登录
2023.08.07
6974
联合国秘书长发布的“数字合作路线图”是全球普惠数字技术发展数字经济的引航灯塔,随着数字化的不断发展,安全行业正在超越传统网络安全范畴,升级为数字安全。
云安全联盟大中华区发布了《2022全球数字安全报告》(以下简称报告),报告基于云安全联盟大中华区提出的数字安全REE框架,调研了全球数字安全各领域的现状,并总结了优秀的实践、流行的技术和公认的数字安全提供商,还包括全球重要的法律、法规、标准,向读者介绍数字安全的发展概况。报告发现中国在数字时代为数字经济提供的数字安全保障走在了全球前列,希望该文件能成为政府与行业在数字安全方面的参考,帮助人们构建更加安全的数字环境。
报告核心内容
报告基于数字安全REE框架,通过调研全球数字安全各领域的现状,详细介绍了数字安全框架、数字安全规则层、数字安全执行层、数字安全评价层的具体内容。
数字安全定义
数字安全是指在数字时代与数字化相关的一切安全要素、行为和状态的集合,既包括保障数字经济的安全性,也包括将数字技术用于安全领域。数字安全以数字身份为核心,以原生安全为基础底座,涵盖了信息安全、网络安全、数据安全、隐私保护等领域或场景,并可扩展(如元宇宙安全、AI安全)。此外,数字安全还包括利用数字技术保障数字基础设施的物理安全。
数字安全定义视图
各领域的具体含义如下:
- 网络安全:保障网络系统的软硬件安全;
- 信息安全:保障一切有价值信息的安全;
- 数据安全:保障数据全生命周期的安全与合规;
- 隐私保护:保护用户的隐私与个人信息;
- 元宇宙安全:保障通过数字化形态承载的虚实相生、虚实相融的平行宇宙的安全,这是未来数字安全的主要扩展领域;
- 数字身份:作为连接安全与业务的基座,提供对所有的人、数字人、物、设备等的数字标识、认证、访问的全生命周期管理;
- 原生安全:原生安全是下一代互联网原生安全,包括云计算、大数据、AI、5G/6G、IoT、区块链、量子计算等新兴技术所涉及的系统的原生安全,它是数字安全的底座,需要硬件信任根的支持。
数字安全框架
REE数字安全框架
REE(Regulation, Execution, Evaluation)数字安全框架是云安全联盟大中华区正式发布的数字安全的定义的重要组成部分。该框架共分为规则层(数字安全框架的战略指引)、执行层(规则层落地所需的一切资源/工具及使用这些资源/工具的具体行动)和评价层(针对组织的数字安全成熟度 进行评估、验证及考核)三层。
REE数字安全框架
数字身份框架
数字身份是连接安全与业务的基座,当元宇宙兴起之时,数字身份更是连接现实世界和虚拟世界的标识和桥梁。
数字身份框架
原生安全框架
原生安全是指下一代互联网原生安全,包括云计算、大数据、AI、5G/6G、IoT、区块链、量子计算等新兴技术所涉及的系统的原生安全,是数字安全的地基,需要硬件信任根的支持。
原生安全框架
其他数字安全框架:网络安全是保障网络系统的软硬件安全,涉及的框架包括NIST-CSF、MITRE ATT&CK框架;信息安全是从体系上保障一切有价值信息的安全,涉及的框架主要有ISO27001、ISO/IEC 27002:2022、NIST SP 800-53 R5框架;数据安全保障数据全生命周期的安全与合规,涉及的框架主要有:GB/T 37988—2019 数据安全能力成熟度模型(DSMM);隐私保护保护用户的隐私与个人信息,涉及的框架主要是NIST隐私框架;元宇宙安全保障通过数字化形态承载的平行宇宙的安全,是未来数字安全的主要扩展领域,主要框架包括元宇宙操作系统框架等。
数字安全规则层
数字安全规则层是数字安全框架的战略指引,主要包含数字安全法律、数字安全治理、数字安全标准等内容。
数字安全法律概览
中国数字安全法律概览
建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。为保障公平规范的数字治理生态建设,中国近年来出台了多项国家政策、行业政策和地方政策,以完善法律法规体系,例如《网络安全法》、《个人信息保护法》、《数据安全法》、《密码法》等法律法规。
中国数字安全法律体系
主要国家和地区的数字安全法律概览
- 欧盟《通用数据保护条例(GDPR)》、《数字服务法》
- 美国《网络安全信息共享法(CISA)》、《澄清合法使用境外数据法案》、加利福尼亚州的《消费者隐私法案(CCPA)》
- 俄罗斯《俄罗斯联邦关键信息基础设施安全法》
- 日本《网络安全基本法》、《电信事业法》
- 韩国《个人信息保护法(PIPA)》、《电信业务法》
国际公约、多边与双边协定
- 联合国《打击网络犯罪公约》
- OECD《人工智能原则》
- 《全面与进步跨太平洋伙伴关系协定(CPTPP)》
- 《区域全面经济伙伴关系协定(RCEP)》
数字安全治理
数字安全治理属于组织治理的一部分,帮助组织在实现数字化转型过程中有效对抗各类数字安全风险,实现平滑过渡;保障组织在数字化转型后充分享受数字化带来的效率与收益,并以合理的成本控制数字安全风险。其驱动力主要来自于两个方面:1、合规、安全、隐私要求;2、组织自身运营要求。
数字安全标准
在全球数字经济大力发展的趋势下,全球各国都在积极推动数字经济安全相关标准的研究和编制工作,为数字经济告诉发展、安全发展、高质量发展提供了土壤,为强化数字经济安全提供了发展路径和技术指导。如ITU-T 《云服务客户数据安全指南》、ISO 27000系列安全标准、NIST 《个人可识别信息机密保护指南》、中国信息安全标准化技术委员会《个人信息安全规范》等。为了全球数字经济的健康发展,为了人类共同的数字化未来,国际范围内需要能广泛适用和认可的数字安全标准和实践。
数字安全执行层
数字安全执行层涵盖了规则层落地所需的一切资源/工具及使用这些资源/工具的具体行动,主要包括数字安全技术、数字安全方案/产品、数字安全服务、数字安全教育等内容。这一层需要解决数字安全技术的研究与进步、数字安全方案/产品的研发与应用、数字安全服务的开展 (如安全咨询、安全运营等)、数字安全人才的培育等方面的问题,是组织实现数字安全目标的核心。其中:
数字安全技术
数据清洗、数据分级分类、数据访问控制、数据安全审计、数据防丢失、数据加密、数据脱敏、数字版权、数据风险监控评估、数据溯源、数据删除、数据备份、隐私计算、数据沙箱、AI赋能数据安全等。
数字安全方案
网络层安全、主机层安全、安全战略、安全合规、数据安全治理、数据安全审计、隐私合规类、AI安全、特权访问管理类、原生安全类等。
数字安全产品
端点安全、网络安全、应用安全、数据安全、身份和访问管理安全、安全管理等领域产品。
数字安全服务
安全咨询服务、托管安全服务、云安全服务等安全服务。
数字安全教育
主要通过国际和国内两个信息安全专业认证体系开展。国际信息安全认证体系由CSA云安全联盟、ISACA国际信息系统审计协会、国际信息系统安全认证联盟、IAPP国际隐私专业协会、ISO/IEC 27001网络安全管理等。国内信息安全认证体系按照国内的发证机构区分,有公安部、中国信息安全产品测评认证中心、国家反计算机入侵和防病毒研究中心、人力资源和社会保障部、工业和信息化部这几大类。
数字安全评价层
评价层针对组织的数字安全成熟度进行评估、验证及考核,主要包含数字安全奖项、数字安全排行、数字安全认证、数字安全案例等内容。这一层需要通过安全认证/审计/测评等方式对组织的数字安全能力进行持续评估,从而促进持续改进和提升,实现从规则、执行、评价到改进的安全闭环。除此以外通过数字安全奖项、数字安全排行榜/象限及数字安全优秀案例分享的方式进行相关的市场宣传和引导,从而促进数字安全产业的发展。
数字安全奖项与排行
国内外具有代表性的大会及相关奖项的有:
- 云安全联盟大中华区的神兽方阵报告、CSAGCR大会奖项
- 中国网络安全产业联盟的中国网络安全市场竞争力报告、中国网安产业竞争力50强(CCIA 50强)
- Freebuf的CCSIP中国网络安全产业全景图
- IDC的IDC 年度全球CSO网络安全大会、CSO 20 Awards: 中国20大杰出安全项目
- Gartner的魔力象限
数字安全认证
数字安全认证指由认证机构证明产品、服务、组织等符合相关法律规范、技术标准的认定活动。数据安全认证主要通过第三方认证机构按照相关安全标准,客观评定数据处理行为的安全性。
认证类别有以下几点:
- 产品测评认证:物理安全认证、网络安全认证、数据安全认证、平台安全认证等;
- 服务安全认证:安全集成服务认证、风险评估服务认证、应急处理服务认证等;
- 组织安全认证:云安全联盟CSA的CAST认证、ISO 27701 隐私信息管理体系认证、汽车信息安全评估和数据交换认证TISAX等。
总结与展望
《2022全球数字安全报告》基于云安全联盟大中华区提出的数字安全 REE(监管、执行和评估)框架,根据数字安全定义分为不同域,涵盖了领先的框架、流行的技术以及公认的认证及服务提供商,还包括全球范围内的重要法律,目的在于简要介绍数字安全的全景。
随着全球数字化进程的蓬勃发展,技术和数据深度融合的数字化经济模式为许多行业带来了全新的思路与挑战。面对不断加剧的安全风险,单兵作战已经无法应对,保障数字安全需要打破各自为战局面,实现协同联防。数字安全不是一个单纯的技术问题,是涉及业务、管理、流程、团队等各方面的系统工程。数字经济的高质量发展涉及政策、法律、技术等多领域的协同,需要构建具备原生一体的安全能力,以数字安全可信为本,才能为数字时代保驾护航。
致谢
《2022全球数字安全报告》由云安全联盟大中华区专家组编写(以下排名不分先后)。
贡献者:李雨航、姚凯、陈欣炜、顾伟、洪重良、姜宁、刘玉红、张淼、王永霞、肖达、杨天识、杨喜龙、周杰、洪重良、高亚楠、刘洁、鹿淑煜、马超、林艺芳、余晓光、毛备、欧建军、吴贺、刘宇馨、袁明坤、原浩、张光治、郭春梅、方婷、李博、苏泰泉、田原、黄连金、贾良钰、吕鹂啸、郭鹏程
感谢以下单位对本报告的支持与贡献:
华云安、启明星辰、数安行、天融信、安恒信息、美创、华为、三未信安、腾讯、奇安信、缔安科技
本文作者:张淼,CSA大中华区专家
手机:19925407556
邮箱:info@c-csa.cn