数字安全框架首发|数字经济腾飞,数字安全护航
2022.03.11
3655
数字经济被誉为第四次工业革命的 “钥匙”,已经成为全球经济复苏的新引擎,成为国家发展新征程的助推器和国家级战略。《 “十四五”数字经济发展规划》指出:2025年数字经济将进入全面扩展期,2035年数字经济将进入繁荣成熟期。
数字经济的发展离不开健全的数字经济治理体系和可靠的数字经济安全体系。为了助力数字经济安全发展,国际云安全联盟大中华区联合各界安全精英经过一年的精心打磨,于 2022年3月11日正式发布数字安全框架。该框架涵盖了数字安全的定义、 REE( R egulation, E xecution, E valuation)数字安全框架、数字身份框架和元安全框架。具体内容如下:
数字安全的定义 Definition of Digital Security
数字安全 是指在数字时代与数字化相关的一切安全要素、行为和状态的集合,既包括保障数字经济的安全性,也包括将数字技术用于安全领域。数字安全以数字身份为核心,以元安全为基础底座,涵盖了信息安全、网络安全、数据安全、隐私保护等领域或场景,并可扩展(如元宇宙安全)。除此之外,数字安全还包括利用数字技术保障数字基础设施的物理安全。 虽然数字安全更偏重数字经济与数字技术,但是它与偏重国家网络主权的网络空间安全(Cybersecurity)在法律、标准、技术上也是相通的。数字安全的定义如图1所示:
图 1 数字安全的定义
网络安全 (Cyber Security): 保障网络系统的硬件、软件的安全,负责人是CSO、CTO等。
信息安全 (Information Security): 保障一切有价值信息的安全,负责人是CISO、CIO等。
数据安全 (Data Security): 保障数据全生命周期的安全与合规,负责人是CDO、CIO、CISO、CSO等。
隐私保护 (Privacy Protection): 保护用户的隐私与个人信息,负责人是CPO、DPO等。
元宇宙安全 ( Metaverse Security):保障通过数字化形态承载的虚实相生、虚实相融的平行宇宙的安全,也是未来数字安全的主要扩展领域。
数字身份 (Digital Identity):作为连接安全与业务的基座,提供所有的人、数字人、物、设备等的数字标识、认证、访问全生命周期管理。
元安全 (Meta Security): 元安全是下一代互联网原生安全,包括云计算、大数据、AI、5G/6G、IoT、区块链、量子计算等新兴技术所涉及的系统的原生安全,它是数字安全的底座,需要硬件信任根的支持。
REE数字安全框架 REE Digital Security Framework
REE数字安全框架共分为规则层、执行层、评价层三层 ,详情如图 2所示:
图 2 REE数字安全框架
规则层 ( Regulation Layer):规则层是数字安全框架的战略指引,主要包含数字安全法律、数字安全治理、数字安全标准等内容。这一层需要解决数字安全法律、法规、规章、政策、监管、标准等问题,为组织的数字安全建设与合规治理提供策略指导。
执行层 ( E xecution Layer)执行层涵盖了规则层落地所需的一切资源/工具及使用这些资源/工具的具体行动,主要包括执行数字安全技术、数字安全方案/产品、数字安全服务、数字安全教育等内容。这一层需要解决数字安全技术的研究与进步、数字安全方案/产品的研发与应用、数字安全服务的开展(如安全咨询、安全运营等)、数字安全人才的培育等方面的问题,是组织实现数字安全目标的核心。
评价层 ( E valuation Layer ):评价层针对组织的数字安全成熟度进行评估、验证及考核,主要包含数字安全奖项、数字安全排行、数字安全认证、数字安全案例等内容。这一层需要通过安全认证/审计/测评等方式对组织的数字安全能力进行持续评估,从而促进持续改进和提升,实现从规则、执行、评价到改进的安全闭环。除此以外通过数字安全奖项、数字安全排行榜/象限及数字安全优秀案例分享的方式进行相关的市场宣传和引导,从而促进数字安全产业的发展。
数字身份框架 Digital Identity Framework
数字身份 是连接安全与业务的基座,提供所有的人、数字人、物、设备等的数字标识、认证、访问全生命周期管理,详情如图 3(参考国际身份安全联盟)所示:
图 3 数字身份框架
当元宇宙兴起之时,数字身份更是连接现实世界和虚拟世界的标识和桥梁。
元安全框架 Meta Security Framework
元安全 是指下一代互联网原生安全,包括云计算、大数据、 AI、5G/6G、IoT、区块链、量子计算等新兴技术所涉及的系统的原生安全,是数字安全的地基,需要硬件信任根的支持。元安全的特点包括安全与产品融合,具有硬件可信根,零代理不需安装,匹配可信计算环境,核心软件可形式化验证,主动检测动态防御(防勒索能力,防病毒能力,防APT能力,防DDOS能力等),可信启动与安全度量等。元安全框架如图4所示:
图 4 元安全框架
无处不在的可信 AI : 通过可信 AI实现安全监控、入侵检测、态势感知、恶意代码检测、代码审计、漏洞挖掘、访问控制、业务风控、反欺诈、黑灰产识别、内容识别等安全能力。
云原生安全: 云基础设施及云平台的原生的安全能力,包括但不限于容器,无服务器 Serverless( FaaS函数即服务),微服务, CI/CD,DevOps等的安全性。
区块链原生安全: 包括数据层、网络层、共识层安全(即区块链可信基础设施),激励层、合约层、应用层安全,以及分布式数字身份等。
无线通信 (5G/6G)原生安全: 通过身份认证安全、接入控制安全、通信安全、软件定义安全、数据加密等关键技术构建安全的 5G/6G网络,实现“主动免疫,弹性自治,虚拟共生,泛在协同”的愿景。
物联网原生安全: 从云、管、端三个层面保障物联网平台 /应用、网络和终端设备的安全性。
量子原生安全: 构建量子通信和量子计算的安全免疫系统,用量子安全应对未来的量子计算攻击,保障后量子世界的安全。
数字经济发展所需要的任何基础设施和基础技术(包括传统技术和新兴技术)都应具备原生安全能力,不过这对相关软硬件产业链和供应链的各环节都提出了更高的要求。
在数字经济高速发展过程中会不断的产生新兴技术,这些新兴技术在孕育新的业务形态的同时也会带来新的安全挑战和风险,进而导致新的法律和监管要求的诞生。这些变化最终必然会导致数字安全治理与合规的成本增加。
此次CSA大中华区首发数字安全框架,旨在与业界伙伴共享数字经济发展历程中的数字安全领域全新认知成果。同时也希望该框架能为您的安全建设和安全合规提供有效的参考和帮助。
如果您对该框架有任何意见或建议也欢迎随时反馈给我们(意见反馈至邮箱: research@c-csa.cn),CSA大中华区将持续完善和优化该框架,并努力推进框架在数字安全领域发挥应有的作用。最后感谢为该数字安全框架作出贡献的所有专家!
有兴趣参与共同研究的企业、专家、从业人员,欢迎加入CSA GCR,共同研究。