安全体系,逐步实现安全业务化,打造一体化的综合保障能力。


数字时代13.png

 

(1)安全常态化背景:平战结合一体化


聚焦被保护对象,“平时”夯实日常安全工作,提升安全管理和安全技术能力,做好常态化安全运营任务,针对重点保护对象,在合规保护的基础上,开展重点强化保护工作;“战时”侧重组织内部、与监管部门、行业主管部门、行业单位之间的信息共享、指挥协同及预警通报,加强实战对抗能力;“一体化”通过平时与战时组织机构的转换、响应机制的调整、处置流程的快速精简,最终达到监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化的目标,实现平战结合一体化。


(2)安全业务化趋势:看管监控一体化


,看得清数字化资产(被保护对象)的分布与边界,看得清实时攻击与防御,看得清风险隐患与应急处置,看得清组织管控与协同,看得清安全运行宏观全貌,做到心中有数。


,理得清数字化资产(被保护对象)的主责与主权,理得清重要资产、核心资产、一般资产,理得清谁在用、谁在管、谁在监、谁在控,理得清主责方、同责方、守责方,理得清组织管控与一体化协同执行机制,做到未雨绸缪。


,监得清数字化资产(被保护对象)的攻击方攻击源头,快速实现意图推理、态势研判、威胁预警、攻防评估,信息共享、体系对抗、能力调用、指挥协同、持续响应的反制方向,在多个关键场景和领域事前、事中、事后,全程持续动态的监控与识别,做到把握关键。


,守得住数字化组织智能中枢,守得住关键信息基础设施,守得住重要信息系统,做到阵地管控。


2、保障与提升


任何安全工作的开展均离不开能力提升和资源保障,资源保障是前提,能力提升是后盾。两者相辅相成,共同支撑安全保护。


数字时代14.png

 

(1)资源保障


从安全战略、组织机制、资金资源等层面提供持续不断的资源保障。安全战略层面,落实多机构、多部门、多角色、多环节的安全战略宣贯;组织机制层面,构建决策-管理-执行-运营四层组织架构,明确职责分工;资金资源层面,保持连贯性、延续性、敏捷迭代、弹性扩展的资金资源投入力度。


(2)能力提升


提升业务发展洞悉能力、强化安全同步能力、夯实软硬实力。洞悉业务愿景、数字化规划、行业特点及发展步调,具备安全与其发展相匹配的能力;坚持同步规划、同步标准、同步建设、同步使用的原则,做到各项平衡发展,强化安全四同步;提升安全意识,强化人才技能,打造平台工具,具备安全威慑能力,实现软硬实力共行。


赵进延先生:结束语


中国信息协会信息安全专业委员会副主任赵进延先生就本次安全保护框架的线上发布做致辞。


在中国信息协会信息安全专委会的指导下,PCSA安全研究院联合数世咨询、数说安全、CIO时代/安全学院与数十家行业用户专家一起,总结了多个行业十三五安全建设最佳实践和十四五安全规划的经典案例,开展了《新一代安全保护框架》深入研究,研究团队2016年成立以来持之以恒实践,深入研究安全领域的共性场景,共性问题、共性顽疾和共性解决方案。


1、2020年发布研究成果“年度安全攻防全景图”


2、2021年发布研究成果“关键信息基础设施一三化六防挂图作战总体架构图”


3、2022年发布研究成果“数字时代一基于行业最佳实践的安全保护框架”,提出“1334架构”,助力行业“安全业务实现看管监控一体化、安全目标实现平战结合一体化”,兼顾合规建设、实战落地、体系融合;构建“安全管理、技术、运营一体化”安全体系,达到完整、持续。


后续中国信息协会信息安全专业委员会将会组织感兴趣的行业主管部门和安全运营单位一起研究具体的行业安全保护框架,更有特点、更具特色、更贴实际,循序渐进、切实落地。


欢迎大家与中国信息协会信息安全专业委员会、研究团队保持密切联系。


相关下载:

01-谭晓生先生:为什么需要新一代《安全保护框架》.pdf

02-李少鹏先生:《安全保护框架》研究过程及意见反馈.pdf

03-郭峰先生:《数字时代—基于行业最佳实践的安全保护框架》核心思想解读.pdf


参考阅读

《数字时代—基于行业最佳实践的安全保护框架》核心思想解读 ·上

第二届数字安全大会618重磅开启!

第二届数字安全大会:13位重量级安全大咖解读数字安全

人机合智:第二届数字安全大会重磅启动