專家智慧 用戶實踐
北京2022年6月21日 /美通社/ -- 6月18日,由數(shù)世咨詢���、CIO時代聯(lián)合主辦���,新基建創(chuàng)新研究院為智庫支持的"第二屆數(shù)字安全大會"線上啟動會圓滿落幕。
第二屆數(shù)字安全大會線上啟動會
本次啟動會在CIO時代聯(lián)合創(chuàng)始人兼COO�����、新基建創(chuàng)新研究院執(zhí)行秘書長劉晶���、數(shù)世咨詢創(chuàng)始人&CEO李少鵬的共同主持下���,隆重發(fā)布了《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》(以下簡稱《安全保護框架》),該框架是在中國信息協(xié)會信息安全專業(yè)委員會指導下�����,由PCSA安全研究院 、 數(shù)世咨詢 ���、 數(shù)說安全 �����、 CIO時代����、CIO時代安全學院開展聯(lián)合研究工作�����,基于數(shù)十個行業(yè)����、上百家安全運營單位以及行業(yè)安全專家,深刻總結(jié)提煉而成�����,為行業(yè)安全運營單位提供一個共性安全保護框架模型參考���。
線上啟動會現(xiàn)場
同時���,《數(shù)字安全十三大創(chuàng)新賽道領航者》和《2022中國數(shù)字安全百強》的獲評企業(yè)也逐一揭曉,大家在線上共同見證安全行業(yè)"實力派"與"網(wǎng)安新秀"的風采與風貌�����。
本次啟動會���,特邀了中國信息協(xié)會信息安全專業(yè)委員會主任葉紅蒞臨致辭���。葉紅在發(fā)言中介紹到:《安全保護框架》通過三年的持續(xù)完善,歷經(jīng)眾多安全專家點撥�����,經(jīng)歷數(shù)十個重要行業(yè)����、上百家安全運營單位落地實踐,凝聚各行業(yè)領先安全專家智慧���,聚合生態(tài)開放安全力量�����,在為網(wǎng)安產(chǎn)業(yè)���、行業(yè)用戶和安全從業(yè)者提供一個共性安全保護框架模型�����。
新時代帶來新趨勢����,需要提出新觀點�����,做到融合創(chuàng)新����、聚合能力,中國信息協(xié)會信息安全專業(yè)委員會愿意與安全產(chǎn)業(yè)界一起創(chuàng)新為數(shù)字中國�����、數(shù)字安全進行更好的知識分享����。
數(shù)字時代:基于行業(yè)最佳實驗的安全保護框架
為了讓大家更加深入理解安全保護框架的內(nèi)涵����,本次啟動會也從為什么需要新一代《安全保護框架》����、《安全保護框架》研究過程����、意見反饋與計劃、《安全保護框架》核心思想解讀等進行了三個篇章的解讀�����。
篇章一
為什么需要新一代《安全保護框架》
賽博英杰創(chuàng)始人兼董事長譚曉生圍繞"為什么需要新一代《安全保護框架》"這一話題���,詳細闡述了研究團隊出臺安全保護框架的初衷�����。
百年變局和世紀疫情交織疊加����,國際網(wǎng)絡安全形勢日益嚴峻,國內(nèi)安全監(jiān)管要求密集出臺����,嚴峻的安全形勢對安全運營單位的安全工作提出了越來越高的要求,引發(fā)"靈魂五問"的思考�����。
一問:如何應對嚴峻的國際網(wǎng)絡安全形勢���?
二問:如何落實頻發(fā)的國內(nèi)安全監(jiān)管要求���?
三問:如何有效融合新政策要求和現(xiàn)體系?
四問:如何匹配數(shù)字化轉(zhuǎn)型下的業(yè)務發(fā)展�����?
五問:如何構建網(wǎng)絡安全頂層及全局視角���?
研究團隊在深度思考"靈魂五問"的基礎上����,從價值意義、保護層次����、服務角色、核心要素和生命周期五個維度�����,對安全保護框架進行深度剖析����,得出了"延展五問"�����。
"一問"價值意義:安全保護框架匯聚了各行業(yè)實踐力量和各產(chǎn)業(yè)研究力量的經(jīng)驗與智慧�����,框架的發(fā)布將大力推動網(wǎng)絡安全知識共享�����、經(jīng)驗共享和智慧共享�����,做到共性頑疾共生解決。
"二問"框架層次:國家層面�����、行業(yè)層面���、公共及個人層面應建立不同的安全保護框架�����。而本次發(fā)布的安全保護框架主要聚焦于行業(yè)層面�����,為各行業(yè)的安全運營單位提供共性問題����、共性頑疾的解決方向及思路���。
"三問"服務對象:安全保護工作涉及國家監(jiān)管部門�����、行業(yè)監(jiān)管部門���、安全運營單位等多類角色����,而本次發(fā)布的安全保護框架主要服務于安全運營單位的安全決策層����、安全管理層、安全執(zhí)行層和安全運營層等對象�����。
"四問"核心要素:從覆蓋要素角度上來看����,安全保護框架主要囊括公共要素和共性要素���,為安全運營者提供明確的范圍邊界以及共性問題與頑疾的解決思路����,而行業(yè)特色要素將在行業(yè)安全保護框架中進一步研討����。
"五問"生命周期:本次發(fā)布的安全保護框架具備適度前瞻性和敏捷迭代性���,可指導安全運營者未來3-5年的安全建設、管理及運營工作�����,適應未來網(wǎng)絡安全形勢、技術的迅猛發(fā)展�����。
篇章二
《安全保護框架》研究過程及意見反饋
數(shù)世咨詢創(chuàng)始人&CEO李少鵬詳細闡述了《安全保護框架》的三年研究過程�����、意見征求反饋情況以及后續(xù)工作安排���。
從困惑到清晰,積木式沉淀完成《安全保護框架》�����。歷年來研究團隊深度參與數(shù)十個行業(yè)�����、上百家安全運營單位的落地實踐,自2019年起著手研討安全保護框架事宜���,持續(xù)開展多個專題研究����,逐步積淀形成《數(shù)字時代—基于行業(yè)最佳實踐的安全框架》�����。
安全場景研究:聚焦行業(yè)安全場景����,于2020年公開發(fā)布《年度紅藍攻防全景推演系列套圖》,全面刻畫網(wǎng)絡安全實戰(zhàn)攻防的全景對象和步驟推演���,受到業(yè)界高度認可。
安全模塊化研究:分模塊���、分領域地持續(xù)研究安全運營�����、資產(chǎn)安全���、風險�����、數(shù)據(jù)安全���、供應鏈安全等專題,形成了多個維度可落地的研究成果�����。
安全業(yè)務化研究:圍繞安全業(yè)務化目標���,深入研究安全管理及運營模式���,于2021年公開發(fā)布《關鍵信息基礎設施 三化六防掛圖作戰(zhàn)總體架構圖》,通過構建四層架構�����,實現(xiàn)一體化安全管理運營與指揮協(xié)同���。
安全框架研究:基于前期研究成果���,結(jié)合多年安全實戰(zhàn)經(jīng)驗�����,參考并借鑒國際安全保護框架優(yōu)秀思路���,經(jīng)歷持續(xù)大量的研討、推翻���、修訂的推演打磨���,最終形成《數(shù)字時代—基于行業(yè)最佳實踐的安全保護框架》。
多方征求意見����,持續(xù)迭代優(yōu)化完善《安全保護框架》。征求工作覆蓋了眾多關基運營單位和重要行業(yè)單位���,截至統(tǒng)計時間,共計對數(shù)十個行業(yè)300余家單位近500人進行意見征求���,征求反饋率達70%以上����。
經(jīng)進一步研討,約30%的來自電子政務���、國防科技�����、交通�����、金融����、科研院校����、能源、軟件和信息技術服務���、物流�����、醫(yī)療����、制造、媒體����、安全產(chǎn)業(yè)單位等12個行業(yè)的安全專家的有效建議予以采納。
研究團隊綜合梳理出四大類有效建議�����,并針對性開展了多輪優(yōu)化改善����。
- 根據(jù)各行業(yè)特點,細化具備行業(yè)特性的安全保護框架
- 進一步明確安全保護框架定位���、對象���、保護范圍
- 安全保護框架中四大支柱維度和粒度不統(tǒng)一
- 安全保護框架中體系結(jié)構及部分表達有待探討
《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》正式發(fā)布后,研究團隊將組織開展為期兩個月的持續(xù)線上研討和線下征求意見,并邀請行業(yè)專家����,就某行業(yè)特色����,開展專項研討,形成行業(yè)特色安全保護框架�����。
篇章三
《數(shù)字時代 - 基于行業(yè)最佳實踐的安全保護框架》核心思想解讀
PCSA安全能力者聯(lián)盟首席專家郭峰對本次發(fā)布的安全保護框架進行深入剖析���,詳細解讀了安全保護框架的目標定位和核心思想內(nèi)容�����。
新時代整體安全形勢從合規(guī)-走向?qū)崙?zhàn)-走向協(xié)同���,安全政策法規(guī)、標準規(guī)范密集出臺���,安全運營單位應接不暇�����,經(jīng)過多年的安全建設運營����,不同層級的安全人員面臨諸多安全困惑和安全問題,亟待需要一個安全保護框架模型���,深度融合安全戰(zhàn)略與業(yè)務發(fā)展�����、原安全體系與新監(jiān)管要求���,做到安全管理、技術與運營一體化�����、看管監(jiān)控一體化����、平戰(zhàn)融合一體化,以解決共性問題和共性頑疾����。
本次發(fā)布的安全保護框架聚焦服務對象����,面向行業(yè)安全運營單位����,從"宏觀-中觀-微觀"全局綜合視角出發(fā)���,總結(jié)凝練行業(yè)共性問題���、共性頑疾,形成共性經(jīng)驗���,為不同角色���、不同視角答疑解惑。
《安全保護框架》的核心思想可總結(jié)為"1-3-3-4"架構:
"1"個頂層指引:自上而下
在總體國家安全觀指導下���,嚴格遵循國家網(wǎng)絡空間安全戰(zhàn)略���、安全相關法律法規(guī)及標準規(guī)范、上級監(jiān)管部門及行業(yè)主管部門要求以及組織戰(zhàn)略。
"3"個安全體系:融合一體化
持續(xù)完善安全管理體系和安全技術體系����,構建安全運營體系,將安全管理指標化�����、安全技術生態(tài)化融入安全運營體系����,實現(xiàn)融合一體化。
"3"個保護層次:模塊化
基于不同的安全成熟度�����、保護對象重要程度以及體系建設完整度���,模塊化���、循序漸進完善安全保護,逐步搭建合規(guī)基礎�����、實戰(zhàn)強化、指揮協(xié)同三個保護層次�����,不斷夯實基礎合規(guī)����,有效支撐實戰(zhàn)對抗和決策指揮協(xié)同。
"4"個重要支柱:有效落地
在平戰(zhàn)結(jié)合一體化的安全常態(tài)化背景和看管監(jiān)控一體化的安全業(yè)務化趨勢下�����,確保充足的資源保障���,不斷提升安全能力,將成為安全保護工作的重要支柱����。
中國信息協(xié)會信息安全專業(yè)委員會副主任趙進延先生也就本次《安全保護框架》的線上發(fā)布進行了總結(jié)發(fā)言。
在中國信息協(xié)會信息安全專委會的指導下�����,PCSA安全研究院聯(lián)合數(shù)世咨詢����、數(shù)說安全�����、CIO時代���、CIO時代安全學院與數(shù)十家行業(yè)用戶專家一起,總結(jié)了多個行業(yè)十三五安全建設最佳實踐和十四五安全規(guī)劃的經(jīng)典案例����,開展了《新一代安全保護框架》深入研究,研究團隊2016年成立以來持之以恒實踐�����,深入研究安全領域的共性場景�����,共性問題����、共性頑疾和共性解決方案。
后續(xù)中國信息協(xié)會信息安全專業(yè)委員會將會組織感興趣的行業(yè)主管部門和安全運營單位一起研究具體的行業(yè)安全保護框架�����,更有特點、更具特色���、更貼實際���,循序漸進、切實落地�����。
CIO時代和新基建創(chuàng)新研究院作為業(yè)內(nèi)專業(yè)的CIO智庫和研究組織����,深諳CIO群體對產(chǎn)業(yè)安全的關注焦點���,協(xié)作配合了此次《安全保護框架》的意見征求工作�����,并收獲了來自電子政務���、國防科技����、建筑�����、交通�����、金融����、科研院校、運營商���、能源����、軟件和信息技術服務�����、物流���、醫(yī)療�����、制造等12個行業(yè)的眾多安全專家對于本次發(fā)布的安全保護框架均的寄語�����,各位專家都給予了高度評價和厚望���。
專家寄語精選(排名不分先后)
期待安全保護框架發(fā)布后����,能夠指導各行業(yè)高效構建先進����,完備的安全架構和安全運營體系,在國際安全形勢日趨嚴峻的大背景下���,在提升行業(yè)信息安全防護能力方面發(fā)揮更大的作用!進入本世紀20年代以來���,網(wǎng)絡安全問題在國家社會政治經(jīng)濟生活中變得更加突出�����,安全法律法規(guī)密集出臺����,安全框架種類繁多,在這樣的背景下���,《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》�����,融會貫通了安全政策����、管理���、技術���、運營等領域的最新進展,提出了共性的安全框架���,為安全生態(tài)中的各類組織提供了先進的通用參考框架����,具有非常重要的應用價值。
-- 中國建設銀行 金磐石老師
以5G為代表的新一代信息基礎設施支撐著數(shù)據(jù)經(jīng)濟的發(fā)展����,希望《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》,為各行業(yè)的高質(zhì)量發(fā)展提供指引�����,為新基建的高安全運營提供助力���。
-- 中國移動通信集團有限公司 張濱老師
我國網(wǎng)絡安全領域的法律法規(guī)相繼出臺�����,政策環(huán)境日益完善���。"數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架"匯總提煉國內(nèi)外網(wǎng)絡安全落地實踐優(yōu)秀成果,整合多方安全能力����,經(jīng)過深刻分析、討論�����、并征詢行業(yè)專業(yè)意見和建議����,開拓性提出有利于可供行業(yè)網(wǎng)絡安全工作落地見效的行動指南,對安全行業(yè)具有指導意義����。
-- 中國聯(lián)合網(wǎng)絡通信集團有限公司 孫世臻老師
《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》在系統(tǒng)梳理十三五時期關基行業(yè)和產(chǎn)業(yè)各方最佳安全實踐的基礎上,總結(jié)凝練形成了面向未來的"1-3-3-4"網(wǎng)絡安全保護架構���,內(nèi)容豐富���,層次清晰,邏輯嚴密����,具有較強的參考價值。
-- 中央國債登記結(jié)算有限責任公司 唐彬老師
《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》深刻總結(jié)提煉能源����、交通、金融等行業(yè)國內(nèi)外先進實踐經(jīng)驗,構建了"五個融合"一體化的安全保護框架�����,整合多方安全能力���,賦能新時代數(shù)字化建設����。對于做好網(wǎng)絡與信息安全工作�����,促進企業(yè)健康發(fā)展具有指導意義���。
-- 中國光大集團股份公司 李璠老師
"基于行業(yè)最佳實踐的安全保護框架"總結(jié)提煉了國際國內(nèi)網(wǎng)絡安全實踐優(yōu)秀成果����,結(jié)合我國法律及有關政策環(huán)境�����,創(chuàng)造性地提出了可供各行業(yè)落實國家網(wǎng)絡強國戰(zhàn)略的行動指南���。安全保護框架有助于解決各行業(yè)在加快推進數(shù)字化���、智能化轉(zhuǎn)型中存在的網(wǎng)絡和數(shù)據(jù)安全顧慮,能夠為各行業(yè)開展網(wǎng)絡安全工作和實施網(wǎng)絡安全規(guī)劃���、開展信息化項目建設提供切實有效幫助����。
-- 國務院國有資產(chǎn)監(jiān)督管理委員會 張聲宏老師
《數(shù)字時代:基于行業(yè)最佳實踐的安全保護框架》站在體系化�����、系統(tǒng)化的高度���,以網(wǎng)絡安全問題的產(chǎn)生���、預警、防護����、處置為主線,從法規(guī)�����、政策、標準���、資源配置���、人力資源、認證評估�����、新技術應用����、一體化運營等多要素出發(fā),總結(jié)了多年網(wǎng)絡安全保護的成功經(jīng)驗和最佳實踐�����,為進一步解決網(wǎng)絡安全技術和產(chǎn)品分散����、體系化不足、產(chǎn)業(yè)不夠發(fā)展����、運行保障模式陳舊等一系列重要問題進行了有益的探索�����,提出了基本框架����,具有很強的指導意義���。
-- 中國網(wǎng)絡安全審查技術與認證中心 王連印老師
報告成果為國內(nèi)近年來網(wǎng)絡安全發(fā)展準確把脈,提出的安全架構體系完善����,方向精準,能夠有效指導國內(nèi)企業(yè)網(wǎng)絡安全建設���。
-- 中國交通建設集團有限公司 劉學忠老師
框架綜合了國內(nèi)外政策法規(guī)標準和實踐����,規(guī)模宏大����,內(nèi)容豐富�����,信息量很大�����,涵蓋了各個層面工作以及管理和監(jiān)管���,技術和運營多個體系,實屬不易�����,對網(wǎng)絡安全中長期規(guī)劃和總體設計具有較好的指導性���。
-- 國家能源局 胡紅升老師
"安全保護框架"結(jié)合基礎保護要求���,在網(wǎng)絡安全實戰(zhàn)化條件下提出了"一體化"概念,并給出了行業(yè)最佳實踐�����,可以為企業(yè)的網(wǎng)絡安全體系建設提供有效的指導�����,并提升企業(yè)的威脅發(fā)現(xiàn)、監(jiān)測預警����、應急指揮、攻擊溯源能力���。希望本框架能夠發(fā)揮指引作用����,幫助更多的企業(yè)更快���、更好地開展網(wǎng)絡安全工作。
-- 北京市燃氣集團有限責任公司 王廣清老師
數(shù)字時代基于行業(yè)最佳實踐的安全保護框架�����,既有"一個頂層指引����、兩層基礎臺階、三個保護層級和安全體系�����、四個重要支柱"高屋建瓴的宏觀架構,在微觀處又有基于行業(yè)最佳實踐對三個保護層級�����,和三個安全體系中網(wǎng)絡安全保護框架建設要點的指引����,體現(xiàn)了數(shù)字新時代網(wǎng)絡安全行業(yè)專家的集體智慧,為國家關鍵信息基礎設施和重點行業(yè)網(wǎng)絡安全防護體系建設提供了全面細致的落地指導����。
-- 清華大學 諸葛建偉老師
任何理論都有它的適用性和局限性,安全保護框架也是如此����,正因多樣的、多姿多彩的各種安全框架存在�����,才讓網(wǎng)絡安全充滿魅力和無限可能���。
-- 平安科技(深圳)有限公司 劉凱老師
PCSA自2020年以來�����,相繼發(fā)布了"年度紅藍攻防全景推演系列套圖"���、"三化六防掛圖作戰(zhàn)解決方案"研究成果���,每次我都會認真學習研究,為網(wǎng)絡安全工作提供和很多思路和方向����。本次發(fā)布的"基于行業(yè)最佳實踐的安全保護框架",綜合梳理了網(wǎng)絡安全管理者�����、安全運營者在面對日益嚴格細致的合規(guī)要求以及常態(tài)化的網(wǎng)絡安全對抗環(huán)境下���,如何有效的將合規(guī)要求與實際場景進行結(jié)合,并且一步一步進階�����,在滿足合規(guī)的基礎上,實現(xiàn)體系化對抗能力����,從中也看到了一體化運營在其中發(fā)揮的巨大作用。該框架為關基單位開展網(wǎng)絡安全工作提供了基本的指導�����。希望PCSA未來不斷總結(jié)實踐經(jīng)驗�����,結(jié)合網(wǎng)絡安全發(fā)展特點���,推出更多有指導意義的網(wǎng)絡安全解決方案���。
-- 中國海油石油集團有限公司 王英梅老師
開拓進取,守護信息化的生命線����;
砥礪前行,鑄就網(wǎng)絡空間的萬里長城����。
-- 全國人大信息中心 呂植老師
在數(shù)字時代���,網(wǎng)絡安全涉及方方面面,需要從戰(zhàn)略和全局的視角來全面考慮和保障信息安全�����。編制組非常用心����,從法律法規(guī)、國家行業(yè)標準及各業(yè)務的最佳實踐入手���,全面梳理網(wǎng)絡安全從合規(guī)���、管理、技術�����、運營和實踐各方面�����,讓從業(yè)人員有一個全局�����、直觀�����、方便的了解國家�����、行業(yè)的政策和最佳實踐���,對自身應該如何實施網(wǎng)絡安全具有非常的指導意義�����。
-- 國家信息中心 邵國安老師
《基于行業(yè)最佳實踐的安全保護框架》可以網(wǎng)安產(chǎn)業(yè)����、行業(yè)用戶和安全從業(yè)者提供一個共性安全保護框架模型���,主要用于如下幾個方面:
一�����、為頒布新安全政策����、標準體系與現(xiàn)有安全合規(guī)基礎體系的融合銜接提供支撐;
二�����、為在新形勢下具備全局安全視野�����、識別關鍵要素���、突破共性問題提供路徑����;
三���、為在新時代滿足安全監(jiān)管要求���,逐步實現(xiàn)安全管理、安全技術和安全運營多體系融合����,實現(xiàn)看管監(jiān)控、平戰(zhàn)結(jié)合一體化提供方法����。
-- 國務院法制辦公室 孔祥清老師
在數(shù)字化轉(zhuǎn)型的時代背景下,"安全保護框架"給出了建立融合管理����、技術、運營為一體的安全體系����,值得各行各業(yè)仔細研讀,對照監(jiān)管要求和實戰(zhàn)需要���,補齊發(fā)展中的安全短板���,走上智能化協(xié)同保護之路。
-- 教育部 任昌山老師
"安全保護框架"層次分明���、結(jié)構清晰���、考慮全面����、管理與技術并重���,是對國家整體網(wǎng)絡安全工作的一次系統(tǒng)性解構����,希望可以繼續(xù)優(yōu)化完善���,為國家級企事業(yè)單位安全工作開展����、安全產(chǎn)業(yè)發(fā)展均提供有力指引����。
-- 生態(tài)環(huán)境部 秦宇老師
安全保護框架從全局的視角綜合考慮了安全保護工作的各個方面,構建數(shù)據(jù)資產(chǎn)化安全治理及資產(chǎn)安全運營是做好強化安全保護的重點和關鍵點����,數(shù)據(jù)價值從數(shù)據(jù)資源到數(shù)據(jù)資產(chǎn)到數(shù)據(jù)資本三個不同的發(fā)展階段,對應著不同的數(shù)據(jù)安全保護程度及保護能力�����,需要通過證據(jù)鏈的形式確認是否是合法權益方、交易方�����、授權方����,方可進行電子化�����、流程化的訪問控制���、產(chǎn)權轉(zhuǎn)移�����、數(shù)據(jù)流通等具體活動���。
-- 海關總署 劉滌西老師
數(shù)字時代保護框架基于行業(yè)最佳實踐,頂層設計邏輯性強����,架構層次關系清晰���,符合稅務行業(yè)安全體系建設需求,有較強的指導作用�����。
-- 國家稅務總局湖北省稅務局 秦宏老師
護航數(shù)字安全不遺余力���,助力數(shù)字經(jīng)濟行穩(wěn)致遠�����。希望數(shù)字安全大會的順利召開�����,能夠為企業(yè)筑牢數(shù)字安全的"銅墻鐵壁"�����,為數(shù)字經(jīng)濟的安全穩(wěn)定發(fā)展貢獻綿薄之力����。
期待"第二屆數(shù)字安全大會"的到來,7月23日北京見����。
當然,錯過本次啟動會直播的小伙伴可以關注CIO時代公眾號【CIO時代網(wǎng)】查看回放����。
