當前位置：首頁 > 報告詳情

CSA GCR：2022全球數字安全報告（170頁）.pdf

上傳人：破*** 編號：123352 2023-04-23 PDF PDF 170頁 3.20MB

文檔加載中……請稍候！
如果長時間未打開，您也可以點擊刷新試試。

下載報告到電腦，查找使用更方便

VIP專享文檔

書簽

分享

收藏

已收藏

版權投訴

/170

立即下載

報告標簽

：全球數字安全報告全球數字安全分析

word格式文檔無特別注明外均可編輯修改，預覽文件經過壓縮，下載原文更清晰！

三個皮匠報告文庫所有資源均是客戶上傳分享，僅供網友學習交流，未經上傳用戶書面授權，請勿作商用。

《CSA GCR：2022全球數字安全報告（170頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2022全球數字安全報告（170頁）.pdf（170頁珍藏版）》請在三個皮匠報告上搜索。

1、 2023 云安全聯盟大中華區版權所有1 2023 云安全聯盟大中華區版權所有4致謝致謝本白皮書由 CSA 大中華區專家撰寫，感謝以下專家的貢獻：貢獻者名單：貢獻單位：李雨航姚凱陳欣煒方婷高亞楠顧偉郭春梅洪重良姜寧李博林藝芳劉潔劉宇馨劉玉紅鹿淑煜馬超毛備歐建軍蘇泰泉田原王永霞吳賀肖達楊天識楊喜龍余曉光袁明坤原浩張光治張淼周杰郭鵬程黃連金賈良鈺呂鸝嘯北京華云安信息技術有限公司北京啟明星辰信息安全技術有限公司北京數安行科技有限公司北京天融信網絡安全技術有限公司杭州安恒信息技術股份有限公司杭州美創科技有限公司華為技術有限公司三未信安科技股份有限公司騰訊云計算（北京）有限責任公司 2023 云安全聯盟

2、大中華區版權所有6引言引言世界正以“比我們所能預測的更快的速度”從模擬技術向數字技術轉變，這既帶來了巨大希望，也帶來了一些風險。新冠病毒大流行放大了數字世界的許多好處和危害。技術加強了醫務人員的救生能力，允許企業遠程操作等，同時技術也被嚴重濫用，仇恨言論、歧視和虐待正在數字空間蔓延。聯合國“數字合作路線圖”主要內容包括推動數字通用連接、促進數字技術成為公共產品、保證數字技術惠及所有人、支持數字能力建設、保障數字領域尊重人權、應對人工智能挑戰、建立數字信任和安全。路線圖的首要目標是“連接、尊重和保護數字時代的人們”。有了正確的數字政策，數字技術才能前所未有地推動聯合國可持續發展目標，特別是對于最

3、貧窮的國家，但這需要更多的連接性和更少的數字碎片，更多跨越數字鴻溝的橋梁，和更少的障礙，普通人有更大的數字自主權，減少數字濫用和虛假信息。很明顯，如果沒有指導和護欄，數字技術也有巨大的危害潛力從壓制言論自由到跨境惡意干擾，以及對在線人群（主要是女性）的攻擊和騷擾。因此，我提出了一項全球數字契約，旨在為所有人創造一個開放、自由、包容和安全的數字未來，各國政府將在 2024年聯合國未來峰會上達成一致，并征求科技公司、民間社會、學術界和其他方面的意見。2023 云安全聯盟大中華區版權所有7序言序言聯合國秘書長發布的“數字合作路線圖”是全球普惠數字技術發展數字經濟的引航燈塔，隨著數字化的不斷發展，安全

4、行業正在超越傳統網絡安全范疇，升級為數字安全。秘書長于 2021 年 9 月發布了我們的共同議程報告，提出將在聯合國未來峰會上通過技術軌就全球數字契約達成一致。全球數字契約將成為“所有人共享開放、自由和安全的數字未來的共同原則”。國際云安全聯盟大中華區對支持聯合國秘書長的數字合作路線圖與全球數字契約的落地起到了重要作用，本報告對“數字合作路線圖”中的數字信任和安全提出了治理框架，并調研了全球各國的實施現狀，報告發現中國在數字時代為數字經濟提供的數字安全保障走在了全球前列。聯合國科協與技術促進發展委員會與各成員國建議讀者們吸取這些優秀實踐，例如全球數字安全框架、新一代數據安全思考、中國神獸方陣報

5、告、零信任理念、CAST 與 CNST 等，在全球范圍共同建立數字信任和安全。在復雜的國際形勢下，希望各方凝聚共識，推動合作，為經濟復蘇、攜手應對全球挑戰注入信心，聯合國科技委期待中國為推動數字經濟與數字科技的開放、包容、平衡、普惠發展貢獻智慧和力量。2023 云安全聯盟大中華區版權所有8前言前言隨著數字經濟、數字政府、數字社會等的快速發展，我們正處于數字時代。數字技術和數據不僅帶來了新的理念、機遇和好處，也給所有國家帶來了挑戰、威脅和風險。消費者的數據安全和隱私保護已經從線下轉移到線上，海量數據也引發了數個數據安全管理問題。隨著數字技術為社會經濟服務的范圍和深度越來越大，安全問題的后果將更加

6、嚴重。面對日益增加的安全風險，沒有人可以單打獨斗。數字安全不是單純的技術問題，而是涉及業務、管理、流程、團隊等多方面的系統工程。數字經濟高質量發展涉及政策、法律、技術等多方面的協同配合。需要構建原生安全能力，以數字安全和可信為基礎。世界各國都在不斷優化數據安全政策。歐盟發布的歐洲數據保護監管局戰略計劃（2020-2024）繼續加強數據安全和個人隱私保護。美國發布2020 年聯邦數據戰略和行動計劃，確立了保護數據完整性、確保流通數據真實性、數據存儲安全等基本原則。中華人民共和國數據安全法和中華人民共和國個人信息保護法也于 2021年頒布。本文檔基于 CSA 大中華區提出的數字安全 REE 框架，

7、調研了全球數字安全各領域的現狀，并總結了優秀的實踐、流行的技術，和公認的數字安全提供商，還包括全球重要的法律、法規、標準，向讀者介紹數字安全的發展概況，特別是中國的狀況。希望該文件能成為政府與行業在數字安全方面的參考，幫助人們構建更加安全的數字環境。李雨航院士，Yale LiCSA 大中華區主席兼研究院院長 2023 云安全聯盟大中華區版權所有9目錄致謝致謝.4引言引言.6序言序言.7前言前言.8第一章數字時代的到來第一章數字時代的到來.101.1 第四次工業革命.101.2 數字經濟.111.3 數字政府.141.4 數字時代的意義.15第二章數字安全框架第二章數字安全框架.162

8、.1 數字安全的定義.172.2 數字安全的內涵.172.3 REE 數字安全框架.182.4 網絡安全.192.5 信息安全.212.6 數據安全.252.7 隱私保護.262.8 元宇宙安全.272.9 數字身份.282.10 原生安全.30第三章數字安全規則層第三章數字安全規則層.383.1 數字安全法律.383.2 數字安全治理.503.3 數字安全標準.57第四章數字安全執行層第四章數字安全執行層.604.1 數字安全技術.604.2 數字安全方案/產品.774.3 數字安全服務.1054.4 數字安全教育.116第五章數字安全評價層第五章數字安全評價層.1325.1 數

9、字安全獎項與排行.1325.2 數字安全認證.1395.3 數字安全案例.151第六章總結與展望第六章總結與展望.1696.1 數字時代.1696.2 數字安全.1696.3 數字時代的新一代數據安全.171 2023 云安全聯盟大中華區版權所有10第一章數字時代的到來第一章數字時代的到來1.1 第四次工業革命第四次工業革命制造業作為國家的基礎設施和立國之根本，從來都是一個國家立足世界的重要籌碼。人類歷史經歷了幾個大的工業革命，從蒸汽技術革命、電力技術革命、計算機及信息技術革命，直到今天的第四次工業革命。在國際上影響比較大的與第四次工業革命有關幾個事件包括：美國早在 2012 年 2

10、月就發布了先進制造業國家戰略計劃，踏上了新一輪工業革命的道路，美國電報電話公司、思科、IBM 等還組建了工業互聯網聯盟（IIC）。德國工業 4.0。2013 年，在萊納河畔漢諾威工業博覽會如期舉辦。在這場全球工業界的盛會上，主辦方德國正式提出了“工業 4.0”戰略。按照德國當時的定義，“工業 4.0”是指利用物聯信息系統將生產中的供應、制造、銷售信息數據化、智慧化，最后達到快速、有效、個人化的產品供應。通過產業數字化，人類的生產效率得到了極大的提高?；ヂ摼W可以把全球的消費者市場連接到一起，而供應鏈數字化更是極大提升了生產的效率及單位生產成本，從而贏得更大的市場。日本這位工業 3.0 時代的優等

11、生，推出了日本再興戰略，將工業 4.0 視為創造新商業模式的重要契機，重點發展物聯網、人工智能和大數據技術。日本希望追上工業 4.0 的快車，再現“日本制造”的榮光。作為世界第二大經濟體的中國，在 2015 年 5 月推出中國版工業 4.0 綱領性政策文件中國制造 2025，主動應對新一輪科技革命和產業變革的重大戰略選擇。美國、德國、日本和中國這幾個國家的工業在世界上占有舉足輕重的地位。這些國家都在積極布局，并且采取相應的行動。更多的國家同樣在推進第四次工業革命的落地。目前，大部分人認為工業 4.0 可以等同于第四次工業革命。工業 4.0 的本質，就是通過數據流動自動化技術，從規模經濟轉向范圍

12、經濟，以同質化規?；某杀?，構建出異質化定制化的產業。對于產業結構改革，這種轉變至關重要。大家對工業 4.0 的定義存在差異，德國叫工業 4.0，美國叫工業互聯網等等，但大體內容還是保持一致的。第四次工業革命涌現了物聯網、人工智能、大數據、區塊鏈等 2023 云安全聯盟大中華區版權所有11技術。這些技術的出現將人類的生態帶入了另外一個高度。第四次工業革命正在如火如荼的推進，各個國家都不想在這場革命浪潮中落伍。誰在第四次工業革命浪潮中占領優勢，就有可能改變世界格局。目前，全世界都在思考一個問題：第四次工業革命的核心突破點在哪里？1.2 數字經濟數字經濟目前普遍認為數字經濟是第四次工業革命的突破點

13、。數字經濟的定義比較寬泛，目前得到廣泛認可的是G20 數字經濟發展與合作倡議中給出的定義：數字經濟，是指以使用數字化的知識和信息作為關鍵生產要素、以現代信息網絡作為重要載體、以信息通信技術的有效使用作為效率提升和經濟結構優化的重要推動力的一系列經濟活動。隨著云計算、大數據、人工智能等新一代信息技術的不斷突破和廣泛應用，一個跡象已經顯現：數字經濟，正在成為全球經濟增長的新動能。聯合國發布的數字經濟報告 2021證實了數字經濟正在非?？焖俚陌l展。2022 年包括國內和國際流量在內的全球互聯網流量將超過截止 2016 年的互聯網流量之和。新冠疫情導致越來越多的活動在網上進行，對互聯網流量帶來巨大影響

14、。2020年全球互聯網帶寬提高了 35%，是 2013 年以來增幅最大的一年。據估計，大約 80%的互聯網流量與視頻、社交網絡和游戲有關。每月的全球數據流量預計將從 2020 年的230EB 激增到 2026 年的 780EB。從參與數據驅動的數字經濟并從中受益的能力來看，美國和中國脫穎而出。全世界的超大規模數據中心有一半位于這兩個國家，這兩個國家的5G 普及率最高，人工智能初創企業融資總額占過去五年的 94%，研發人員占世界頂尖人工智能研究人員的 70%，數字平臺市值占全球最大數字平臺市值總和的近 90%。紐約證券交易所綜合指數在 2019 年 10 月至 2021 年 1 月期間增長了 1

15、7%，但頂尖數字平臺的股票價格的漲幅卻從 55%（Facebook）到 144%（蘋果）不等。早在 2019 年，中國信息通信研究院發布的全球數字經濟新圖景就顯示，2018年，47 個國家的數字經濟總規模超過 30.2 萬億美元，占 GDP 之比高達 40.3%。其中，有 38 個國家數字經濟增速顯著高于同期 GDP 增速?；仡櫭绹臄底纸洕鷼v程可以追溯到上個世紀的“信息高速公路”。信息高速公路上世紀 90 年代，克林頓政府高度重視并大力推動信息基礎設施建設和數字技術發 2023 云安全聯盟大中華區版權所有12展，引領世界進入數字時代。這種推動與副總統戈爾有著莫大關系。戈爾在全球率先提出了著名

16、的“信息高速公路”和“數字地球”概念。上世紀 80 年代初期，戈爾在擔任眾議員期間，就呼吁建立一個全國性的“信息高速公路”。戈爾當選副總統后，一直是克林頓政府建設國家信息高速公路的核心人物。1993 年 9 月，美國政府公布“國家信息基礎設施行動計劃”，信息高速公路戰略開始落地。該文件開宗明義地指出：“國家信息基礎設施的發展能夠幫助引發一場信息革命，這場革命將永遠改變人們的生活、工作和交流方式?！鄙鲜兰o 50 年代州際公路系統的建設，為美國半個世紀的繁榮奠定了堅實的基礎。四十年后的信息高速公路可與之媲美，甚至更加偉大，為美國數字經濟插上了騰飛的翅膀。美國商務部構建完備的政策體系自 1998 年

17、到 2018 年的 20 年間，美國商務部就數字經濟和數字國家發布了 13 份重磅報告，探討數字經濟發展的前沿和熱點問題。這些報告如下表所示。序號時間名稱11998 年浮現中的數字經濟21999 年浮現中的數字經濟（二）32000 年數字經濟 200042002 年數字經濟 200252003 年數字經濟 200362010 年數字國家：21 世紀美國通用互聯網寬帶接入進展72010 年探索數字國家：美國家庭寬帶互聯網應用82011 年數字國家：擴大互聯網使用92011 年探索數字國家：計算機和互聯網家庭應用102013 年探索數字國家：美國新興在線體驗112014 年探索數字國家：擁抱移動互

18、聯網122016 年在數字經濟中實現增長與創新132018 年數字經濟的定義和衡量表 1-1 美國政府 1998 到 2018 年間與數字經濟有關的報告不僅僅是美國，世界上其他國家也在加速數字經濟的布局。歐盟于 2021 年 3 月發布了2030 數字化指南：實現數字十年的歐洲路徑綱要文件，涵蓋了歐盟到 2030 年實現數字化轉型的愿景、目標和路徑。日本自 2013 年開始，每年制定科學技術創新綜合戰略，從“智能化、系統化、全球化”視角推動科技創新。俄羅斯 2017 年將數字經濟列入俄聯邦 20182025 年主要戰略發展方向目錄，并編制完成俄聯邦數字經濟規劃。中國于 2015 年黨的十八屆五

19、中全會將大數據上升為國家戰 2023 云安全聯盟大中華區版權所有13略，之后出臺了 10 余項促進數字經濟行業發展的政策，2017 年起連續 5 年將數字經濟相關內容寫入政府工作報告。數字經濟一般可以分為兩部分：數字產業化。主要是指信息通信產業（ICT），主要包括電子信息制造業、電信業、軟件和信息技術服務業、互聯網行業等。產業數字化。主要指傳統產業由于應用數字技術所帶來的生產數量和生產效率提升，例如工業互聯網、智能制造、平臺經濟等融合型新產業。無論是數字產業化還是產業數字化，核心都是數字。數字貫穿著全部過程。通常，我們也可以把數字化的信息和知識描述成數據。數字經濟建立在數據的基礎之上，中國已經

20、把數據列為基本生產要素，和土地、資本、人才、科技一樣。作為第五大基本生產要素，數據的價值正在體現，從而推動著數字經濟往前走。人類已經處于數字時代的潮流中，數字經濟、數字政府、數字軍事、數字社會、數字文明等都在加速推進中。近年來比較火熱的虛擬世界、元宇宙也是數字時代的產物。數字經濟作為一種新的經濟形態，比重正在逐年增加；數字政府讓民眾可以隨時隨地利用任何設備獲取政府信息和服務；數字社會讓整個社會的運轉基于數字；元宇宙更是建立了一個新的數字世界。全球數字經濟發展迅猛。據中國信息通信研究院數據，2020 年，發達國家數字經濟規模達到 24.4 萬億美元，占全球總量的 74.7%。發達國家數字經濟占國

21、內生產總值比重達54.3%，遠超發展中國家 27.6%的水平。從增速看，發展中國家數字經濟同比名義增長3.1%，略高于發達國家數字經濟 3.0%的增速。2020 年，全球 47 個國家數字經濟增加值規模達到 32.6 萬億美元，同比名義增長 3.0%，產業數字化仍然是數字經濟發展的主引擎，占數字經濟比重為 84.4%。從規?？?，美國數字經濟繼續蟬聯世界第一，2020 年規模接近 13.6 萬億美元。從占比看，德國、英國、美國數字經濟在國民經濟中占據主導地位，占國內生產總值比重超過 60%。從增速看，中國數字經濟同比增長 9.6%，位居全球第一。2022 年中國信息通信研究院發布了中國數字經濟發

22、展報告（2022 年），指出 2021 年中國數字經濟的規模達到了 6.9 萬億美元，占 GDP 的比重達到了 39.8%。數字經濟年均增速高達 15.9%，顯著高于同期 GDP 的平均增速，數字經濟已經成為支撐經濟高質量發展的關鍵力量?？梢灶A期，數字經濟在未來較長一段時間都將保持快速增長。2023 云安全聯盟大中華區版權所有141.3 數字政府數字政府數字政府是綜合運用互聯網、物聯網、大數據、人工智能、區塊鏈等現代信息技術，為促進經濟社會運行全面數字化而建立的一種新型政府形態。隨著互聯網、大數據、區塊鏈等現代信息技術的不斷普及，越來越多的國家積極利用信息技術創新政府運作方式、推動數字政府建設

23、。2020 年全球新冠肺炎疫情暴發，進一步推動了數字技術在政府信息公開、便民服務、動態監管、智能決策等方面的運用。根據最新發布的2020 年聯合國電子政務調查報告，全球電子政務發展平均指數(EGDI)從 2018 年的 0.55 上升到 2020 年的 0.60，EGDI 指數處于“高”或“非常高”級別的成員國共有 126 個，占所有成員國的 65%。由全球 EGDI 指數持續上升可看出，世界大多數國家積極推動數字政府建設，重視整合線上和線下渠道，以實現政府數字治理能力的現代化。2020 年 2 月，中國深化改革委員會第十二次會議指出要運用大數據、人工智能、云計算等數字技術，在疫情監測分析、病

24、毒溯源、防控救治、資源調配等方面更好發揮支撐作用。同年 10 月，中國的十九屆五中全會審議通過的中共中央關于制定國民經濟和社會發展第十四個五年規劃和二三五年遠景目標的建議提出加強數字社會、數字政府建設，提升公共服務、社會治理等數字化智能化水平。數字政府是數字中國體系的有機組成部分，是推動數字中國建設、推動社會經濟高質量發展、再創營商環境新優勢的重要抓手和主力引擎。中國的數字政府成熟度在世界上的排名并不高，更多發達國家的數字政府起步更早。起步最早的當屬美國。美國從上個世紀 90 年代開始就部署數字政府，近年來，美國先后發布數字政府服務數字政府：構建一個 21 世紀平臺以更好地服務美國人民等戰略規

25、劃，致力于提供可以在任何時間、任何地點、通過任何設備獲取的數字政府服務。新加坡先后發布智慧國家 2015和智慧國家 2025，秉持“大數據治國”的理念，致力于實現“多個部門、一個政府”目標，為公眾提供優質便捷的公共服務。丹麥制定20162020 年數字戰略，加強數字公共管理與電子服務建設，同時強調政府與企業及其他利益相關組織團體的合作。韓國發布2020 年電子政務總體規劃，內容包括提供數字化的政府服務、創建數字友好型產業、建立電子政務平臺等具體措施?？v觀世界各國，數字政府熱潮正在快速推進中。數字政府建設注重實現政府決策智能化、權力運行透明化、公共服務精準化、績效評估科學化、流程再造高效化等目標

26、，2023 云安全聯盟大中華區版權所有15努力打造“政府即平臺”。除了數字經濟、數字政府之外，數字文化、數字社會、數字軍事等其他各行各業的數字化也正處于快速的發展之中。1.4 數字時代的意義數字時代的意義可以毫不夸張的講，任何行業、任何地方、任何領域都離不開數字。不管是無人駕駛，還是新材料，生物技術，核聚變等等，都必須基于新型的數字化工具、數字化技術，和人工智能。數字時代對于人類的意義是非常巨大的，下面只是幾個示例：消費者僅僅需要一部手機，就能學習、生活、工作；企業通過數字，打通各個環節，減少成本、創造增量，提高企業的效率和利益。政府通過數字化轉型，打通多部門之間的協作，提高辦事效率。監管機構

27、通過數字，掌控各行各業的具體信息，引導行業正確、健康地發展。醫院通過數字展示病人的病情，通過對數字的分析，為病人提供最優的醫療方案。人類所處的數字時代將會持續很長一段時間，為了進一步推動數字時代前進，我們還有很多事情要做，比如：完善公共數據開放共享機制。建立健全高效的公共數據共享協調機制，支持打造公共數據基礎支撐平臺，推進公共數據歸集整合、有序流通和共享。建立健全數據流通交易規則。探索“原始數據不出域、數據可用不可見”的交易范式，在保護個人隱私和確保數據安全的前提下，分級分類、分步有序推動部分領域數據流通應用。拓展規范化數據開發利用場景。發揮領軍企業和行業組織作用，推動人工智能、區塊鏈、車聯網

28、、物聯網等領域數據采集標準化。加強數據安全保護。強化網絡安全等級保護要求，推動完善數據分級分類安全保護制度，運用技術手段構建數據安全風險防控體系，使數據始終處于控密雙態計算，實現“動靜用轉”和“云網邊端”全面覆蓋，探索完善個人信息授權使用制度。數字時代建立在數字基礎之上，圍繞著數字建立了一個龐大的數字生態。這是一個非常復雜而且長期的工程，我們所面臨的挑戰也非常巨大。然而數字時代的到來是不可阻擋的，我們需要做好各項工作，迎接這一轉變，讓數字發揮更大的作用。數字時代是一個偉大的時代，必將會在人類歷史上留下重重的一筆。讓我們擁抱數字時代的到來吧。2023 云安全聯盟大中華區版權所有16第二章數字安

29、全框架第二章數字安全框架數據要素在市場化流通的過程中，需要安全、可信、和隱私的保障，數字經濟的發展離不開健全的數字經濟治理體系和可靠的數字經濟安全體系。數據作為生產要素對數據安全帶來全新的挑戰，提出了更高要求，數據安全與信息安全、網絡安全并列，構成了數字安全的重要部分。新一代數據安全遵循“原生安全Meta Security”的核心理念，秉承“天然一體、主動免疫、始終驗證、持續防護”的原則，具有“原生一體、安全可信”，覆蓋“動靜用轉”和“云網邊端”，真正實現數字可信與安全。特別是數據流動的全球化、地域屬性的合法合規監管要求，傳統的“動靜用安全”的外掛堆砌式被動防范數據安全帶來巨大挑戰，其碎片化

30、、系統性不足、被動安全機制，無法應對今天和未來的威脅攻擊，特別是使用和流轉中的風險威脅。新一代數據安全的原生性體現在“原生安全”的理念，天然防護抗體與存儲計算通訊形成原生一體安全可信防護體系，具備“天然一體、主動免疫、始終驗證、持續防護”，不僅安全而且可信；在存儲計算通訊的同時并行實時進行安全可信防護，逐級驗證構建可信鏈條，提供存儲計算通訊的安全可信，確保的數據資源和操作全程可測可控，提供安全可信的存儲計算通訊環境“主動免疫”；宿主和抗體成為原生一體，讓安全與資源“同體共生”，管控“如影隨行”；數據與其權利、權益和權限“天然一體”、“密不可分”，實現數據的“密不透風”；保障數據在“動靜用轉”等

31、狀態的安全可信，被動防御與主動保護相融合，實現“動態防御、主動保護、縱深防控、立體防護、主動免疫、安全可信”，使數據始終處于控密雙態計算（Control&Crypto Computing），實現“動靜用轉”和“云網邊端”全面覆蓋，在保障數據相關各方權益的同時，打通數據孤島共享共贏，做到合規可監管，支持多次交易，發揮各大數據平臺和交易所的作用，有效防范供應鏈、合作伙伴、外賊、離在職人員、流氓勒索等各種風險威脅，做到數據可信與安全；充分發揮數據作為生產要素的重要價值和意義，為數字經濟保駕護航。數字安全的發展和數字時代的發展一脈相承。新技術帶來新挑戰，新挑戰需要新思維，新思維創造新機會。數據作為至關

32、重要的生產要素，需充分發揮數據作為生產要素的重要價值和意義，數據安全必須放在首要位置，新一代數據安全的落地亟需數據安全法律、治理、技術多維并舉。為了助力數字經濟安全發展，國際云安全聯盟大中華區聯合各界安全精英經過一年的精心打磨，于 2022 年 3 月 11 日正式發布數字安全框架。該框架涵蓋了數字安全的定義、REE(Regulation,Execution，Evaluation)數字安全框架、數字身份框架和原生安全框架。2023 云安全聯盟大中華區版權所有172.1 數字安全的定義數字安全的定義數字安全是指在數字時代與數字化相關的一切安全要素、行為和狀態的集合，既包括保障數字經濟的安全性，也

33、包括將數字技術用于安全領域。數字安全以數字身份為核心，以原生安全為基礎底座，涵蓋了信息安全、網絡安全、數據安全、隱私保護等領域或場景，并可擴展（如元宇宙安全）。除此之外，數字安全還包括利用數字技術保障數字基礎設施的物理安全。雖然數字安全更偏重數字經濟與數字技術，但是與偏重國家網絡主權的網絡空間安全(Cybersecurity)在法律、標準、技術上也是相通的。數字安全的定義如圖 2-1 所示：圖 2-1 數字安全的定義2.2 數字安全的內涵數字安全的內涵數字安全涉及網絡安全、信息安全、數據安全、隱私保護、以及新興的元宇宙安全，同時涵蓋數字身份和原生安全，各領域的具體含義如下：網絡安全網絡安全(C

34、yber Security):保障網絡系統的軟硬件安全，負責人是 CSO、CISO、CTO、CIO 等。信息安全信息安全(Information Security):保障一切有價值信息的安全，負責人是CISO、CIO 等。數據安全數據安全(Data Security):保障數據全生命周期的安全與合規，負責人是CDO、CIO、CISO、CSO 等。隱私保護隱私保護(Privacy Protection):保護用戶的隱私與個人信息，負責人是 CPO、2023 云安全聯盟大中華區版權所有18DPO 等。元宇宙安全元宇宙安全（Metaverse Security）：保障通過數字化形態承載的虛實相生、虛

35、實相融的平行宇宙的安全，這是未來數字安全的主要擴展領域。數字身份數字身份(Digital Identity)：作為連接安全與業務的基座，提供對所有的人、數字人、物、設備等的數字標識、認證、訪問的全生命周期管理。原生安全原生安全(Meta Security):原生安全是下一代互聯網原生安全，包括云計算、大數據、AI、5G/6G、IoT、區塊鏈、量子計算等新興技術所涉及的系統的原生安全，它是數字安全的底座，需要硬件信任根的支持。2.3 REE 數字安全框架數字安全框架REE(Regulation,Execution，Evaluation)數字安全框架是國際云安全聯盟大中華區于 2022 年 3 月

36、 11 日正式發布的數字安全的定義(Definition of Digital Security)的重要組成部分。共分為規則層（數字安全框架的戰略指引）、執行層（規則層落地所需的一切資源/工具及使用這些資源/工具的具體行動）和評價層（針對組織的數字安全成熟度進行評估、驗證及考核）三層。REE 詳情如圖 2-2 所示：圖 2-2 REE 數字安全框架規則層規則層（Regulation Layer）：規則層是數字安全框架的戰略指引，主要包含數字安全法律、數字安全治理、數字安全標準等內容。這一層需要解決數字安全法律、法規、規章、政策、監管、標準等問題，為組織的數字安全建設與合規治理提供策略指導。20

37、23 云安全聯盟大中華區版權所有19執行層執行層（Execution Layer）執行層涵蓋了規則層落地所需的一切資源/工具及使用這些資源/工具的具體行動，主要包括數字安全技術、數字安全方案/產品、數字安全服務、數字安全教育等內容。這一層需要解決數字安全技術的研究與進步、數字安全方案/產品的研發與應用、數字安全服務的開展（如安全咨詢、安全運營等）、數字安全人才的培育等方面的問題，是組織實現數字安全目標的核心。評價層評價層（Evaluation Layer）：評價層針對組織的數字安全成熟度進行評估、驗證及考核，主要包含數字安全獎項、數字安全排行、數字安全認證、數字安全案例等內容。這一層需要通過安

38、全認證/審計/測評等方式對組織的數字安全能力進行持續評估，從而促進持續改進和提升，實現從規則、執行、評價到改進的安全閉環。除此以外通過數字安全獎項、數字安全排行榜/象限及數字安全優秀案例分享的方式進行相關的市場宣傳和引導，從而促進數字安全產業的發展。2.4 網絡安全網絡安全網絡安全是保障網絡系統的軟硬件安全，涉及的框架主要有：2023 云安全聯盟大中華區版權所有202.4.1.NIST-CSF 框架框架CSF（Cybersecurity Framework）由 NIST 與私營和公共部門密切合作開發，是美國各組織自愿采用的基于風險的方法。這個自愿性框架最初是為了應對國家關鍵基礎設施（CI）領域

39、的網絡安全挑戰而開發的，世界各地各類組織隨后對該框架的廣泛使用證明了該框架的普遍適用性。CSF 核心的五項功能是識別、保護、檢測、響應、恢復（Identify,Protect,Detect,Respond,Recover）。這五項功能提供了一個高層級的風險管理詞匯，既對網絡安全專家有意義，也方便非網絡安全專家使用。因此，這些功能既適用于網絡安全風險管理，也適用于企業風險管理。2023 云安全聯盟大中華區版權所有212.4.2.MITRE ATT&CK框架框架MITRE 在 2013 年推出了 ATT&CK 模型，根據真實的觀察數據描述和分類對抗行為。ATT&CK 將已知攻擊者行為轉換為結構化列

40、表，將這些已知的行為匯總成戰術和技術，并通過幾個矩陣以及結構化威脅信息表達式（STIX）、指標信息的可信自動化交換（TAXII）表示。由于此列表相當全面地呈現了攻擊者在攻擊網絡時所采用的行為，因此對于各種進攻性和防御性度量、表示和其他機制都非常有用。ATT&CK 會詳細介紹每一種技術的利用方式，以及為什么了解這項技術對于防御者很重要。ATT&CK 模型極大地幫助了安全人員更快速地了解不熟悉的技術。2.5信息安全信息安全 2023 云安全聯盟大中華區版權所有22信息安全是從體系上保障一切有價值信息的安全，涉及的框架主要有：2.5.1.ISO27001 框架框架國際標準化組織（ISO）是一個獨立的

41、非政府組織，也是世界上最大的自愿國際標準制定者。國際電工委員會（IEC）是制定和出版電氣、電子及相關技術國際標準的世界領先組織。ISO/IEC 27000 系列標準由 ISO/IEC 聯合小組委員會發布，概述了數百種控制措施和控制機制，幫助各種類型和規模的組織保持信息資產的安全性。這些全球標準為政策和程序提供了一個框架，包括組織信息風險管理過程中涉及的所有法律、物理和技術控制措施。ISO/IEC 27001 是一項安全標準，正式規定了信息安全管理系統（ISMS），旨在將信息安全置于明確的管理控制之下。作為正式規范，該標準要求定義如何實施、監控、維護和持續改進 ISMS 的需求，還規定了一組最佳

42、實踐，包括文檔要求、責任劃分、可用性、訪問控制、安全性、審計以及糾正和預防措施。ISO/IEC 27001 認證有助于組織遵守與信息安全相關的眾多法規和法律要求。2023 云安全聯盟大中華區版權所有232.5.2.ISO/IEC 27002:2022 框架框架2022 年 2 月，ISO(國際標準化組織)更新發布了ISO/IEC 27002:2022 信息安全、網絡安全和隱私保護-信息安全控制，作為組織根據信息安全管理體系認證標準定制和實施信息安全控制措施的指南。2022 版將控制措施分配到組織、人員、物理、技術的四個大主題，使分類更加簡單，方便組織對安全控制點進行選擇歸類，可以通過歸類的特定

43、主題策略支持信息安全策略，加強信息安全控制的實施。2.5.3 NIST SP 800-53 R5 框架框架SP 800-53 一直視作是 NIST 信息安全的支撐性文件，最新的更新，直接產生了第一 2023 云安全聯盟大中華區版權所有24個全面的安全和隱私控制目錄。NIST SP 800-53 版本 5 不是一個小的更新，而是一個完整的更新，解決了結構問題和技術內容。這項更新是多年的努力，旨在開發第一個全面的安全和隱私控制目錄，可用于管理任何部門和規模的組織的風險，以及從超級計算機到工業控制系統再到物聯網（IoT）設備的所有類型系統的風險。這些控制措施提供了一種積極主動和系統性的方法，確保關鍵

44、的系統、組件和服務具有足夠的可信度，并具有必要的恢復力，可以維護經濟利益和國家安全。2.5.4 CIS Critical Security Controls V8 框架框架CIS 關鍵安全控制是一組優先保護措施，用于防范和緩解針對系統和網絡的普遍攻擊。CIS 的前身也被稱作 SANS。CIS Controls 框架列出了 18 個控制域，每個域都很多詳細的控制要求。非常適合企業參照具體的控制項開展工作。CIS Controls v8 已經發布，更新了對云計算、虛擬化、移動化、外包、居家辦公的支持，有效的防范不斷變化的攻擊方式，并在企業遷移到云和混合環境時提供安全性保護。2023 云安全聯盟大中

45、華區版權所有252.6 數據安全數據安全數據安全保障數據全生命周期的安全與合規，涉及的框架主要有：2.6.1 GB/T 379882019 框架框架GB/T 379882019 數據安全能力成熟度模型給出了組織數據安全能力的成熟度模型架構，規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。本標準適用于對組織數據安全能力進行評估，也可作為組織開展數據安全能力建設時的依據。數據安全能力成熟度模型（DSMM）DSMM 架構主要由安全能力、能力成熟度等級，以及數據安全過程三個維度構建而成。在安全能力維度，明確了組織在數據安全領域應具

46、備的能力，包括組織建設、制度 2023 云安全聯盟大中華區版權所有26流程、技術工具和人員能力。在能力成熟度等級維度將等級劃分為五級,具體而言：1 級是非正式執行級，2 級是計劃跟蹤級，3 級是充分定義級，4 級是量化控制級，5 級是持續優化級。數據安全過程維度定義了數據安全過程，其中包括數據生存周期安全過程和通用安全過程。數據生存周期安全過程具體包括數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全和數據銷毀安全 6 個階段。2.7 隱私保護隱私保護隱私保護保護用戶的隱私與個人信息，涉及的框架主要有：2.7.1 NIST 隱私框架隱私框架NIST 隱私框架是一種通過企業風險

47、管理（隱私框架）改善隱私的工具，旨在廣泛適 2023 云安全聯盟大中華區版權所有27用于各種規模的組織，以及各種特定的技術、行業、法律或管轄權。隱私框架使用一種適用于任何組織在數據處理生態系統中的角色的通用方法，目的是幫助組織管理隱私風險2.8 元宇宙安全元宇宙安全元宇宙可以定義為人們連接、互動和購物的虛擬環境。維基百科將元宇宙定義為“互聯網的假設迭代，它是一個單一的、普遍的、身臨其境的虛擬世界，通過使用虛擬現實和增強現實眼鏡促進。在通俗的使用中，元宇宙是一個專注于社交聯系的 3D 虛擬世界網絡?！痹钪嬗袃煞N主要形式：1.虛擬現實通過 VR 眼鏡提供人工現實。它接管了用戶的視野以提供身臨其境

48、的體驗。其他形式的沉浸式體驗包括身體的音頻和位置跟蹤，以使身體部位（例如手）的運動能夠與虛擬環境進行交互。2.增強現實(AR)的沉浸感不如 VR。它通過某種類型的鏡頭在現實世界之上添加虛擬疊加層。用戶仍然可以正常查看周圍環境。主機可以看到用戶的位置并且可以猜測他們的意圖。對 AR 的隱私期望高于 VR。元宇宙安全保障通過數字化形態承載的平行宇宙的安全，是未來數字安全的主要擴展領域。2023 云安全聯盟大中華區版權所有282.8.1 元宇宙操作系統框架元宇宙操作系統框架目前，OpenMetaverse 操作系統主要集中在關鍵的底層，包括在世界經濟中不可協商的功能，如用戶主權身份和資產，以及與經濟

49、之間的橋梁，以及彼此之間的復雜游戲引擎、3D 建模工具鏈，以及主要集中的世界的呈現堆棧。針對該框架中的每個子域，都需要采取合適的安全控制措施。2.9數字身份數字身份數字身份是連接安全與業務的基座，提供對所有的人、數字人、物、設備等的數字標識、認證、訪問的全生命周期管理，數字身份涉及的框架有：2023 云安全聯盟大中華區版權所有292.9.1 數字身份框架數字身份框架 Digital Identity Framework身份定義安全聯盟（IDSA）的創建是為了幫助企業認識到將身份和安全結合起來的重要性，通過以身份為中心的安全策略減少漏洞的風險。IDSA 更重要的目的是將問題分解為以身份為中心的安

50、全成果和實施方法，為從業者提供指導和提示。數字身份數字身份是連接安全與業務的基座，當元宇宙興起之時，數字身份更是連接現實世界和虛擬世界的標識和橋梁。圖 2-3 是身份定義安全聯盟（IDSA）的示意圖，描述了身份驗證如何工作，其中人機用戶都是該過程的一部分。圖 2-3 數字身份框架數字身份框架以四個基本概念為基礎。身份識別是一項關鍵的網絡安全技術網絡安全的所有方面必須從根本上協同工作，才能取得有意義的效果每個商業交易、攻擊面或目標都涉及到一個證書和一個服務或數據?？紤]到在安全方面的累積，每一項新投資都使得整體安全能力變得更加有效。身份定義安全框架由領先的供應商、解決方案提供商和從業人員合作開發，

51、為企業提供了實施以身份為中心的安全方法的實用指導。身份定義安全框架為從業人員提供了 2023 云安全聯盟大中華區版權所有30一套基本的構件以及藍圖和最佳實踐，有助于實現支持業務需求的安全成果。身份定義的安全結果是一種期望的結果，通過以身份為中心的安全改善組織的安全態勢并降低安全風險。以身份為中心的安全減少了漏洞或審計失敗的風險。身份定義安全成果可以通過許多不同的身份定義安全實施方法實現。這些方法定義明確的模式，結合了身份和安全能力，幫助組織利用身份背景改善安全態勢。以身份為中心的安全方法的基礎最好是以成熟的身份和訪問管理（IAM）開始。IDSA最初定義的一套最佳實踐側重于 IAM 的基本原理，

52、作為與 IAM 項目的人員和流程以及技術方面有關的推薦，并作為 IAM 項目的補充，增強以身份為中心的安全方法的基礎。2.10 原生安全原生安全2.10.1 原生安全框架原生安全框架 Meta Security Framework原生安全原生安全是指下一代互聯網原生安全，包括云計算、大數據、AI、5G/6G、IoT、區塊鏈、量子計算等新興技術所涉及的系統的原生安全，是數字安全的地基，需要硬件信任根的支持。原生安全的特點包括安全與產品融合，具有硬件可信根，零代理不需安裝，匹配可信計算環境，核心軟件可形式化驗證，主動檢測動態防御（防勒索能力，防病毒能力，防 APT 能力，防 DDOS 能力等），可

53、信啟動與安全度量等特點。原生安全框架如圖 4 所示：2023 云安全聯盟大中華區版權所有31圖圖 2-4 原生安全框架原生安全框架無處不在的可信無處不在的可信 AI：通過可信 AI 實現安全監控、入侵檢測、態勢感知、惡意代碼檢測、代碼審計、漏洞挖掘、訪問控制、業務風控、反欺詐、黑灰產識別、內容識別等安全能力。云原生安全：云原生安全：云基礎設施及云平臺的原生的安全能力，包括但不限于容器，無服務器 Serverless（FaaS 函數即服務），微服務，CI/CD，DevOps 等的安全性。區塊鏈原生安全：區塊鏈原生安全：包括數據層、網絡層、共識層安全（即區塊鏈可信基礎設施），激勵層、合約層、應用層

54、安全，以及分布式數字身份等。無線通信無線通信(5G/6G)原生安全：原生安全：通過身份認證安全、接入控制安全、通信安全、軟件定義安全、數據加密等關鍵技術構建安全的 5G/6G 網絡，實現“主動免疫，彈性自治，虛擬共生，泛在協同”的愿景。物聯網原生安全：物聯網原生安全：從云、管、端三個層面保障物聯網平臺/應用、網絡和終端設備的安全性。量子原生安全：量子原生安全：構建量子通信和量子計算的安全免疫系統，用量子安全應對未來的量子計算攻擊，保障后量子世界的安全。在數字經濟高速發展過程中會不斷的產生新興技術，這些新興技術在孕育新的業務形態的同時也會帶來新的安全挑戰和風險，進而導致新的法律和監管要求的誕生。

55、這些變化最終必然會導致數字安全治理與合規的成本增加。數字經濟發展所需要的任何基礎設施和基礎技術（包括傳統技術和新興技術）都應具備原生安全能力，不過這對相關軟硬件產業鏈和供應鏈的各環節都提出了更高的要求。2023 云安全聯盟大中華區版權所有322.11.1 云安全云安全2.11.1.1 CS-CMMI 框架框架CS-CMMI 全稱是 Cloud Security Capability Maturity Model Integration，即云安全能力成熟度模型集成，由 CSA 大中華區牽頭、亞太區與全球共同開發和研制的，把 CSA CSTR云計算安全技術標準要求和CSA CCM 云控制矩陣的技術

56、能力成熟度模型，集成到一個治理框架中，根據 ISO/IEC 21827:2002 系統安全工程能力成熟度模型，以及 CSA云計算安全技術要求和 CSACCM 云安全控制矩陣，形成云安全能力成熟度模型集成框架。該模型如圖 2-5 所示。圖 2-5 云安全能力成熟度模型2.11.1.2 CSA Cloud Controls Matrix(CCM)V4 框架框架CSA Cloud Controls Matrix(CCM)云控制矩陣 V4 版包括 17 個控制域中的 197 個控制目標，全方位涵蓋了云計算技術的安全領域?？刂凭仃噧葮嫿私y一的控制框架，通過減少云中的安全威脅和弱點，加強了現有的信息安全

57、控制環境，提供了標準化的安全和運營風險管理，并尋求將安全期望、云分類和術語體系，以及云中實施的安全措施等標準化。云控制矩陣可以用作對云計算實施的系統性評估工具，也可以作為云計算供應鏈中各角色與安全控制關系的指導。云控制矩陣的示例如圖 2-6 所示。2023 云安全聯盟大中華區版權所有33圖 2-6 云控制矩陣2.11.2 NIST Big Data Architecture 框架框架NIST 大數據參考架構是一種供應商中立的方法，可供任何旨在開發大數據架構的組織使用。NIST 大數據參考架構（Big Data Reference Architecture）如圖 2-7 所示，代表一個大數據系統

58、，由五個邏輯功能組件或通過互操作性接口（即服務）連接的角色組成，而管理、安全和隱私與所有五個組件交織。圖 2-7 NIST 大數據參考架構 2023 云安全聯盟大中華區版權所有342.11.3 ICO AI 審計框架審計框架人工智能應用程序可能會加劇現有的數據保護風險，引入新的風險，或者通常會使風險更難發現或管理。同時，由于人工智能應用的速度和規模，對數據主體的損害可能會增加。為了設計和實施有效的數據保護措施，組織需要能夠理解和管理 AI 特有的關鍵風險領域。ICO 提出的 AI 審計框架草案（圖 2-8），通過產生包括治理的技術（例如系統影響評估）和非技術（例如人類監督）組成部分的指導對話，

59、并代表了標準化 AI治理的重要里程碑。圖 2-8 ICO AI 審計框架草案2.11.4 OT 框架框架2.11.4.1.OT 框架框架普渡模型，正式稱為普渡企業參考體系結構（PERA），是工業控制系統（ICS）安 2023 云安全聯盟大中華區版權所有35全的結構模型，涉及物理過程、傳感器、監控、操作和物流，可見圖 2-9。圖 2-9 普渡模型普渡企業參考架構由西奧多J威廉姆斯（Theodore J.Williams）和普渡大學計算機集成制造聯盟（Purdue University Consortium for computer integrated manufacturing）成員于 20

60、世紀 90 年代開發，定義了生產線中使用的不同級別的關鍵基礎設施以及如何確保其安全。PERA 在引入時處于領先地位，如果正確實施，可以實現工業控制系統（ICS）或操作技術（OT）與 it 系統之間的氣隙。以下是對不同級別的快速概述：4/5 級-企業：這通常是我們今天所知道的 IT 網絡，主要業務功能發生在這里。這是提供業務指導和協調制造操作的級別。企業資源規劃（ERP）系統驅動工廠生產計劃、材料使用、運輸和庫存水平。流行的 ERP 系統包括 Oracle、SAP、Microsoft 和 Epicor 提供的產品。這一級別的任何中斷都可能導致數天甚至數周的停機，從而可能導致下游流程延遲或停止，從

61、而造成重大收入損失。3.5 級-非軍事區（DMZ）：在過去十年中最近增加的一個級別，該級別包括安全系 2023 云安全聯盟大中華區版權所有36統，如防火墻和代理，用于隔離或隔離 IT 和 OT 世界。這是 IT 和 OT 世界“融合”的地方，增加了 OT 系統的攻擊面。許多工廠要么沒有這一層，要么能力非常有限。自動化的興起導致了更高的效率，這就增加了對 OT 和 IT 系統之間雙向數據流的需求。這種 OT-IT融合最終為正在加速數字化轉型的公司創造了強大的競爭優勢。第 3 級-制造運營系統：這是在制造車間管理生產工作流的地方?；诓僮飨到y（如Windows）的定制系統用于執行批次管理、記錄數據

62、以及管理操作和工廠性能。該級別的系統稱為制造執行系統（MES）或制造運營管理系統（MOMS）。MES/MOM 特定于正在加工/制造的產品。該層還由數據庫或歷史學家組成，用于記錄操作數據。企業級和制造級之間的通信通常通過專用回程網絡進行，連接到主數據中心或總部。與企業級一樣，制造級的任何中斷都可能導致數小時或數天的停機，這極有可能造成收入損失，因為它會影響整個制造廠。2 級-控制系統：數據采集與監視控制系統（SCADA）軟件用于監督、監測和控制物理過程。SCADA 可以從工廠的物理位置遠程管理系統，而分布式控制系統（DCS）和可編程邏輯控制器（PLC）通常部署在工廠內。連接到 DCS 和 PLC

63、的人機界面（HMI）允許進行基本控制和監測，而 SCADA 系統聚合數據并發送到上游，以供第 3 級記錄。PLC通常沒有鍵盤和監視器。遠程終端裝置（RTU）允許操作員登錄 SCADA 系統。西門子、施耐德電氣、ABB、GE Digital 和羅克韋爾自動化是 SCADA 系統的一些主要供應商。該層的設備和策略通常通過 modbus 和 dnp3 協議通信，數據二極管可以幫助增強安全性。第 1 級-智能設備：通過過程傳感器、分析儀、執行器和相關儀器，在此級別上進行物理過程的傳感和操作。為了提高效率，傳感器越來越多地通過蜂窩網絡直接與云中的供應商監控軟件通信。0 級-物理過程：定義實際的物理過程

64、。2.11.4.2.ISA/IEC 62443 框架框架該系列標準提供了一個靈活的框架，解決和減輕當前和未來的安全脆弱性在工業自動化和控制系統(IACSs)中導致的問題。ISA/IEC62443 標準適用于所有關鍵行業部門和關鍵基礎設施，是美國網絡安全框架不可或缺的組成部分。雖然 ISA/IEC62443 標準長達1000 多頁，但所述的核心網絡安全原則卻非常簡單，并在 IT 和 OT 環境中得到了驗證，能夠有效應對網絡安全風險。ISA/IEC62443 框架如下所示：2023 云安全聯盟大中華區版權所有37圖 2-10 ISA/IEC62443 框架2.11.4.3.NIST SP 800-

65、82 Rev.3(Draft)美國國家標準與技術研究院(NIST)發布了 NIST SP 800-82 第 3 版的初步公開草案，如圖 2-11 所示。該草案指導如何提高運營技術(OT)系統的安全性，同時滿足其性能、可靠性和安全要求。更新后的 NIST SP 800-82 文檔提供了 OT 和典型系統拓撲的概述，識別了 OT 支持的組織使命和業務功能的典型威脅，描述了 OT 中的典型漏洞，并提供了推薦的安全保護措施和應對措施來管理相關風險。NIST SP 800-82 草案文件還概述了幾種類型的標準 OT 系統，包括監控和數據采集(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PL

66、C)、樓宇自動化系統(BAS)、物理訪問控制系統(PACS)和工業物聯網(IIoT)。2023 云安全聯盟大中華區版權所有38圖 2-11 NIST SP 800-82 Rev.3(Draft)第三章數字安全規則層第三章數字安全規則層數字安全規則層是數字安全框架的戰略指引，主要包含數字安全法律、數字安全治理、數字安全標準等內容。3.1 數字安全法律數字安全法律3.1.1 中國數字安全法律概覽中國數字安全法律概覽一般認為，現行有效的中國數字安全主要法律和政策架構發軔于 2010 年前后1，以 2008年工業和信息化部的重組和 2011 年國家互聯網信息辦公室的設立為標志。加之公安部門在此之前

67、已經履行部分網絡安全、信息安全監管職能。國家互聯網信息辦公室、工業1在此之前，中國數字安全領域的典型法律文件包括中國立法機關全國人大常委會制定的關于加強網絡信息保護的決定，作為主要監管機構之一的公安部門制定的計算機信息系統安全保護條例等，一般認為以網絡安全法為標志，中國的數字安全法律進入新階段。但法治化始終是持續和漸進的，而非零散或突發的過程。2023 云安全聯盟大中華區版權所有39和信息化部和公安部初步統籌的互聯網監管體制基本形成。自此數字產業與安全的法律政策進入快車道2，且這一法律化進程仍在持續。圖 3-1：中國數字安全法律體系33.1.1.1 網絡安全法與國家網絡空間安全戰略網絡安全法與

68、國家網絡空間安全戰略2017 年 6 月 1 日，網絡安全法正式實施，確立了網信部門統籌，各部門在職責范圍內各司其職的網絡安全領域監管體制，通過設計一般網絡與關鍵信息基礎設施的運行安全，個人信息保護的信息安全的雙重結構，奠定了當前和可預見未來一段時期中國數字安全立法政策的基本路徑。在網絡安全法實施前后，2016 年 12 月，國家互聯網信息辦公室發布國家網絡空間安全戰略，不僅是中國在網絡空間與數字安全領域的首份專門戰略，同時構成了對網絡安全法下促進網絡安全產業和網絡運行安全的直接回應和支撐。與網絡安全法的頒布同期，2015 年中華人民共和國刑法修正案（九）將網絡犯罪立法作為其重要內容，對刑法中

69、涉互聯網安全的內容（特別是第 285 條至 287 條等22009年中華人民共和國刑法修正案（七）增設了非法獲取計算機信息系統數據罪，非法控制計算機信息系統罪、出售、非法提供公民個人信息罪，并將提供侵入、非法控制計算機信息系統程序工具這類刑法理論上的幫助行為作為正犯行為入罪，增設提供侵入、非法控制計算機信息系統程序工具罪作為獨立的罪名。從刑事法律角度實現了與國際上主要的打擊和懲治計算機犯罪規定的對接。民事法律領域，2009年侵權責任法也正式在立法層面確立了隱私權。3對于地方法規，中國在數字安全領域已有一些典型的地方性立法，例如2021年11月通過的上海市數據條例，在其行政區域內具有法律效力；對

70、于強制性和推薦性標準，按照中國標準化法等規定，非強制性國家標準不具有法律上的直接強制力。為行文方便，除另有列明外所引述法律均為中華人民共和國法律。2023 云安全聯盟大中華區版權所有40關鍵條款）做了大量的補充和完善，增設了拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪、編造、故意傳播虛假信息罪，并對出售、非法提供公民個人信息罪進行整合，修改為侵犯公民個人信息罪。3.1.1.2 民法典和個人信息保護法民法典和個人信息保護法2020 年 5 月，中國首部民事法律領域的基本法典民法典通過，并自 2021 年 1 月 1日起施行。對網絡空間與數字領域的最重要規制在于分別規

71、定了隱私權的概念和個人信息的范疇，并適用了不同的權利義務和責任規范體系。民法典與 2021 年 11 月 1 日起施行的個人信息保護法一并構成了當前中國個人信息保護的基礎性法律，特別是后者全面建立了以知情同意為基本原則的個人信息處理規則（和除外）體系，進一步發展和細化了網絡安全法和民法典的原則性規定，更具實際操作性，成為目前企業進行個人信息保護法律遵從與合規的起點4。此外，電子商務法等也對在線平臺場景中的個人信息保護提出了專門規制，成為中國個人信息保護法律體系的重要組成。3.1.1.3 國家安全法與反恐怖主義法國家安全法與反恐怖主義法作為與網絡安全法同時期的基本法律，國家安全法與反恐怖主義法在

72、數據內容的規范性與合法性上也做出了規定，對危害國家安全的信息和恐怖主義、極端主義內容信息進行了合法性排除，可視為是對數字安全保障另一維度的觀察與治理考量。2020 年 6 月施行，并在 2022 年 2 月修訂施行的網絡安全審查辦法（以下簡稱“辦法”），即是同時體現國家安全法網絡安全法，以及數據安全法等數字安全立法的產物。辦法規定了兩類觸發網絡安全審查的主要情形：（1）關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查（第 2 條）；（2）網絡安全審查工作機制成員單位認為影響或者

73、可能影響國家安全的網絡產品和服務以及數據處理活動，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照辦法的規定進行審查（第 16 條）。典型事件是網絡安全審查辦公室 2021 年 7 月對“滴滴出行”啟動的網絡安全審查5。4在個人信息保護法和網絡安全法下，中國國家互聯網信息辦公室等監管機構制定了相當數量的個人信息保護的配套文件，如APP違法違規收集使用個人信息行為認定方法常見類型移動互聯網應用程序必要個人信息范圍規定等等，限于篇幅本報告不再贅述。52022年 7月，國家互聯網信息辦公室作出網絡安全審查相關行政處罰的決定，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全

74、球股份有限公司董事長兼CEO、總裁各處人民幣100 萬元罰款。http:/ 2023 云安全聯盟大中華區版權所有413.1.1.4 數據安全法數據安全法2021 年 9 月 1 日起施行的數據安全法代表了中國數字安全領域法律政策的新努力，特別是數據分類分級保護制度、重要數據目錄管理等都將成為監管和執法的新方向，也成為數字行業密切關注的新焦點。圍繞數據安全法，目前中國正在構造相應的配套制度體系，包括政務數據安全與開放、數據出境評估制度、數據安全審查、數字交易中介規則等等，以促進數字經濟的安全、規范發展。目前部分配套制度已在征求意見或審議階段，但具體落地內容和對數字經濟和安全產業的影響尚有待觀察6

75、。3.1.1.5 密碼法和關鍵信息基礎設施安全保護條例等密碼法和關鍵信息基礎設施安全保護條例等2021 年 9 月 1 日起施行的關鍵信息基礎設施安全保護條例是網絡安全法的重要配套制度，規定了識別和認定為“關鍵信息基礎設施”的運營者的主要職責與義務。條例的主要特點是在規定國家網信部門統籌協調，公安部門主要負責，電信主管部門和其他有關部門在各自職責范圍內分別負責的基本監管體系下，增加了行業、領域的保護工作部門的職責。2020 年起施行的密碼法在中國數字安全領域也極具鮮明特征，是中國繼電子簽名法后密碼技術領域的又一基礎性法律，特別是在電子簽名法確立的電子簽名和認證民事體系上，進一步將密碼的認證功能

76、延申到電子政務和關鍵信息基礎設施等領域，也是國際上為數不多的專門針對密碼進行全過程和綜合規范的基礎性法律。2018 年 10 月通過國際刑事司法協助法，將我國涉外刑事司法協助上升至法律層面。針對執法跨境調取數據，該法第 4 條規定：“非經中華人民共和國主管機關同意，中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助?！痹摋l的增加在于應對實踐中有外國司法執法機關未經我國主管機關批準要求我國境內的機構、組織和個人提供相關協助的情況，其對于有效抵制外國的“長臂管轄”要求，維護數據主權的主張發揮了積極效用。同時，數據安全法個人信息保護法中均設置有對應該條規定的銜接性條款。在數據

77、相關投資、貿易歧視性措施的對等措施規制方面，還有反外國制裁法出口管制法，商務部不可靠實體清單規定以及阻斷外國法律與措施不當域外適用辦法等。6作為網絡安全法到數據安全法的基礎保障的網絡安全等級保護制度，目前生效的主要文件是作為國家標準的信息安全技術網絡安全等級保護基本要求，有關數字安全相關標準的介紹，見本報告的數字安全標準章節部分。2023 云安全聯盟大中華區版權所有423.1.1.6 數字安全的司法程序性和證據類法律規定數字安全的司法程序性和證據類法律規定在數字安全的記錄證據化領域，中國立法界和司法界主要通過修訂相關司法程序規則的方式，努力跟上數字經濟和產業發展的步伐。2019 年 12 月

78、，最高人民法院發布了修正后的最高人民法院關于民事訴訟證據的若干規定，在民事訴訟領域對電子證據的范圍進行了補充、完善，同時明確了電子數據的審查判斷規則。在此之前的 2016 年 9 月，中國最高人民法院、最高人民檢察院和公安部聯合發布的關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定，以及公安部于 2019 年發布的公安機關辦理刑事案件電子數據取證規則，均在刑事訴訟領域對電子數據證據從收集、提取、移送、展示、審查與判斷等進行了全過程的規定。這些對電子數據證據的程序性規定銜接了與網絡安全法個人信息保護法數據安全法等規定的日志、記錄的法律關系，增強了數字安全司法保障的力度和周延性。3.1.1

79、.7 其他典型法律文件其他典型法律文件除此之外，中國數字安全領域的典型法律文件還包括互聯網信息服務算法推薦管理規定和汽車數據安全管理若干規定（試行）等。這些法律文件雖然位階在基本法律、行政法規之下，但在一些特定領域進行了更具顆粒度的制度規范，體現了數字產業發展與安全關注的階段性方向?；ヂ摼W信息服務算法推薦管理規定對“推薦類算法”進行了法律分類，特別規定了對具有輿論屬性或者社會動員能力的算法推薦服務提供者，應當通過互聯網信息服務算法備案的備案制度7。后者則首次從規范性法律文件層面，對數據安全法規定的何為重要數據做出了汽車領域的明確：（1）軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域

80、的地理信息、人員流量、車輛流量等數據；（2）車輛流量、物流等反映經濟運行情況的數據；（3）汽車充電網的運行數據；（4）包含人臉信息、車牌信息等的車外視頻、圖像數據；（5）涉及個人信息主體超過 10 萬人的個人信息；（6）監管機構確定的其他數據。2022 年 5 月數據出境安全評估辦法通過，自 2022 年 9 月 1 日起施行。該辦法規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動。數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息，在觸發相應條件時需要進行法定安全評估。數據出境安全評估堅持事前評估和持續監督相結合、風險自評估

81、與安全評估相結合，防范數據出境安全風險，保障數7互聯網信息服務算法備案系統：https:/ 云安全聯盟大中華區版權所有43據依法有序自由流動，與個人信息跨境處理活動安全認證規范個人信息出境標準合同等一并構筑了中國數據出境監管規則體系。3.1.2 主要國家和地區的數字安全法律概覽主要國家和地區的數字安全法律概覽在討論中國數字安全法律時，不應孤立地看待和評價其法律政策的本土化特征，而應將中國圍繞數字安全的法律置于全球背景下進行比較參照，并觀察同一時期主要國家、地區法律政策的動向，才能從整體性和全球化的高度得出數字經濟發展與安全的總體、局部水平和進展情況。3.1.2.1 歐盟個人數據與非個人數據保護

82、的概括與進展歐盟個人數據與非個人數據保護的概括與進展8歐盟 2018 年生效的通用數據保護條例（GDPR）是目前各國都最為關注的個人信息保護領域的法律，GDPR 詳細的個人數據（信息）主體權利（特別是其創設的可攜帶權、被遺忘權等等）和個人數據控制者義務規定均為各國在個人信息保護領域立法所參考和討論，并對很多國家和地區的法律進程產生了深遠影響。GDPR 與 2018 年 11 月頒布的非個人數據自由流動條例共同形成了歐盟單一數字市場和協調數據治理的統一框架基礎。但這并不意味著歐盟在數字領域立法的終點，歐盟在 2020 年 12 月再次推出數字服務法與數字市場法，2022 年 1 月歐洲議會率先

83、通過數字服務法，為對數字平臺的經營活動監管提供法律工具。數字市場法則面向定義為“守門人”的互聯網平臺企業，旨在進一步推動數字市場的開放與公平。這與中國國務院反壟斷委員會 2021 年發布的關于平臺經濟領域的反壟斷指南，以及個人信息保護法中的“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”有類似之處。普遍的觀察認為，這些規定將在新成立的歐洲數字服務委員會（European Board for DigitalServices）支持下，制定更為完整和充分的數字平臺行為準則和技術標準。整體上，歐盟法律中突出了對個人數據主體和市場公平競爭秩序的保護，對違法主體可能處以高額的處罰尤為

84、引人關注。在歐盟 GDPR 監管實踐中，歐盟數據保護委員會（EDPB）等監管主體對內發布了大量的指導文件，持續細化和澄清個人數據主體相關權利的內容，對外則通過“充分性認定”等方式，實現個人數據在歐盟和經充分性認定的國家（例如已與日本、韓國等達成協定）之間自由流動。8值得注意的是，歐盟層面的法律文件應通過國內法轉化后對其成員國具有約束力。為簡明起見，此部分不再羅列歐盟各成員國的相應文件。2023 云安全聯盟大中華區版權所有44英國在 2020 年 12 月宣布完成“脫歐”后，在數字經濟領域進行了法律重塑的部分工作。2022 年 5 月公布的數據改革法案宣稱，對英國現有的通用數據保護條例（GDPR

85、）和數據保護法案（Data Protection Act）進行必要改革，形成英國版的數據保護框架。這些舉措都將使未來英國的數字安全法律、政策具有不同于歐盟的鮮明特點。3.1.2.2 美國的州立法進展、典型案例，以及美歐相關協定美國的州立法進展、典型案例，以及美歐相關協定美國在聯邦和州層面的數字安全法律具有相當長的延續歷程。2010 年之后相關領域的主要進展包括：（1）為落地 2014 年網絡安全促進法和行政令，美國國家標準與技術研究所（NIST）發布了提升關鍵基礎設施網絡安全框架，成為目前各國在進行關鍵（信息）基礎設施保障中的重要參考；（2）2015 年以年度綜合財政撥款法的形式通過網絡安全信

86、息共享法（CISA）等一系列法案，推動聯邦層面的網絡和數字安全，延續了國土安全法愛國者法案聯邦信息安全管理法外國情報監控法案等確定的立法思維；（3）2018 年 3 月澄清合法使用境外數據法案（又稱云法案 CLOUD Act）通過，法案突破了基于傳統多邊或雙邊司法互助協定的執法數據跨境訪問模式，部分重塑了數據跨境提供和披露的內外規則，對各國的跨境數據調取法律政策的調整都產生了重大影響。在個人信息保護領域，2018 年 6 月加利福尼亞州通過的消費者隱私法案（CCPA）成為美國隱私與個人信息保護領域的州立法典范，也是與 GDPR 相當的一部重要法律。這一領域的其他州立法還包括弗吉尼亞州、科羅拉多

87、州等相關立法。與前述趨勢不同，2021 年 7 月，美國統一法律委員會投票通過了統一個人數據保護法（UPDPA），這是一項旨在統一州隱私立法的示范（不具有強制性，需要由州立法機構引入和轉化為州法）法案，法案為隱私與個人信息監管提供了一個替代方案。這也體現出個人信息與隱私法律保護問題的復雜性與持續性。此外，歐洲法院在先后裁決 2016 年簽署的隱私盾協議、2000 年簽署的安全港協議無效后，美國與歐盟之間圍繞數據安全流動如何更新“數據隱私框架”，不僅是美國數據跨境法律需要解決的頭等問題，也為包括中國在內的各國數字安全領域政策法律所關注。3.1.2.3 俄羅斯俄羅斯從國家信息安全學說（1994 年

88、籌劃，2000 年制定，2016 年更新）開始，俄羅斯開始逐步構建起網絡安全防護法律體系，俄羅斯聯邦通訊法俄羅斯聯邦關于信息、信息技術和信息保護法修正案（兩者合稱主權互聯網法）等被公認為是俄羅斯在網絡安全法體系方面的基本框架。2023 云安全聯盟大中華區版權所有452018 年 1 月開始施行的俄羅斯聯邦關鍵信息基礎設施安全法是近年來俄羅斯在網絡與數字領域最為重要的關鍵性法律，其旨在建立并調整俄羅斯聯邦關鍵信息基礎設施安全保障領域的法律關系。2019 年 11 月，主權互聯網法頒布生效，兩者共同支持了包括與國際互聯網絡“斷網”測試演習、禁止關鍵信息基礎設施（CII）設施使用外國軟件（以總統令

89、形式確立）等在內的一系列重大網絡活動。整體上，俄羅斯的網絡與數字安全法律政策具有獨立性特點，這可能與其地緣政治等因素有關。3.1.2.4 日本與韓國日本與韓國2014 年 11 月，日本國會批準了網絡安全基本法，首次從法律上定義了網絡安全，設立網絡安全戰略總部負責制定網絡安全戰略并保障其實施。在個人信息保護領域，個人信息保護法于 2003 年 7 月制定，2005 年 4 月 1 日正式實施。2020 年多次修改后的修正案于 2022 年 4 月 1 日起正式實施。修正案回應了近年來全球范圍內個人信息保護與沖突的個案和爭議，在適用范圍、作為獨立監管機構的個人信息保護委員會（PPC）的職責和數據

90、跨境規則等方面都進行了擴展?？偟挠^察認為，日本對個人信息的法律保護極為重視，在個人信息跨境流動方面與歐盟立場相近。其他方面，日本還通過出臺和修訂諸如電信事業法防止不正當競爭法禁止未經授權的計算機訪問法等法律對電信運營商義務、數據交易、打擊網絡犯罪進行明確，也可視為在網絡安全基本法框架下的典型細分做法。從 2007 年促進使用信息通信網絡及信息保護相關法和 2011 年個人信息保護法算起，韓國持續推動個人信息保護法律化，截至 2020 年，韓國國會已經通過（和修訂）了旨在明確收集、利用的個人信息范圍和保障數據產業發展的公共信息和公共數據門戶服務指南公共數據公開與利用法案個人信息保護法（PIPA

91、）、信用信息保護法位置信息的保護與利用相關法等相對完整的監管體系。在信息技術和信息（數字）基礎設施安全保障領域，韓國早在 2001 年通過信息通信基礎設施保護法（2007 年開始持續修訂），2015 年 3 月制定云計算發展與用戶保護法，2021 年 8 月修正電信業務法，為推動數字經濟的公平和安全發展提供法律依據。3.1.2.5 新加坡新加坡新加坡個人信息保護領域的基礎性法律是 2012 年通過的個人數據保護法，在該法下構建了包括保護、通知、執法等一系列配套規則，并于 2020 年 11 月 2 日通過了個人數據保護法的修正法案。2023 云安全聯盟大中華區版權所有462013 年反計算機濫

92、用和網絡安全法電子交易法修訂后，新加坡近年來在網絡與數字安全領域的主要法律成果是網絡安全法，該法于 2018 年 2 月議會通過，是落實新加坡網絡安全戰略的重要舉措，旨在建立關鍵信息基礎設施所有者的監管框架、網絡安全信共享機制、網絡安全事件的響應和預防機制、網絡安全服務許可機制，為新加坡提供綜合、統一的網絡安全法律基礎框架。此外，新加坡對統計法等細分領域的法律進行調整，為保障和推動數字經濟和人工智能技術發展、智慧城市建設提供了依據，具有鮮明的地域特征。3.1.2.6 其他其他在 2010 年至 2020 年之間，國際上主要的國家和地區都在網絡安全、數字治理等領域進行了法律布局，并先后頒布了“網

93、絡安全”“個人信息保護”等主題或類似法律。除前述法律外，還包括印度信息技術法（2000）和個人數據保護法（2019）、巴西個人數據保護法（LGPD）（2020）、肯尼亞個人數據保護法（2019）等等。另外一些英美法系國家，如加拿大則與美國相似，在個人信息保護、新技術規范等領域的法律呈現碎片化和案例法的特點。從法律調整范圍上看，目前各國在網絡與數字安全領域的法律基本都涵蓋了個人信息保護、關鍵（信息）基礎設施保護、網絡內容監管（側重各有不同）、反不正當競爭和反壟斷、（虛擬貨幣、密碼、云計算、人工智能、推薦算法、量子計算等）新技術新業態促進與規制等等。3.1.3 國際公約、多邊與雙邊協定國際公約、多

94、邊與雙邊協定全球范圍內看，在數字安全領域的法律與政策推動，也與國際組織、多邊和雙邊協定等方式密切相關。特別是在聯合國框架內，各國圍繞數字經濟與轉型的諸多問題，形成了相當豐富的公約、協定、協議等法律文件，中國在其中亦發揮有重要作用。3.1.3.1 聯合國聯合國聯合國及聯合國下設機構在網絡與數字安全領域形成了諸多法律類文件和成果，涵蓋了從個人信息到行業數據，從數字經濟安全到打擊網絡犯罪的各個方面。簡要列舉如下：個人信息領域，聯合國對個人信息保護的關注可以追溯到 1948 年的世界人權宣言宣言成為全球和區域層面人權法的恒久基礎。其他典型文件包括 1990 年個人資料保護指南所確立的十項原則和相關文件

95、；數字經濟和行業數據領域，聯合國大會1996 年 12 月通過的電子商業示范法是及其重要的服務貿易法律文件，其所定義的“數據電文”等基礎概念為各國所援引，推動了新千年以來各國電子商務和數字經濟的立 2023 云安全聯盟大中華區版權所有47法化活動，下設機構自動駕駛車輛工作組（GRVA）在 2019 年通過自動駕駛汽車框架文件等智能網聯汽車領域強制性法規，體現了在細分行業領域聯合國關注事項的進展；聯合國大會 2002 年 12 月通過創造全球網絡安全文化的要點，2015 年提出2030年可持續發展議程，2021 年聯合國貿易和發展會議發布年度數字經濟報告，這些文件呼吁創造全球網絡安全文化，通過

96、全球數據治理框架解決數據跨境流動監管法律沖突問題，擁抱數字經濟的變革與調整；而在網絡犯罪領域，2021 年 5 月，第 75 屆聯合國大會通過關于打擊網絡犯罪公約談判安排的決議，并于 2022 年 1 月正式啟動，這是自 2001 年布達佩斯網絡犯罪公約（Cyber-crime Convention，又譯打擊網絡犯罪公約）之后，國際上針對網絡安全犯罪的打擊、懲治的最為重要的法律活動。為應對日益復雜的數字安全問題，聯合國通過信息安全開放式工作組（UN OEWG）和政府專家組（UN GGE）的安排，進行聯合國框架下的網絡空間國際規則制定，至 2021 年已經取得階段性重要進展，這些努力也將繼續貢獻

97、聯合國體系下的數字安全治理法律和可持續發展理念。3.1.3.2 OECD 與與 APEC 在數字安全領域的典型文件在數字安全領域的典型文件1980 年的經濟合作與發展組織（OECD）關于隱私保護和個人數據跨境流動的指導原則列舉的八項原則（2013 年更新），成為包括歐盟 GDPR、亞太經濟合作組織 APEC等個人信息保護法律活動的早期淵源。除該原則外，OECD 還針對密碼技術提出了密碼政策指南八項原則（1997）、就各國網絡政策建議的網絡政策制定原則的指南（2011）、在人工智能領域于 2019 年 5 月發布了人工智能原則等，對其成員國內部的法律協調起到了極其重要的作用。亞太經濟合作組織（A

98、PEC）最為重要的網絡與數字安全法律文件是構建了一整套跨境隱私規則體系（CBPR）。2005 年 APEC 制定了包括隱私原則和實施指南在內的隱私框架，提出九項個人信息保護原則，2011 年 CBPR 經表決通過（2016 年修訂）。CBPR 體系建立了一套由政府支持的基于自愿和可執行的隱私保護認證機制。3.1.3.3 WTOWTO 構筑的國際貿易協定體系文件主要包括關稅及貿易總協定（GATT）、服務貿易總協定（GATS）、技術性貿易壁壘協定（TBT）和與貿易有關的知識產權協定（TRIPS）等。作為國際貨物、服務貿易領域最重要的組織和體系設計者，盡管對數字數據跨境的產品貿易是屬于貨物貿易還是服

99、務貿易存在一定的爭議，但 WTO 仍在努力實現向貿易數字化轉型，與數字安全相關的議題主要集中于數字跨境規則（一般原則和為國家安全的除外情形）的設定，近年來這一領域的討論始于 2019 年通過的關于電子商務的聯合聲 2023 云安全聯盟大中華區版權所有48明，相關工作仍在繼續。3.1.3.4 區域全面經濟伙伴關系協定（區域全面經濟伙伴關系協定（RCEP）2020 年 11 月 15 日，中國與東盟十國及日本、韓國、澳大利亞及新西蘭共同簽署區域全面經濟伙伴關系協定（RCEP），其中包括了對區域內國家的貿易、經濟及社會的數字化發展如何建立數據治理框架和強化打擊網絡犯罪的合作等內容的考量，并特別的將電

100、子商務作為專章進行規定，設定了消費者和個人信息保護、垃圾信息治理、網絡安全保護、電子簽名、跨境電商與傳統制造業融合等內容。對于 RCEP 面臨的區域內各國的經濟發展水平、信息化水平和網絡安全能力的差異問題，觀察認為，一方面差異的存在為保障數字安全的基線保障提出挑戰，另一方面也為各國促進數字經濟發展提供了數字技術的各種可能。3.1.3.5 全面與進步跨太平洋伙伴關系協定（全面與進步跨太平洋伙伴關系協定（CPTPP）2018 年底正式生效的全面與進步跨太平洋伙伴關系協定（CPTPP）是數字經濟領域及其重要的多邊協定，與 RCEP 類似，CPTPP 也專章規定了電子商務等內容，對網絡安全、數據跨境等

101、都設定了相應的規則要求。2021 年 9 月 16 日，中國正式提出申請加入。3.1.3.6 其他區域組織和法律文件其他區域組織和法律文件2016 年 G20 杭州峰會通過了二十國集團數字經濟發展與合作倡議。這是“數字經濟”重要文件首次亮相國際治理舞臺，明確提出應“提高基于信息通信技術的關鍵基礎設施的安全性，以使信息通信技術繼續成為加快經濟發展的可靠動力”，“通過確保尊重隱私和個人數據保護，樹立用戶信心，這是影響數字經濟發展的關鍵因素”。2017 年，G20為數字經濟的安全與發展首次專門設定了數字經濟部長會議，2021 年成立專門的數字經濟工作組，其短期目標包括在網絡安全上達成共識，以實現包容

102、性數字轉型。上海合作組織于 2007 年批準上海合作組織成員國保障國際信息安全行動計劃，隨后推出了多部法律文件，特別是 2019 年通過上合組織成員國關于數字化和信息通信技術領域合作的構想，并于 2020 年簽署上海合作組織成員國元首理事會關于數字經濟領域合作的聲明，體現了對數字經濟領域的高度關注。2020 年 6 月新加坡、智利和新西蘭初始完成數字經濟伙伴關系協定（DEPA）的在線簽訂。DEPA 是數字貿易領域最早的單獨協定，針對性的協調數字貿易合作，制定數字貿易規范，以為全球數字經濟制度安排提供模板。中國于 2021 年 11 月 1 日正式提出申請加入。2023 云安全聯盟大中華區版權所

103、有493.1.3.7 中國網絡空間國際合作戰略與全球數據安全倡議中國網絡空間國際合作戰略與全球數據安全倡議中國在上述涉及數字安全的多邊和雙邊體系下，正通過參與主辦、提出方案、協商斡旋等方式貢獻中國這一最大發展中國家的獨特價值。近年來特別是通過網絡空間國際合作戰略與全球數據安全倡議9等文件，提議和推動網絡空間命運共同體這一命題的建設。在 2017 年網絡安全法頒布前后，網絡空間國際合作戰略同期發布，2020 年 9 月全球數據安全倡議提出，為全球數字治理不斷提供中國方案。數字安全領域的主要法律一覽表如下10：個人信息個人信息/隱私保護關鍵（信息）基礎設施與政府信息數據與數字經濟；信息與網絡安全技

104、術網絡內容與執法協助隱私保護關鍵（信息）基礎設施與政府信息數據與數字經濟；信息與網絡安全技術網絡內容與執法協助中國個人信息保護法民法典關鍵信息基礎設施保護條例網絡安全法數據安全法密碼法數據出境安全評估辦法國家安全法反恐怖主義法美國消費者隱私法案（CCPA）統一個人數據保護（示范）法（UPDPA）國土安全法愛國者法外國情報監控法聯邦信息安全管理法網絡安全促進法網絡安全信息共享法國家量子倡議法綜合財政撥款法數字千年版權法通信協助執法法案澄清合法使用境外數據法案（云法案）、外國投資風險審查現代化法歐盟通用數據保護條例非個人數據自由流動條例網絡安全法網絡與信息安全指令（NIS/NIS

105、2）數字服務法數字市場法數字內容合同指令俄羅斯俄羅斯聯邦關鍵信息基礎設施安全法國家信息安全學說主權互聯網法日本個人信息保護法網絡安全基本法防止不正當競爭法電信事業法禁止未經授權的計算機訪問法韓國個人信息保護法促進使用信息通信網絡及信息保護相關法信息通信基礎設施保護法公共信息和公共數據門戶服務指南公共數據公開與利用法案云計算發展與用戶保護法電信業務法信用信息利用與保護法位置信息的保護與利用相關法新加坡個人數據保護法電子交易法統計法反計算機濫用和網絡安全法表 3-1 數字安全領域的主要法律9一般認為，多邊和雙邊協定、協議屬于對簽署國有約束力的法律文件，倡議和戰略不具有強制約束力。盡管倡議類文

106、件可以作為自我要求和承諾，但不應視為具有法律意義上的約束力。10按照重要性原則，列出各國主要的法律文件，但非全部法律。2023 云安全聯盟大中華區版權所有503.2 數字安全治理數字安全治理數字安全治理核心是為數字經濟服務與賦能，保證數字經濟的安全、合規、公平、效率，讓所有數字經濟參與者都能夠更加積極主動的去擁抱數字經濟，充分利用各種數字化手段創造價值并享受價值?？梢哉f，數字安全治理是數字化的支柱與基石。數字安全治理的效果，將使得無論是關鍵基礎設施行業，還是個體公民，都能夠安全放心的使用數字化產品與服務，共創數字時代安全、繁榮、美好的未來。數字安全治理屬于組織治理的一部分，幫助組織在實現數字化

107、轉型過程中有效對抗各類數字安全風險，實現平滑過渡；保障組織在數字化轉型后充分享受數字化帶來的效率與收益，并以合理的成本控制數字安全風險。其驅動力主要來自于兩個方面：合規、安全、隱私要求。滿足組織所在地區與國家有關數字安全法律法規的要求，例如歐盟的通用數據保護條例（GDPR）數字服務法案數字市場法案；以及中國的中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法中華人民共和國密碼法中華人民共和國電子商務法中華人民共和國電子簽名法等；組織自身運營要求。數字經濟時代，數字資產與設施已經成為組織基本生產要素與核心競爭力，因此保護好所擁有的數字資產是組織經營的基礎，良好的安全治

108、理可以協助組織增加利潤，控制成本。同時，組織的最終客戶也會對組織的數字安全建設提出要求，一個自身存在嚴重數字安全風險的組織無法為其最終客戶提供安全的業務，易導致客戶滿意度下降及客戶流失。數字安全治理確保整個組織對數字安全建設和運營達成共識，確保組織數字資產能夠得到有效的保護，節約資源，創造價值。數字安全治理涵蓋了戰略層與執行層：在數字安全戰略層面，數字安全治理主要關注于董事會和高層管理者如何對待數字安全，并形成數字安全治理戰略，數字安全治理戰略必須與組織數字化目標與愿景一致，協調多方利益，強調多方共同參與，從而獲得關鍵決策人支持，獲取預算與人力支持，并形成清晰、明確、可執行、系統化、基于風險評

109、估的數據安全治理長期規劃。在數字安全執行層面，數字安全治理主要關注于如何建立、實施、運行、改進數字安全管理體系，結合組織數字化現狀與遠景，制定行之有效的治 2023 云安全聯盟大中華區版權所有51理規則與過程行動計劃，包括網絡安全計劃、信息安全計劃、數據安全計劃、身份安全與隱私保護計劃、元宇宙安全計劃等等，用以緩解/遏制當前及未來所面臨的各種數字化安全威脅與風險。數字安全治理無論是對于中心化的信息互聯網安全、網絡空間安全(Cybersecurity)，還是對去中心化的價值互聯網安全、元宇宙安全，都應該形成自上至下的框架，包括概念、邏輯、物理、組件、運營，并在執行層面形成包括戰略&規劃，設計，執

110、行，管理&度量的完整流程。數字安全治理主要工作包括：制定組織數字安全戰略與目標，包含預算與人力資源投入計劃，由組織最高管理層批準執行。制定治理、風險管理和合規性（GRC）框架，框架首先要滿足數字安全相關法律、法規、條例監管要求（見 3.1 節）。法律法規通常以提出監管要求為主，在具體執行層面，可以參考組織所在區域、國家、行業相關數字安全標準與最佳實踐制定安全框架，例如 GB/T 22239-2019 信息安全技術、網絡安全等級保護基本要求、ISO/IEC 27002:2022 信息安全、網絡安全和隱私保護-信息安全控制等標準；以及 TOGAF、COBIT、SABSA、NIST CSF 網絡安全

111、框架等。風險與業務影響評估：所有數字資產（網絡、計算、存儲、數據、應用、服務）都需要通過業務影響評估（BIA）明確其安全風險與安全需求，可以參考 ISO 31000：2009 風險管理原則和指南進行評估。數字安全體系建設：基于風險評估結果進行安全體系規劃、設計、實施，可參考 ISO/IEC 27002:2022 標準，選擇并部署適合自身需求的控制措施。數字安全體系運營與持續改進：可參考 ISO/IEC 27002:2022 標準內容，按照Plan（計劃）-Do（執行）-Check（檢查）-Act（行動）循環對組織的數字安全系統進行持續評估與優化。數字安全治理框架按適用性范圍可以劃分為通用領域框

112、架，以及特定領域框架。通用領域常見數字安全框架有：GB/T 22239-2019 信息安全技術：網絡安全等級保護基本要求。技術要求：涵蓋安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等方面的要求。2023 云安全聯盟大中華區版權所有52管理要求：涵蓋安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等方面的要求。ISO/IEC 27002:2022 信息安全、網絡安全和隱私保護-信息安全控制：信息安全管理體系(ISMS)標準，旨在通過明確的管理控制滿足信息安全需求，包含如下四個方面的控制措施：組織安全控制人員安全控制技術安全控制物理安全控制TOGAF（企

113、業架構標準）：從安全、隱私和運營風險角度開發和整合企業安全架構，以有效和高效的方式實現業務目標。TOGAF 核心部分的架構開發方法（ADM）為開發企業架構提供了一個經過測試且可重復的過程，包括建立架構框架、開發架構內容、過渡和治理架構實現相關的活動，以有效和高效的方式實現業務目標。圖 3-2 ADM 架構開發生命周期（圖中內容摘自 TOGAF Version 9 官方介紹文檔）2023 云安全聯盟大中華區版權所有5311TOGAT ADM 強調企業安全架構并不是孤立存在的，它是企業的一部分，應該與企業整體架構集成。雖然 IT 架構師往往主要關注系統如何工作，而安全架構師主要關注系統可能如何失敗

114、，但安全架構設計應該被盡可能早的引入整體架構設計之中。安全架構主要關注領域包括：認證、授權、審計、保障、可用性、資產保護、安全策略管理、風險管理等方面內容。典型的安全架構組件包括：關于數據/信息資產處理的業務規則、書面和發布的安全策略、編碼數據/信息資產所有權和保管、風險分析文檔、數據分類政策文件等等。COBIT（信息及相關技術控制目標）：提供了一個全面的框架，可幫助組織實現 IT 治理和管理目標。Sherwood Applied Business Security Architecture(SABSA)：介紹如何開發以風險驅動的企業信息安全和信息保障體系結構以支持關鍵業務計劃的層次化方法；S

115、ABSA 認為許多組織存在的問題在于信息安全解決方案通常是在戰術層面而非戰略層面上設計、獲取和實施的，并且每個解決方案都是獨立設計,不能保證它們之間的兼容性和互操作性。避免這些問題的一種方法是開發企業安全架構，該架構由業務驅動，描述了技術和程序解決方案之間通過結構化相互關系支持業務的長期需求。如果架構要成功，那么就必須提供一個合理的框架，在這個框架內可以根據安全解決方案的選擇做出決策。決策標準應來源于對業務需求的透徹理解，包括：降低成本需求、模塊化、可擴展性、易使用性、內部和外部互操作性、與企業 IT 架構及其遺留系統的集成，等等。SABSA模型基于著名的 Zachman 框架，用于開發企業架

116、構模型，以建筑物設計為參考設計了六層架構層次化模型，每一層都代表了建筑設計、建造和使用過程中不同參與者的觀點，用于輔助組織開發安全架構。一個組織的安全架構設計可以以建筑師視角為參考，分別從業務視角、架構視角、設計視角、建設者視角、實施者視角、服務和管理視角出發進行業務、概念、邏輯、物理、組件、安全服務管理架構設計；SABSA生命周期包括戰略與規劃、設計（包括邏輯、物理、組件和服務管理11TOGAF9:www.opengroup.org/togaf 2023 云安全聯盟大中華區版權所有54架構設計）、實施、管理和衡量四個階段。圖 3-3 安全架構的 SABSA 模型12NIST 網絡安全框架（C

117、SF）:包含用于管理網絡安全相關風險的標準、指南和最佳實踐，該框架是一種基于風險的網絡安全風險管理方法，由三部分組成：框架核心、框架實現層和框架概要。每個框架組件都加強了業務/任務驅動因素與網絡安全活動之間的聯系?？蚣芎诵牟糠侄x了包括識別、保護、檢測、響應、恢復在內的核心功能。數據治理領域相關的數字安全框架有：ISO/IEC 38505 系列標準：該系列標準提出了數據治理框架（包括目標、原則和模型），以及數據治理的“E（評估）-D（指導）-M（監督）”方法論。DGI（國際數據治理研究所）數據治理框架：采用 5W1H 設計原則，分為人員與組織架構、規則、治理流程三個層面，關注如何管理數據，12

118、SABSA:https:/sabsa.org/sabsa-white-paper-download-request/2023 云安全聯盟大中華區版權所有55實現數據價值，最小化成本和復雜性，管理風險以及確保遵守不斷增長的法律、法規和其他要求。DAMA（國際數據管理協會）數據管理模型：數據治理是對數據管理的高層計劃與控制，在數據安全管理方面，強調確保隱私、保密性和適當的訪問權限等。Gartner DSG 數據安全治理框架：Gartner 認為數據安全治理是信息治理的一個子集，通過明確的數據策略和流程來保護公司數據，Gartner將數據治理分為四個部分：規范、計劃、建設和運營，定義了企業數據治理四

119、個階段重點應關注的內容。第三方支付行業(支付卡行業 PCI DSS)數據安全標準：適用于任何接受、傳輸或存儲持卡人數據的公司，從信息安全管理體系、網絡安全、物理安全、數據加密等方面提出了安全基線要求。IBM 數據治理統一流程：IBM 提出數據治理統一流程（The IBM DataGovernance Unified Process），描述了面向數據治理從業者的統一流程，對基于 IBM 產品、服務的最佳實踐實施數據治理的 14 個步驟進行了解釋說明。隱私保護領域相關的數字安全框架有：微軟隱私、保密和合規性框架（Data Governance for Privacy,Confi

120、dentiality and Compliance，DGPC）：圍繞人員、流程和技術等能力領域，幫助組織更好的進行數據安全風險控制；DGPC 框架創建了一個環境，可以識別對隱私的威脅，包括不與網絡安全威脅重合的隱私威脅，例如在收集何種類型的個人信息以及如何使用、處理和共享這些信息方面侵犯客戶的選擇和同意權；DGPC 框架可以與組織現有的 IT管理和控制框架（如 COBIT）以及安全標準（如 ISO/IEC 27001/27002和支付卡行業數據安全標準（PCI DSS）協同工作。DGPC 框架圍繞三個核心能力領域組織：人員、流程和技術。人員：數據治理流程和工具的有效性取決于使用和管理它們的人。

121、流程：首先各種數據安全相關規定必須滿足權威文件要求（法規、條例、標準、公司政策和戰略文件）；下一步是定義指導原則和政策以滿足這些要求；最后組織應識別特定數據流中對數據安全、2023 云安全聯盟大中華區版權所有56隱私和合規性的威脅，分析相關風險，并確定適當的控制目標和控制活動。技術：Microsoft 開發了一種方法分析特定的數據流，并識別信息安全管理系統和/或控制框架更廣泛的保護措施可能無法解決的剩余風險。這種方法涉及填寫一份稱為風險/差距分析矩陣的表格，該表格圍繞三個要素構建：信息生命周期、四個技術領域（基礎設施安全、身份及訪問控制、信息保護、審計和報告）以及組織的數據隱私和保密原則。隨著

122、組織管理越來越多的機密數據，他們在保護數據免受盜竊、濫用或未經授權的披露方面面臨著越來越復雜的挑戰。DGPC 通過提供一種整體方法識別針對數據隱私、安全和合規的數據流特定威脅，并通過有效和高效的方式解決剩余風險，補充了現有的安全標準和控制框架。NIST 隱私框架：通過企業風險管理提高隱私保護能力，幫助企業或組織保護個人隱私，以便其更好遵守相關的隱私法律與政策。NIST 隱私框架遵循 NIST 網絡安全框架（CSF）的結構，促進兩個框架的共同使用。與 NIST 網絡安全框架一樣，隱私框架由三個部分組成：核心層、概要層和實現層。每個部分通過業務和任務驅動因素、組織角色和責任以及隱私保護活動之間的聯

123、系來加強隱私風險管理，核心層定義了包括識別、管理、控制、溝通、保護在內的核心功能，用于管理數據處理過程中可能產生的隱私風險。NIST 隱私框架的目的是通過以下方式幫助組織管理隱私風險：在設計和部署影響個人的系統、產品和服務時考慮隱私因素；溝通組織的隱私保護實踐；鼓勵跨組織員工協作來加強隱私保護。NIST 隱私框架可以幫助組織優化數據的使用以及創新性系統、產品和服務的開發，同時最大限度地減少對個人的不利影響。隱私框架可以幫助組織回答一個基本問題：在開發系統、產品和服務時，應該如何考慮其對個人隱私的影響？在數字安全治理體系下，所有參與者都需要明確自身的角色與職責；所有安全控制措施則從不同的角度與層

124、面（例如組織層面、人員層面、物理層面、技術層面）提供具體的安全能力與支持，成為數字安全治理最終落地的具體組件，在這個過程中，無論是董事會，管理層，CEO,CIO,CISO,還是每一個組織成員，都在數字安全治理體系下，作為規則制定者、執行者、檢查者、遵守者來完成恪盡職守（Due care&Due diligence）。2023 云安全聯盟大中華區版權所有573.3 數字安全標準數字安全標準在全球數字經濟大力發展的趨勢下，全球各國都在積極推動數字經濟安全相關標準的研究和編制工作，為數字經濟高速發展、安全發展、高質量發展提供了土壤，為強化數字經濟安全提供了發展路徑和技術指導，為數字經濟安全發展指明了

125、方向。3.3.1 聯合國聯合國聯合國高度重視數字經濟發展和數字經濟安全，2022 年 2 月 15 日，聯合國開發計劃署（UNDP）發布了2022-2025 年數字戰略，第二部分提出的全社會方法的標準規則中提出了網絡安全標準規則，給出了數字安全標準化工作指引。在這個戰略計劃中，數字化是幫助聯合國開發計劃署實現其核心目標的三個主要手段之一。數字技術可以通過促進公民參與和政治參與來推進公平公正，通過認證、數據交換和支付以減少腐敗現象。3.3.2 ITU-TITU-T SG17 是 ITU-T 負責制定安全相關標準的工作組。ITU-T SG17 中與數字安全相關的標準項目可分為以下幾類：個人信息安全

126、、生物特征信息安全、云計算安全、大數據安全、電子商務與金融科技、生物識別、車聯網、區塊鏈等特定行業或技術領域的網絡安全。目前，ITU-T SG17 已發布和在研的標準項目包括：X.1033運營商提供的個人信息服務安全指南，為運營商開展個人信息服務提供技術指引和實施建議，幫助運營商搭建安全的個人信息服務安全體系、X.1641云服務客戶數據安全指南，給出了云服務客戶數據安全風險指引和防護指”，為云服客戶數據安全以及云服務提供商數據服務安全提供了參考。X.GSBDaaS 大數據服務安全指南給出了大數據安全服務的安全要求和實施方案，為供應商提供安全的大數據服務提供參考。X.dlt-sec使用分布式賬本

127、數據進行身份管理中的安全考慮分析了分布式賬本數據面臨的安全風險，以及進行身份管理時需要重點關注的安全事項等。3.3.3 ISO/IECISO/IEC JTC1/SC 27 是 ISO/IEC JTC1 下屬信息安全分技術委員會。SC 27 中與數字安全相關的標準可分為以下幾類：信息安全管理、ICT 供應鏈安全、個人信息安全、云計算安全、大數據安全、物聯網安全等。其中，ISO27000 標準體系已經成為世界上應用最廣泛與典型的信息安全管理標準體系。標準適用于各種性質、各種規模的組織，如政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等開展信息安全管理工作。ISO27001 2023 云安全

128、聯盟大中華區版權所有58是系列標準的主標準，各類組織可以按照 ISO27001 的要求建立自己的信息安全管理體系(ISMS)，標準體系還包括ISO 27002 信息技術安全技術信息安全管理實踐規范ISO 27003 信息安全管理體系實施指南ISO 27004 信息安全管理體系指標與測量等。ISO/IEC 27036 信息技術安全技術供應鏈關系的信息安全標準體系由多個標準族集合而成，用于評價和處理供應商在提供服務或產品過程中可能面臨的信息安全風險，給出了 IT 產品和服務安全控制的指引，包括ISO/IEC 27036-1 第 1 部分：概述和相關概念ISO/IEC 27036-2 第 2 部

129、分：要求ISO/IEC 27036-3 第 3 部分：ICT 供應鏈安全指南和ISO/IEC 27036-4 第 4 部分：云服務安全指南等。SC 27 中個人信息相關標準有ISO/IEC 29151:2017 信息技術安全技術 PII 保護實踐指南等，該標準可供組織在云計算信息安全管理系統實施過程中選擇個人信息保護控制措施時參考，也可作為個人信息處理者實施普遍接受的個人信息保護控制措施的指導性文件。SC27 中云計算安全標準有ISO/IEC 19086-4 云計算服務水平協議(SLA)框架第 4 部分：安全與 PII 保護等，該標準給出了云服務級別協議（Cloud SLA）個人識別信息

130、組件、SLO 和 SQO 的安全和保護，包括要求和指導。SC27 中大數據相關標準有ISO/IEC 20547-4 信息技術大數據參考架構第 4 部分：安全與隱私保護等，該標準作為 ISO/IEC 20547 系列標準之一，是 SC27 發布的第一項關于大數據安全與隱私保護的國際標準，標準從用戶和功能兩個視角對大數據安全與隱私保護的參考框架進行了描述。3.3.4 NIST美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）直屬美國商務部，從事物理、生物和工程方面的研究，提供標準、標準參考數據及有關服務。NIST

131、十分重視數字安全相關標準的研制，目前已發布的關于數字安全的相關標準包括 SP 800 標準系列等。SP 800 是美國國家標準與技術研究院發布的一系列關于“信息安全的指南”，在 NIST 標準系列中，雖然 NIST SP 不作為正式法定標準，但在實際工作中，已經成為美國和國際安全廣泛認可的事實標準和權威指南。SP800 系列成為了指導美國信息安全管理建設的主要標準和參考資料。SP800-53 作為 NIST 信息安全的支撐性文件，提供了主動且系統的方法，確保關鍵的系統、組件和服務具有足夠的可信度和必要的網絡彈性。SP 800-171非聯邦信息系統和組織的受控非機密信息的保護，保護非法信息系統和

132、組織中的受控未分類信息，NIST SP 800-171 要求是 NIST SP 800-53（FedRAMP 使用的標準）的子集。NIST SP 800-171 的附錄 D 提供了其 CUI 安全要求與NIST SP 800-53 中相關安全控件的直接映射。SP 800-122 個人可識別信息機密保護指南給出了個人身份信息保密性方面的保護指南，為安全管理者、安全服務提供商、安全技術開發人員、系統實施人員和系統評估者提供指導。NIST 數字安全相關標準還包括 SP 2023 云安全聯盟大中華區版權所有591800-11數據完整性：從勒索軟件和其他破壞性事件中恢復等，企業可參照該指南從勒索軟件等破

133、壞性惡意軟件、內部攻擊、員工錯誤中恢復數據完整性（包括電子郵件、員工記錄、財務記錄和客戶的數據）。3.3.5 中國信息安全標準化技術委員會（中國信息安全標準化技術委員會（TC260）中國信息安全標準化技術委員會（TC260）是負責組織開展中國信息安全有關的標準化技術工作的組織。TC260 目前發布的數字安全標準包括：GB/T 35273-2020 個人信息安全規范GB/T 37973-2019 信息安全技術大數據安全管理指南GB/T 35274-2017信息安全技術大數據服務安全能力要求信息技術安全技術公有云中個人信息保護實踐指南等。GB/T 35273-2020 個人信息安全規范規定

134、了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求，適用于規范各類組織的個人信息處理活動，也適用于主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。GB/T 37973-2019 信息安全技術大數據安全管理指南提出了大數據安全管理基本原則，規定了大數據安全需求、數據分類分級、大數據活動的安全要求、評估大數據安全風險，標準適用于各類組織進行數據安全管理，可供第三方評估機構參考。GB/T 35274-2017 信息安全技術大數據服務安全能力要求規范了大數據服務提供者的安全能力，包括大數據服務提供者的安全能力，包括大數據服務提供者的

135、基礎服務安全能力、覆蓋數據生命周期管理的大數據活動安全能力、大數據平臺與應用的系統服務安全能力，適用于為政府部門和社會公眾提供大數據服務的相關方。3.3.6 美國國家安全局、美國網絡安全和基礎設施安全局美國國家安全局、美國網絡安全和基礎設施安全局2021 年，美國國家安全局發布企業采用加密域名系統協議的指南，給出了加密域名系統協議的使用指引，為企業開展相關工作提供了實施路線。零信任安全指南給出了部署零信任體系的方法和路線，為零信任安全的部署和工作開展提供了指南。IT-OT 連接保護指南分析了 IT-OT 連接保護的安全風險，并針對相關風險給出了具體保護建議。企業通信系統保護指南分析了企業通信系

136、統面臨的安全風險和風險防范措施。5G 云安全指南給出了 5G 云下安全的防護要求和防護建議，為 5G 云安全部署提供了操作步驟。2021 年，美國網絡安全和基礎設施安全局發布防御軟件供應鏈攻擊指南為軟件供應鏈安全提供了保護建議，為動態應對軟件供應鏈攻擊提供了實施方案。此外，2021年度還發布了針對威脅情報分析 MITRE ATT&CK 指南Kubernetes 安全指南企業移動設備保護指南關于 VPN 的選擇和保護指南等標準。2023 云安全聯盟大中華區版權所有603.3.7 新加坡新加坡新加坡針對云計算安全領域，提出的多層云安全性標準 SS 584：2020(MTCS)在國際范圍內得到了很大

137、的認可和應用，是全球首個涉及多層云安全性的云安全標準。制定該標準的目的是鼓勵采用強有力的云計算風險管理和安全實踐，同時提高 CSP 的安全能力，標準中尤其以“數據治理”為控制域，提出了完整的安全措施要求。2019 年新加坡發布世界上第一部關于高級別自動駕駛汽車應用的國家準則自動駕駛汽車技術參考準則（Autonomous Vehicles Technical Reference，TR68），為自動駕駛汽車生產企業和技術開發商提供了指導規范，其中第 4 部分規范了自動駕駛車輛數據類型和格式要求。3.3.8 其他其他在國際范圍內，更多的國家和地區出于主動捍衛本國數據資源安全、積極融入數字經濟新秩序

138、等目的，出臺和完善各自的數字安全標準規范。例如：2021 年 2 月，歐洲網絡與信息安全局發布醫療保健服務云安全指南2021 年 11 月，英國政府發布技術收購安全規則指南為了全球數字經濟的健康發展，為了人類共同的數字化未來，國際范圍內需要能廣泛適用和認可的數字安全標準和實踐。第四章數字安全執行層第四章數字安全執行層數字安全執行層涵蓋了規則層落地所需的一切資源/工具及使用這些資源/工具的具體行動，主要包括數字安全技術、數字安全方案/產品、數字安全服務、數字安全教育等內容。4.1 數字安全技術數字安全技術4.1.1 原生安全原生安全原生安全是下一代互聯網原生安全，包括云計算、大數據、AI、5

139、G/6G、IoT、區塊鏈、量子計算等新興技術的安全防護措施。2023 云安全聯盟大中華區版權所有614.1.1.1 云計算云計算云計算安全技術包括云訪問安全代理（CASB）、托管檢測和響應（MDR）、軟件定義邊界（SDP）、基于身份的隔離、容器安全技術等具有顯著云安全特性的技術。CASB：主要以“安全即服務”(SaaS)模型在云服務本身部署，管理層可以通過CASB 知悉組織使用的云服務是否安全，查看從一個云傳輸到另一個云以及在內部部署的基礎結構和云之間傳輸的數據，通過數據加密或混淆、身份驗證和訪問控制的特定要求等確保數據以安全的方式存儲，還可以提供威脅防護，加強云上數據應用的訪問和身份驗證控制

140、措施。MDR：MDR 是一項網絡安全服務，根據全球與中國托管檢測和響應（MDR）服務市場現狀及未來發展趨勢的研究，MDR 結合了技術和人類專業知識執行威脅搜尋、監控和響應。MDR 的主要好處是有助于快速識別和限制威脅的影響而無需額外的人員配置。零信任：包含 SDP、基于身份的隔離以及 IAM。根據SDP 標準規范的研究，SDP 將服務與不安全的網絡隔離開來，僅在設備驗證和身份驗證后才允許訪問企業應用基礎架構?；谏矸莸母綦x是從軟件定義的隔離、微隔離 SEM（微分段）演變而來，基于身份的隔離面向身份定義網絡，用于云計算的細粒度的安全訪問控制。IAM 是數字身份的核心。云原生安全：根據云原生安全

141、技術規范，云原生安全包括容器基礎設施安全、容器編排平臺安全、微服務安全、服務網格安全、無服務器計算安全。相關技術細分為鏡像漏洞掃描、漏洞修復、容器級網絡隔離、容器入侵檢測、容器環境基線核查、微服務 API 安全防護、微服務應用安全防護等。云原生安全為云計算、虛擬化場景下的業務和應用系統提供安全保障。4.1.1.2 大數據大數據大數據開發利用涉及以下安全技術：大數據系統安全、大數據服務安全。大數據系統安全包括在大數據平臺下的物理安全（如環境安全、設備安全），還包括網絡安全如防火墻、身份認證與管理 IAM，軟件定義邊界 SDP、微分段 SIM 等。大數據服務安全包括在大數據平臺下的數據安全服務，以

142、數據分類分級、數據溯源、元數據管理為重點，同時數據脫敏，隱私計算，AI 賦能數據安全等數據安全技術也適應于大數據。2023 云安全聯盟大中華區版權所有62數據分類分級：根據工業和信息化領域數據安全管理辦法（試行）（征求意見稿)，數據分類分級根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，工業和信息化領域數據分為一般數據、重要數據和核心數據三級。信息安全技術網絡數據分類分級要求（征求意見稿）從國家數據安全管理視角，提出數據分類分級框架，如圖所示：圖 4-1 數據分類分級框架數據溯源：數據溯源包括數據標注追蹤、數據水印溯源以及基于區

143、塊鏈的溯源等。通過數據溯源能追蹤到異常發生的原因，還能幫助人們確定各項數據的來源。元數據管理：在大數據平臺中，元數據管理包括數據字典、數據資產清單、血緣分析與追溯系統。數據字典包含數據表和字段名稱，含義，類型和長度等基本信息，是偏技術層的元數據；數據資產清單更偏業務，是對應用層的數據資產進行管理的工具；血緣分析，主要是數據的指標和維度的字段，說明數據從哪些實體表逐層傳遞到最終應用層的數據表。4.1.1.3 AIAI 安全既包括樣本數據安全，也包括 AI 模型的保護安全。其中，數據安全相關的技術均適應于樣本數據的安全。為了保障 AI 整體的安全，AI 模型保護要對抗攻擊。AI模型保護包括 AI

144、模型本身以及 AI 模型運行環境保護。2023 云安全聯盟大中華區版權所有63AI 模型自身保護：AI 模型自身保護包括模型提取攻擊防御、成員推理攻擊防御、模型逆向攻擊防御、逃逸攻擊防御、后門攻擊防御以及數據投毒攻擊防御。AI 模型運行環境保護：運行環境保護主要涉及端到端加密、存儲加密、漏洞掃描與修復、數字簽名、訪問控制等。4.1.1.4 5G/6G5G/6G 網絡引入了網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等關鍵技術，為大量垂直行業提供服務，因此，網絡中將包含大量的用戶隱私信息，需要綜合多方面技術進行安全保障，這些技術包括設備接入、無線接入、邊緣計算、網絡切片安全技術等。設備接入：

145、識別允許接入的合規設備，限制違規設備接入，保障網絡中信息的通信安全，防止網絡竊聽等造成數據泄露。無線接入：以密碼技術為基礎，保護用戶數據和信令數據的安全。邊緣計算：依據邊緣計算安全技術綜述，邊緣計算安全技術主要是密碼安全技術，包括基于身份標識的密碼技術、RSA 和 ECC 密碼技術、基于配對的密碼技術、格密碼技術、多變量公鑰密碼技術等，防御設備層、通信層和邊緣計算層的安全攻擊。網絡切片：依據5G 網絡切片安全技術與發展分析，網絡切片安全技術包括切片自身安全、虛擬化安全。切片自身安全技術包括切片隔離、切片接入認證、差異化安全機制、切片通信安全以及用戶交互雙向認證安全；虛擬化安全包括 VNF 安全

146、、NFVI 安全、MANO 安全等。4.1.1.5 IoT依據物聯網安全規范13，物聯網安全技術框架如圖所示，13https:/c- 云安全聯盟大中華區版權所有64圖 4-2 物聯網安全技術架構物聯網系統安全防護主要從物理層、設備層、網絡層、應用層展開設計，包括物理安全、設備安全、網絡安全、通信安全、無線安全、應用安全以及數據安全。物聯網安全運營和運維主要通過安全事件管理、漏洞管理、日志監控審計、安全配置管理、安全培訓、安全操作管理和資產管理來保障。安全開發主要通過對整個開發流程的安全措施和策略、供應鏈安全以及安全測試保障安全。4.1.1.6 區塊鏈區塊鏈依據國家標準信息安全技術區塊鏈技術安

147、全框架（征求意見稿），區塊鏈涉及的安全技術如圖所示：2023 云安全聯盟大中華區版權所有65圖 4-3 信息安全技術區塊鏈技術安全框架應用層安全：應用層安全包括 API 接口安全技術以及訪問控制技術。合約層安全：合約層安全包括智能合約自身安全技術和智能合約執行環境安全。智能合約自身安全技術，如漏洞安全技術，安全審計技術（規則驗證、靜態分析、模糊測試技術、形式化驗證等技術）；智能合約執行環境安全如沙箱技術、可信追溯技術等。共識層安全：共識層安全包括共識準入，涉及身份認證技術、密碼技術等。網絡層安全：網絡層安全包括白名單或者 PKI 證書機制進行節點準入限制，基于密碼技術的通信保密機制以及 DN

148、SSEC 抵御針對 DNS 的中間人攻擊。數據層安全：數據層安全包括基于密碼技術的隱私保護和保密性、認證授權訪問控制技術、數據備份技術。物理環境安全：物理環境安全包括密鑰協商、數字信封、密文傳輸、側信 2023 云安全聯盟大中華區版權所有66道安全技術等硬件相關安全技術。4.1.1.7 量子計算量子計算量子秘鑰分發：量子理界最小的不可再分的基本單位，光的最小單位是光子，即稱“光量子”，就是量子的一種，在量子通信中，使用光子的偏振態（光子的相位信息）傳遞信息。單光子被調制到指定偏振角度，接收端通過一個偏振分波器將光子分束到任一探測器。秘鑰分發過程如下：發送端：隨機選擇 2 組偏振正交基的任意一種

149、調制單光子發送秘鑰。接收端：偏振基和發送端相同，即可以準確測量。如果不同，會隨機分配到某一個接收器。經典學的算法和協議大多是基于求解大數質因子分解問題、離散對數問題、二次剩余問題等數學難題的困難性，無法被嚴格證明是安全的。量子計算機可以在有限的時間內攻破經典密碼學中的基于數學難題的算法。簽名階段，簽名方先將源文件進行數字摘要，并用自己的私鑰加密該數字摘要構成自己的簽名，然后將簽名附在源文件后面發送給驗證方；驗證階段，驗證方收到簽名后，先對源文件進行數字摘要，得到數字摘要 1，再用簽名方的公鑰對簽名進行解密，得到數字摘要 2，比較數字摘要 1 和 2，若相等，則簽名通過驗證，否則簽名無效。由此可

150、以看出，數字簽名可以提供消息認證、確保消息的完整性并具有不可否認性的功能。數字簽名的實現大多基于公開密鑰算法，所以與經典密碼學遭遇的困境類似，數字簽名方案也容易受到攻破。隨著量子密碼學的發展，特別是量子密鑰分發協議的提出，人們將目光投向了量子領域。量子數字簽名方案結合了量子密碼學和數字簽名技術，利用量子力學原理可達到無條件安全性。4.1.2 數字身份數字身份數字身份以 IAM 為代表。依據IAM 白皮書14，IAM 包括了身份管理、登錄認證、訪問控制與權限管理、審計與風控。IAM 的架構如圖所示。14https:/c- 云安全聯盟大中華區版權所有67圖 4-4 IAM 架構身份管理：旨在構建企

151、業或組織中各類用戶在其信息化體系中統一規范的身份識別和管理體系，核心是基于工作流的賬號全生命周期管理。身份管理包含用戶管理、機構管理、應用管理、數據同步、密碼策略管理、生物特征管理以及用戶自服務等能力。權限管理：建立權限統一管理的入口，集中管理包含角色、機構、用戶組、菜單、按鈕等權限。統一認證與訪問管理：認證是驗證嘗試訪問受保護資源的實體的憑據的過程，單一登錄（SSO）是訪問管理的功能，其中用戶經過一次身份驗證，并且會話的憑據在安全域內的不同應用程序之間判定為可信。統一認證與訪問管理提供各類應用的統一登錄入口和集中導航，實現一套賬號體系登錄、全網通行；融合多種認證方式，構建統一認證服務能力。風

152、險管控：事先預設好的風險管理規則，同時根據用戶訪問元數據（時間、地點、習慣、賬號、關系、行為、權限等）實時計算用戶訪問行為的風險評分，當系統檢測到反欺詐風險時，平臺主動阻斷風險以保證用戶訪問的安全性。合規審計:通過平臺的可視化報表記錄用戶訪問行為，提供事后追溯能力，同時定期歸檔審計日志，持久化保存日志數據。4.1.3 網絡安全網絡安全網絡安全狹義的指網絡層的的安全防護與檢測技術，廣義的是指網絡層、應用層、2023 云安全聯盟大中華區版權所有68主機層這三個層次的安全防護與檢測技術。網絡層安全技術主要包含：DDOS 防護、網絡防火墻、網絡入侵檢測、網絡入侵防護、網絡漏洞掃描、虛擬專用網（VPN）

153、。應用層安全技術主要包含：Web 應用防火墻、API 安全主機層安全技術主要包含：端點檢測與響應、主機漏洞掃描。4.1.3.1 網絡層安全網絡層安全DDOS 防護：DDOS 防護手段主要有自主防御方法（如漏洞掃描、補丁更新、過濾服務和端口、檢查訪客來源等）、高仿服務器防御、高仿 IP 防御、高仿 CDN 防御、配置 WAF 等。網絡防火墻：網絡防火墻主要有實現技術有以下 5 種：包過濾技術、狀態檢查技術、應用服務代理、網絡地址轉換技術、完全內容檢測技術。網絡入侵檢測：網絡入侵檢測通過鏡像流量進行監聽分析，并將網絡數據包與自身規則庫對比，能夠及時發現網絡的安全現狀。目前網絡入侵檢測主要是通過規則

154、庫、行為分析模型進行安全檢測。網絡入侵防護：入侵防護技術將設備串行到網絡中，通過根據流量匹配規則庫進行識別，進行阻斷和放行，能夠識別 2-7 層的網絡協議。網絡漏洞掃描：漏洞掃描可以劃分為 ping 掃描、端口掃描、OS 探測、脆弱點探測、防火墻掃描五種主要技術。按照 TCP/IP 協議簇的結構，ping 采用 ICMP 協議，工作在互聯網絡層；端口掃描、防火墻探測工作在傳輸層；0S 探測、脆弱點探測工作在互聯網絡層、傳輸層、應用層。虛擬專用網（VPN）：VPN 屬于遠程訪問技術，通過加密技術在不同 Internet構建虛擬數據通訊隧道，實現數據在此專用虛擬鏈路上的安全傳輸。VPN主要包括 S

155、SL VPN、IPSecVPN。4.1.3.2 應用層安全應用層安全Web 應用防火墻（WAF）：WAF 檢測應用層協議數據，通過分析并匹配規則庫確定是否存在威脅訪問，判斷是阻斷還是放行，用于保護應用系統抵御來自應用層的攻擊。WAF 主要采用正則表達式，標簽器、行為分析、信譽分析以及機器學習等檢測技術，一般可以防護 CC 攻擊、IP 黑名單、添加安全標頭、添加 cookie 的 http-only 標志、實現 HSTS 機制、CSRF 令牌以及 2023 云安全聯盟大中華區版權所有69JavaScript 客戶端模塊等防護檢測能力。API 安全：API 安全主要以鑒權、認證等訪問控制措施進行識

156、別，并校驗輸入和輸出內容。API 安全涵蓋基于主機的認證，基本認證，OAuth，OAuth 2.0、SAML。4.1.3.3 主機層安全主機層安全端點檢測與響應（EDR）：端點檢測與響應,采用 agent+服務端架構，在客戶端安裝 agent，端點將采集的信息上傳到服務端并執行策略，服務端負責安全風險分析和策略下發。主機漏洞掃描：主機漏洞掃描技術的實現方式是在目標客戶端部署 agent，通過掃描客戶端所有系統組件、中間件、數據庫以及應用軟件的目錄和路徑、進程等信息，匹配管理端的漏洞庫信息，從而判定目標的漏洞狀態。主機漏洞掃描技術有兩種方式版本匹配與 POC 驗證。4.1.4 信息安全信息安全依

157、據 ISO 信息安全管理的相關標準，信息安全管理體系 ISMS 是組織整體管理體系的一個部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。4.1.4.1 質量管理質量管理質量管理包括 PDCA 質量管理模型。PDCA 過程方法也被稱為戴明環，是管理學中常用的一個過程模型，該模型在應用時，按照 P-D-C-A 的順序依次進行，一次完整的 P-D-C-A可以看成組織在管理上的一個周期，每經過一次 P-D-C-A 循環，組織的管理體系都會得到一定程度的完善，同時進入下一個更高級的管理周期，通過連續不斷的 P-D-C-A 循環，組織的管理體系能夠得到持續改進，管理水

158、平隨之不斷提升。圖 4-5 PDCA 質量管理模型 2023 云安全聯盟大中華區版權所有704.1.4.2 商業架構商業架構舍伍德商業架構模型（SABSA）：用于企業安全架構和服務管理的框架和方法論。由于 SABSA 是一個框架，意味著為構建架構提供了一種結構，也就意味著提供了建立和維護架構要遵循的過程。4.1.4.3 測量模型測量模型信息安全測量模型是將信息相關測量對象與其屬性關聯的結構。測量對象可包括己計劃的或已實施的過程、規程、項目和資源。測量模型如圖 4-6 所示，信息安全測量模型描述如何量化相關屬性并轉換為指標，以提供決策依據?；緶y度是可獲得的最簡單的測度?；緶y度通過對一個測量對

159、象所選擇的屬性應用測量方法產生。一個測量對象可能有許多屬性，但只有部分屬性可提供賦予基本測度的有用值。對于不同的基本測度，可使用一個給定的屬性。對每個基本測度應識別其測量方法。測量方法是一種邏輯操作序列，將屬性轉換為基本測度。測量方法被用于量化測量對象，其操作可能涉及統計出現次數或觀測時間推移之類的活動。一個測量方法能應用于一個測量對象的多個屬性。例如，測量對象可以是 ISMS 中已實施的控制措施的執行情況；受控制措施保護的信息資產的狀況；ISMS 中已實施的過程的執行情況；已實施的 ISMS 責任人的行為；信息安全責任部門的活動；感興趣方的滿意程度等內容。一個測量方法可以使用來自不同測量源和

160、屬性的測量對象，例如，風險分析和風險評估結果；問卷調查和人員訪談結果；內部和(或)外部審核報告；日志、報告統計和審計軌跡等事件記錄；事件報告，特別是那些產生影響的事件的報告；測試結果，如來自滲透試驗、社會工程、符合性測試工具和安全審計等工具的結果；與規程和方案相關的組織信息安全記錄，如信息安全意識培訓結果。2023 云安全聯盟大中華區版權所有71圖 4-6 信息安全測量模型信息安全測量模型4.1.4.4 風險管理風險管理風險管理常見的模型包括 COSO 風險管理模型和 COBIT 風險管理模型。COSO 風險管理模型：COSO 建立了一個共同的內部控制模式，公司和組織可以進行評估。COBIT

161、風險管理模型：COBIT 提供了一套可實施的信息技術控制，并圍繞IT 相關流程和推動因素的邏輯框架組織。4.1.4.5 能力成熟度能力成熟度能力成熟度模型 CMM 包括軟件工程領域的軟件能力成熟度模型(SW-CMM)，傳統制造業領域的系統工程能力成熟度模型(SE-CMM)，安全工程領域的系統安全工程能力成熟度模型(SSE-CMM)和系統安全工程能力成熟性模型評估方法(SSAM)等。除此之外，數據安全領域還有的數據安全能力成熟度模型（DSMM），是以 2019-08-30 發布，2020-03-01 實施的 GB/T 37988-2019 信息安全技術數據安全能力成熟度模型為依據的數據安全保護

162、體系。CMM 明確地定義了 5 個不同的成熟度等級。一個組織可按一系列小的改進向更高的成熟度等級前進。CMM 為工程的過程能力提供了一個階梯式的改進框架，基于以 2023 云安全聯盟大中華區版權所有72往工程的經驗教訓，提供了一個基于過程改進的框架圖。CMM 還指出一個組織在開發方面需要哪些主要工作，這些工作之間的關系，以及開展工作的先后順序。一步一步地做好這些工作可幫助組織走向成熟。4.1.4.6 安全開發安全開發軟件安全開發的生命周期包括：生命周期模型(Life Cycle Model)，包括瀑布模型、增量模型、快速原型模型、迭代模型、螺旋模型、凈室模型等。綜合的輕量級應用安全過程（CLA

163、SP），用于構建安全軟件的輕量級過程，包括由 30 個特定的活動和輔助資源構成的集合，用于提升整個開發團隊的安全意識，并針對這些活動給出了相應的指南、導則和檢查列表。軟件能力成熟度集成模型（CMMI 模型）：用于評價軟件開發組織過程能力成熟度的模型，后來該模型被用于軟件開發組織內部的軟件過程改進。軟件保證成熟度模型（SAMM 模型）：提供了一個開放的框架，用以幫助軟件公司制定并實施應對面臨來自軟件安全的特定風險的策略。B81MM(B81 成熟度模型：針對多個軟件公司的軟件安全項目進行研究的模型，該模型量化不同軟件安全項目所采取的措施和實踐，描述其共性和各自的特點。STRIDE 模型：進行威脅建

164、模的實踐。DevSecOps：在軟件開發生命周期的每個階段自動實施安全措施，支持以敏捷方法和 DevOps 的速度開發安全的軟件。DevSecOps 將應用和基礎架構安全無縫集成到敏捷和 DevOps 流程和工具中，在軟件投入生產環境之前可以更輕松、更快速、以更低的成本加以解決。此外，DevSecOps 使應用和基礎架構安全性成為開發、安全和 IT 運營團隊的共同責任，而不僅僅是安全職能的職責，使軟件更安全，可以更快完成開發。4.1.4.7 業務連續性業務連續性信息安全事件與應急響應：信息安全事件與應急響應對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰略的

165、一部分。災難備份與恢復：保證關鍵業務和應用在經歷各種災難后，仍然能夠最大 2023 云安全聯盟大中華區版權所有73限度地提供正常服務所進行的一系列系統計劃及建設行為，確保關鍵業務持續運行以及減少非計劃宕機時間。災難備份是災難恢復的基礎，是圍繞著災難恢復所進行的各類備份工作。災難恢復不僅關注信息系統恢復，而且考慮業務的恢復。4.1.5 數據安全數據安全數據安全技術包括：數據清洗、數據分類分級、數據訪問控制、數據安全審計、數據防丟失、數據加密、數據脫敏、數字版權、數據風險監測評估、數據溯源、數據刪除、數據備份、API 數據安全、數據隱私與合規、隱私計算、數據沙箱、零信任下的數據安全、AI 賦能數據

166、安全、人工智能模型、算法安全等。按照國家標準信息安全技術大數據服務安全能力要求對數據處理活動的劃分，數據處理活動分為數據的收集、存儲、使用、加工、傳輸、提供、公開和銷毀。4.1.5.1 數據收集數據收集數據收集安全技術包括數據清洗、數據分類分級、數據隱私與合規等。數據清洗：數據清洗的技術手段主要包括丟棄數據、補全缺失數據、不處理數據、數據真值轉換。數據分類分級:數據分類分級主要是針對數據資產的梳理和管理，也是數據安全防護的基礎，在大數據以及數據安全的不同階段都具有適應性。數據隱私與合規：數據隱私與合規在數據收集階段需獲得收集的授權，尤其是個人信息相關的知情同意。4.1.5.2 數據存儲數據存

167、儲數據存儲安全技術包括數據訪問控制、數據加密、數據防丟失、數據備份等。數據訪問控制：數據訪問控制主要是針對數據的身份驗證與授權。數據加密：以密碼學為基礎，集中在密鑰和算法兩方面，遵循密鑰管理，應用對稱密碼算法、非對稱密碼算法、密碼雜湊算法等保護數據，使用的密碼學算法包括國際密碼算法的 AES、DES、TDEAh 和國標密碼算法 SM1、SM2、SM3、SM4 等。數據防丟失：數據防丟失從網絡、終端、郵件對數據進行防泄漏保護，涉及網絡協議解析技術、網絡包過濾技術、終端監控技術、郵件過濾技術等。2023 云安全聯盟大中華區版權所有74數據備份：數據備份包括網絡共享和 NAS，磁帶備份，基于云的對象

168、備份。數據備份需要配置必要的數據備份、歸檔與恢復工具，定期對備份和歸檔數據的可用性、完整性和一致性進行檢測。4.1.5.3 數據使用數據使用數據使用安全技術包括數據訪問控制、數據安全審計、數據防丟失、數據加密、數據脫敏、數字版權、數據風險監測評估、數據溯源、API 數據安全、數據隱私與合規、隱私計算、數據沙箱、零信任下的數據安全、AI 賦能數據安全等。數據脫敏：數據脫敏對結構化、非結構化敏感數據進行處理，比如仿真、數據替換、加密、數據截取、數據混淆等，也包括動態脫敏和靜態脫敏。數字版權（DRM）：數字版權包括了加密、數字簽名、數字水印、身份認證、加密傳輸、權限管理等底層技術。數據風險監測評估：

169、對數據使用的環境、上下文等進行風險監測和評估，涵蓋了數據分類分級、數據內容識別、人工智能建模等技術。數據沙箱：通過沙箱隔離數據面臨的安全風險，保障數據安全。零信任下的數據安全：在風險等級評估的基礎上，形成信任等級，對數據使用進行持續的評估和認證，并根據信任等級進行自適應的防護。AI 賦能數據安全：在數據安全層面，融合 AI 的技術，應用在數據安全的各個環節。AI 作為底層支撐技術，為數據安全賦能。4.1.5.4 數據加工數據加工數據加工安全技術包括數據脫敏、隱私計算、AI 賦能數據安全等。4.1.5.5 數據傳輸數據傳輸數據傳輸安全技術包括數據安全審計、數據防丟失、數據加密、數據風險計策評估、

170、數據溯源等。4.1.5.6 數據提供數據提供數據提供安全技術包括數據分類分級、數據加密、數據脫敏、數字版權、數據風險監測評估、數據溯源、數據隱私與合規等。4.1.5.7 數據公開數據公開數據公開安全技術包括數據分類分級、數據脫敏、數據隱私與合規等。2023 云安全聯盟大中華區版權所有754.1.5.8 數據銷毀數據銷毀數據銷毀安全技術包括物理安全中的存儲介質銷毀和數據安全中的數據刪除。4.1.6 隱私保護隱私保護隱私保護包括隱私合規與隱私計算。數據開發利用、價值挖掘、跨境流動等數據生產活動對數據安全和個人信息保護帶來挑戰，伴隨著危害個人隱私、公共利用和國家安全的風險。全球各國都在逐步開展數據安

171、全和隱私保護，相關法律法規漸次出臺，對數據生產和數字經濟提出了更高的數據合規要求。隱私計算以“數據可用不可見”為指導，在數據不出私域的情況下，通過數據加密、分布式機器學習等技術手段，實現跨域數據協同計算，讓數據價值得以釋放。4.1.6.1 隱私合規隱私合規中國在 2012 年就開始關注網絡數據保護，出臺了規范互聯網信息服務市場秩序若干規定全國人民代表大會常務委員會關于加強網絡信息保護的決定，明確了“合法、正當、必要”的數據合規原則。2016 年網絡安全法頒布，2021 年數據安全法個人信息保護法相繼頒布，數據安全與個人信息保護的法律體系成型。在法律法規之外，中國關于信息安全技術的數據處理規范

172、標準更細致地規定了數據采集、傳輸、應用等數據全生命周期規范，一些標準更細分到專業行業領域。隱私合規成為隱私保護和數據挖掘的重要關注點，也成為大數據產業關聯企業機構面臨的一項考題。組織需要在保護數據隱私安全的前提下，進行數據流通共享。4.1.6.2 隱私計算隱私計算隱私計算包含人工智能、機器學習、密碼學和數據科學等多領域交叉融合的技術體系，能在保護隱私安全和數據不出私域情況下，對數據進行協同計算，實現數據價值最大化，具體涵蓋了多方安全計算、聯邦學習、同態加密、差分隱私、可信執行環境等技術。安全多方計算：適用于數據量適中但保密性要求較高的重要數據應用；聯邦學習：適用于保密性要求不高但數據量大的模型

173、訓練；可信執行環境：包括 TEE（可信執行環境）和數據沙箱。性能更優適用于復雜、數據量大的通用場景和通用算法，TEE 安全性受限于硬件的設計與實現。差分隱私：滿足差分隱私的數據集能夠抵抗任何對隱私數據的攻擊，即攻 2023 云安全聯盟大中華區版權所有76擊者根據獲取到的部分數據信息不能推測出全部數據信息，也無法反推出原始數據。同態加密相比于多方安全計算，在行業上的產品落地相對較難。但在機器學習等一些特定應用場景下，同態加密通過對算法的適配優化，亦能滿足實際業務需求。此外，隱私計算融合應用區塊鏈技術，也逐步成為隱私計算廠商共識，利用區塊鏈的分布式賬本、智能合約等技術可以實現參與計算的原始數據鏈上

174、存證、計算過程關鍵步驟的上鏈存證回溯，確保整個計算過程可驗證可追溯。隱私計算技術現狀廣泛應用于金融、政務和醫療等行業數據要素流通中，助力數據價值安全釋放，驅動數字經濟發展。4.1.7 元宇宙安全元宇宙安全保障元宇宙安全是需要綜合運用多項技術，同時元宇宙本身的框架也還沒有成熟，因此元宇宙安全還在發展中。以下是元宇宙中存在的一些常見安全挑戰：身份。元宇宙用戶的身份可以被欺騙，帳戶可以被黑客入侵，頭像可以被接管。為了應對這些攻擊，開發人員必須實施強大的身份安全控制，例如多因素身份驗證、加強的身份驗證和訪問控制。用戶需要小心保護元宇宙應用程序中使用的非托管錢包中的密碼和私鑰。設備漏洞。VR 和 AR

175、眼鏡配備大量軟件和內存，也是黑客攻擊的目標。此外，位置欺騙和設備操縱使犯罪者能夠接管用戶的身份并在進入虛擬世界后造成嚴重破壞。為了應對這種攻擊，用戶需要經常更新 VR/AR 固件。開發人員需要確保固件在固件公開發布之前經過全面測試和審核。用戶間的通信。因為元宇宙體驗是為了促進用戶間的交流。參與者中的壞人會造成巨大的傷害。大規模協調至關重要，一種可能性是使用鏈上智能合約審核邏輯并協調爭議解決。數據真實性。位置、商品質量、評論、用戶信息和第三方可信數據都以準確性為基礎。確保數據的真實性可能很困難。使用 TEE（可信執行環境）和區塊鏈技術可以減輕或減輕數據真實性風險。隱私?，F在還沒有元宇宙相關法規，

176、為真正個性化的沉浸式體驗而收集數據的需求存在隱私風險。用戶通常不知道他們提供的數據級別，而且虛擬體驗沒有國界，因此，確保隱私權由平臺所有者和開發者決定。使用隱私 2023 云安全聯盟大中華區版權所有77保護計算是解決此問題的一種方法。4.2 數字安全方案數字安全方案/產品產品4.2.1 數字安全方案數字安全方案4.2.1.1 網絡安全網絡安全網絡安全方案通常綜合運用以下應用技術：數據包過濾技術、網絡地址轉換技術、代理服務技術、反向代理技術、狀態檢測技術、多協議標簽交換（MPLS）、沙箱技術、加密算法/加密技術、哈希運算、流量還原、BGP FLOW SPEC、隧道技術、QoS 技術。圖 4-7

177、網絡安全技術方案概覽4.2.1.1.1 網絡層安全網絡層安全網絡層安全是數字安全方案中的重要一環，主要包括的內容有：安全邊界防護、流量安全檢測、郵件安全、安全傳輸、安全審計等。（1）安全邊界防護對安全區域邊界中邊界防護的實施過程中，應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口通信；應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制；應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制；應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。網絡架構：應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；應避免將重要網絡區域部署在網絡邊界處，重要網絡區域

178、和其他網絡區域之間應采取可靠的技術隔離手段；2023 云安全聯盟大中華區版權所有78訪問控制：應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力；應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。入侵防范：應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊

179、行為；應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。（2）流量安全檢測流量安全分析是基于網絡全流量分析技術，旁路采集、分析和存儲所有網絡流量，通過威脅情報系統檢測已知威脅，通過回溯分析數據包特征、異常網絡行為，發現潛伏已久的高級未知攻擊。對安全網絡中流量監測的實施過程中，應全面感知網絡威脅，實時地識別網絡流量數據；及時止損與快速響應，通過安全事件關聯分析；完整記錄原始流量數據，通過旁路鏡像采集并存儲網絡全部流量；線索追蹤與取證，實現從線索挖掘到整個攻擊過程的完整復

180、盤；回溯分析與數據挖掘，實現海量數據的快速回溯分析；可疑事件定性分析，真實還原黑客入侵的全過程；異常行為檢測，不斷增強未知威脅的檢測及響應能力；攻擊阻斷防御，網絡異常行為阻斷。（3）郵件安全隨著計算機技術的高速發展及因特網的廣泛普及，電子郵件越來越多地應用于社會生產、生活、學習的各個方面，發揮著舉足輕重的作用。人們在享受電子郵件帶來便利、快捷的同時，又必須而對因特網的開放性、計算機軟件漏洞等所帶來的電子郵件安全問題，如:攻擊者獲取或篡改郵件、病毒郵件、垃圾郵件、郵件炸彈等都嚴重危及電子郵件的正常使用，甚至對計算機及網絡造成嚴重的破壞。防范措施有如下幾種：對電子郵件子郵件進行加密、采用防火墻技術

181、、及時升級病毒庫、識別郵件病毒、啟用實時監控防火墻。（4）安全傳輸 2023 云安全聯盟大中華區版權所有79密碼技術：應采用密碼技術保證通信過程中數據的完整性，以確保傳送或接收的通信數據不發生篡改、刪除、插入等情況。在通信雙方建立連接之前，應利用密碼技術進行會話初始化驗證；通信加密：應對通信過程中的整個報文或會話過程進行加密；加密技術和強度：應采用國家信息安全機構認可的加密技術和加密強度，并最低達到 SSL 協議 128 位的加密強度；數字加密技術使用：應使用數字加密技術（如數字證書方式）進行嚴格的數據加密處理防止數據被篡改。對安全通信網絡中通信傳輸的實施過程中，應采用校驗技術或密碼技術保證通

182、信過程中數據的完整性；應采用密碼技術保證通信過程中數據的保密性。（5）安全審計對安全區域邊界中安全審計的實施過程中，應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。對安全計算環境中安全審計的實施過程中，應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、

183、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。應對審計進程進行保護，防止未經授權的中斷。4.2.1.1.2 應用層安全應用層安全應用層安全防護主要是指保護應用軟件的安全性。組織在開發應用軟件時，應注意設計相應的安全功能。2023 云安全聯盟大中華區版權所有80圖 4-8 業務安全需求框架圖（1）身份鑒別標識和鑒別：應支持用戶標識和用戶鑒別；在每一個用戶注冊到系統時，采用用戶名和用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一性；鑒別機制：在每次用戶登錄和重新連接系統時，采用受安全管理中心控制的口令、基于生物特征的

184、數據、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，且其中一種鑒別技術產生的鑒別數據是不可偽造的，其中如采用密碼作為鑒別手段，可考慮主動提供密碼長度、復雜度、定期修改以及失敗登錄次數限定等密碼健壯度增強措施。執行重要操作可考慮提供進一步的口令確認；鑒別數據保護：對鑒別數據進行保密性和完整性保護。（2）授權管理訪問授權：應用軟件應提供基于菜單、查詢功能、報表功能的訪問授權；授權清單：應用軟件應能自動生成訪問授權清單，以方便應用管理員對賬 2023 云安全聯盟大中華區版權所有81戶和其訪問授權清單進行檢查或清理。（3）訪問控制自主訪問控制：應在安全策略控制范圍內，使用

185、戶對其創建的客體具有相應的訪問操作權限，并能將這些權限部分或全部授予其他用戶；控制粒度：應確定自主訪問控制主體和客體的粒度，如主體的粒度可以為用戶級，客體的粒度為文件或數據庫表級和（或）記錄或字段級；特權管理：各種訪問操作應盡可能使用執行該過程所需的最小用戶權限。（4）抗抵賴數據原發證據：應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能；數據接收證據：應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。（5）軟件容錯輸入驗證：應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；自動保護：應提供自動保護功能，當故障發生時自動

186、保護當前所有狀態；自動恢復：應提供自動恢復功能，當故障發生時立即自動啟動新的進程，恢復原來的工作狀態。（6）資源控制空閑會話限制：當應用系統中的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話，防止維持長時間不活動的會話；會話限制：應能夠對系統的最大并發會話連接數進行限制；應能夠對單個帳戶的多重并發會話進行限制；應能夠對一個時間段內可能的并發會話連接數進行限制；資源配額：應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根

187、據優先級分配系統資源。2023 云安全聯盟大中華區版權所有824.2.1.1.3 主機層安全主機層安全建議在外聯邊界區部署入侵防御系統。入侵防御系統功能作用如下：對經過外聯邊界區的病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網站掛馬、異常流量等惡性攻擊行為進行準確高效的檢測并防護。對安全區域邊界中惡意代碼的實施過程中，應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。建議在外聯邊界區邊界部署防病毒網關。防病毒網關功能作用如下：在最接近

188、病毒發生源安全邊界處進行集中惡意代碼防范，對夾雜在網絡交換數據中的各類網絡病毒進行過濾，可以對網絡病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P 軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網絡的快速擴散，將經網絡傳播的病毒阻擋在外，可以有效防止病毒從其他區域傳播到內部其他安全域中，截斷病毒通過網絡傳播的途徑，凈化網絡流量，實時查殺網絡流量中的各種病毒。對安全計算環境中入侵防范的實施過程中，應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應關閉不需要的系統服務、默認共享和高危端口；應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；應提供數據有效性檢驗功能，

189、保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求；應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。建議在安全管理區部署 1 臺漏洞掃描系統，通過漏洞掃描系統對網絡設備、服務器、應用系統等設備的掃描，網絡管理員能及時發現安全漏洞，客觀評估網絡風險等級。網絡管理員能根據掃描的結果更正網絡安全漏洞和系統中的錯誤設置，在黑客攻擊前進行防范，能有效避免黑客攻擊行為，做到防患于未然。對安全計算環境中惡意代碼的實施過程中，應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效

190、阻斷。4.2.1.1.4 綜合類安全綜合類安全對安全管理中心中系統管理的實施過程中，應對系統管理員進行身份鑒別，只允許系統管理員通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計；應 2023 云安全聯盟大中華區版權所有83通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。建議在安全管理區部署運維審計系統（堡壘機），運維審計系統可以對內部運維人員的操作進行有效的管控，幫助用戶統一管理與運維操作相關的帳號、密碼、訪問控制、權限控制、審計等一系列行為。它著眼于解決關鍵 IT 基礎設施的運維安全

191、問題。能夠對Unix、Linux、Windows 主機、服務器以及網絡設備上的數據訪問進行安全、有效的操作審計，支持實時監控和事后回放?？梢詮浹a傳統審計系統的不足，將運維審計由事件審計提升為操作審計，集身份認證、授權、審計為一體，有效地實現了事前預防，事中控制和事后審計。運維審計系統功能包括：身份認證及授權管理。通過對帳號整個生命周期的監控和管理，及時發現帳號中存在的安全隱患，并且制定統一的、標準的用戶帳號安全策略；運維事件事中控制。針對運維過程中可能存在的潛在操作風險，根據用戶配置的安全策略，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。運維事件事后審計。運維

192、審計系統能夠對日常所見到的運維協議會話過程進行完整的記錄，以滿足日后審計的需求。對安全管理中心中審計管理的實施過程中，應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計；應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。對安全管理中心中安全管理的實施過程中，必須要符合以下技術要求：應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計；應通過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一安全標記，對主體進行授權

193、，配置可信驗證策略等。對安全管理中心中集中管理的實施過程中，應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求；應對安全策略、惡意代碼、補丁升級等安 2023 云安全聯盟大中華區版權所有84全相關事項進行集中管理；應能對網絡中發生的各類安全事件進行識別、報警和分析。4.2.1.2 信息安全信息安全信息安全是指保護信息在系統和網絡中的傳輸、處理和存儲

194、過程中不被破壞或泄露，確保信息的可用性、機密性、完整性和不可否認性?？捎眯裕ˋvailability）是指授權主體在系統服務運行時能訪問到信息的能力?？捎眯允窃谛畔踩Ｗo階段對信息安全提出的新要求，也是在網絡化空間中必須滿足的一項信息安全要求。機密性（Confidentiality）是指對數據的訪問限制，只有被授權的人才能使用。完整性（Integrity）是指保證數據在未經授權的情況下不被改變或刪除。完整性的目標一是阻止未授權的人有能力修改數據，二是提供一種將數據恢復到一個已知狀態的手段。不可否認性（Non-repudiation）又稱抗抵賴性，是指信息交換的雙方不可否認交換過程中所發送或接

195、收到信息的行為。不可否認性一般與身份的真實性結合，通過對主體的授權控制實現信息安全目標。信息安全方案通常綜合運用以下應用技術：數據包過濾技術、關聯分析技術、沙箱技術、網絡欺騙、SOAR、UEBA、AI/ML/DL、數字簽名、SDP（軟件定義邊界）、MSG（微隔離）、IAM（身份權限管理）、規則庫/樣本庫、脫殼技術、非對稱加密、對稱加密、反向代理、告警降噪算法、數據采集、數據抽取、數據清洗、數據存儲、數據挖掘、加密算法、哈希運算、回歸算法、分類算法、聚合算法、序列算法、數據可視化。2023 云安全聯盟大中華區版權所有85圖 4-8 信息安全技術方案概覽4.2.1.2.3.安全戰略安全戰略信息安全

196、涉及保護所有形式的信息，安全戰略用來定義所有的架構和策略，并以此構成一套防御、檢測和威懾的綜合安全體系。企業應根據自身的發展目標制定安全戰略，設置合理的安全預算，明確安全愿景和安全目標，組建安全團隊，并設計中長期安全規劃建設任務、實施路徑和重大任務群。安全戰略的基本內容應包含安全職責和授權、安全建設體系計劃、安全風險評估及策略制定、安全措施的時間規劃、安全實施及維護等。其中安全建設體系是戰略的核心組件，包括安全管理體系、安全技術體系、安全運營體系、安全合規體系等。企業根據自身的安全建設體系，可以從資產、漏洞、威脅、事件等維度開展體系化、立體化、全方位的安全風險管理，定期開展安全效果度量、安全操

197、作審計等工作，迭代提升安全運營效能。4.2.1.2.1.安全運維安全運維/運營管理運營管理安全運維體系通常由人員組織、安全策略制定、安全運維制度和相關技術手段等組成?？赏ㄟ^平臺化的安全運維方案提供更有效的運維管理。安全運維平臺一般可提供漏洞管理、資產測繪與資產管理、攻擊面管理、威脅情報、安全運維審計（堡壘機）、安全基線與配置管理、入侵與模擬攻擊、SOAR（安排編排與自動化響應平臺）、安全應急響應工具、密碼管理、網絡攻防指揮平臺、網站監測平臺等。4.2.1.2.2.安全合規方案安全合規方案等保一體機是遵循國標 GB/T 22239 信息安全技術信息系統安全等級保護基本要求的要求，對等保二三四級信

198、息系統進行自查評估和整改加固的信息系統。從物理安全、網絡安全、主機安全、應用安全、數據安全等多個層面進行體系化的建設和運維。同時，通過等保一體機提供的定制化安全增值服務，實現全網動態監測、精確感知、主動防護。相較等保一體機，等保檢查工具箱側重于對信息系統進行等保評估檢查，為等保安全整改和監督檢查提供技術支撐。密評檢查一體機是較新的一類合規方案，類似與等保一體機的定位，遵循 GB/T39786信息安全技術信息系統密碼應用基本要求，針對信息系統的商用密碼應用安全性測評工作提供測評過程輔助和測評過程管理，內部集成了多款密碼學測評工具，一般包括密碼算法檢測、通信協議檢測、數學證書檢測、隨機數檢測等檢

199、測工具。2023 云安全聯盟大中華區版權所有864.2.1.3 數據安全數據安全圖 4-9 數據安全技術方案概覽4.2.1.3.1.數據安全治理類數據安全治理類數據安全方案通常綜合運用以下應用技術：網絡嗅探技術、正則匹配、NLP 自然語言處理、機器學習、特征工程技術、自動聚類算法?；跇撕灥臄祿诸惙旨壏桨福海?）數據自動發現基于網絡嗅探技術，可自動尋找發現網絡環境中存在的海量數據和鎖定保護對象，在指定 IP 地址范圍內，通過端口掃描自動化發現網絡環境中存在的數據庫系統。（2）數據分類分級模板定制根據行業細分如金融、證券、電信等；根據法律法規細分如網絡安全法、GDPR、個人信息安全規范、等保等

200、。用戶可根據行業特性以及業務場景選擇合適的分類分級模板開展數據分類分級工作。（3）數據自動化分類分級如基于深度學習+條件隨機場的命名實體識別模型，準確、高效的識別中英文姓名、地址、機構名稱等；基于 NLP 技術的文本識別模型、判斷敏感文本數據、如：合同、簡歷、病例等；基于傳統的正則表達式、字典等識別規則進行敏感數據識別。（4）敏感數據可視化數據安全分類分級監管大屏展示，通過可視化視圖全面掌握用戶數據庫、存儲系統，從數據維度獲取數據資產情況，有效監控敏感數據流轉路徑和動態流向。2023 云安全聯盟大中華區版權所有87（5）數據資產目錄支持數據源，敏感數據和所選定的分級標準等多維度進行展示。支持分

201、級概覽，表列分布，級別分布等情況圖標展示及詳情展示，方便使用者了解數據資產的分布情況，同時提供對敏感列識別規則及分類分級信息修改功能。4.2.1.3.2.數據安全監測預警類數據安全監測預警類數據安全監測預警方案使用如下應用技術：數據庫審計、漏洞檢測、用戶行為分析、弱點檢測、流量數據監控保護審計、數據自動聚合檢測、弱點檢測、數據庫風險評估、數據庫賬號使用風險檢測。（1）數據庫安全檢測預警方案通過對數據庫數據發現梳理及訪問行為進行實時監控，經過相關告警規則的識別分析，得出數據庫訪問風險，并進行預警。（2）實體與用于行為分析方案對接入流量日志通過內置算法特征計算，得出實體與用戶行為風險，并且 AI

202、算法有學習能力，能自動識別已學習風險。通過多維度對數據安全風險進行展示分析，形成數據安全態勢感知。4.2.1.3.3.數據安全防護類數據安全防護類數據安全防護方案使用如下應用技術：敏感數據識別、靜態數據脫敏、動態數據脫敏、數據加密、正則匹配、API 安全、細粒度訪問控制、流程審批控制、虛擬補丁、身份鑒別、可信執行環境、安全多方計算、聯邦學習、零信任、容器安全、云訪問安全代理（CASB）、水?。ㄆ聊凰?、文檔水印、打印水印、隱寫水印等）、溯源追蹤、文件外發防護預警、數據與文件使用策略。（1）數據脫敏方案通過數據靜態脫敏的方法，對數據進行敏感數據轉化，在不改變原有數據的特征情況下，可以對數據進行外

203、發、分析、測試等操作；通過數據動態脫敏，防止用戶訪問直接查詢敏感信息，造成數據泄漏。（2）特權用戶訪問解決方案對用戶進行統一訪問管理，建立完善的用戶訪問防護制度，通過敏感數據發現、動態脫敏、數據庫協議解析、SQL 語法解析和改寫、脫敏算法、細粒度訪問控制、風險操作審批、身份鑒別等能力，對特權用戶進行訪問控制。2023 云安全聯盟大中華區版權所有88（3）漏洞攻擊解決方案通過對數據庫或者系統的漏洞風險識別，分析漏洞危害等級，并提供相應的修復建議及能力。這些能力包括：攻擊特征識別、虛擬補丁、細粒度訪問控制、會話阻斷/攔截等。（4）敏感文件外發解決方案通過敏感文件信息識別、外發管控、屏幕水印、文檔水

204、印、打印水印、隱寫水印、溯源追蹤等能力，對實際使用文件終端，進行統一策略控制，賦予實際使用權限，防止文件外發造成數據泄漏等風險。4.2.1.3.4.數據安全審計類數據安全審計類數據安全審計方案使用如下應用技術：數據庫審計、區塊鏈審計、審計報表、風險告警、敏感數據策略響應、三層關聯、風險捕捉、Agent 可控可管、AC 算法、加密審計、訪問控制及審批。數據庫訪問與審計方案通過對數據庫數據識別及訪問流量審計，以全面審計和精確審計為基礎，實時記錄數據庫活動情況，對數據庫操作進行細顆粒度審計的合規管理，進而對數據庫遭受到風險行為進行實時告警。并且對訪問行為進行訪問控制與審批，阻斷危險操作行為。4.2.

205、1.3.5.數據安全合規類數據安全合規類數據安全合規方案使用如下應用技術：數據庫審計、區塊鏈審計、審計報表、風險告警、敏感數據策略響應、三層關聯、風險捕捉、Agent 可控可管、AC 算法、加密審計、訪問控制及審批。（1）數據庫訪問與審計方案通過對數據庫數據識別及訪問流量審計，以全面審計和精確審計為基礎，實時記錄數據庫活動情況，對數據庫操作進行細顆粒度審計的合規管理，進而對數據庫遭受到風險行為進行實時告警。并且對訪問行為進行訪問控制與審批，阻斷危險操作行為。（2）數據合規檢測及風險解決方案移動應用合規平臺、數據安全合規檢測系統4.2.1.3.6 數據安全綜合平臺類數據安全綜合平臺類數據安全綜合

206、平臺方案使用如下應用技術：組件統一管控、策略統一下發、數據統一收集、組件狀態實時監管、數據安全態勢感知、接口全面標準 API 化、數據安全風險 2023 云安全聯盟大中華區版權所有89檢測預警、數據風險流轉溯源。數據安全統一管控方案通過數據安全管理平臺對整體數據安全能力做統一管理工作，具體管理內容：數據安全態勢感知、安全組件統一管控、策略統一下發、風險數據統一收集、風險分析、風險展示、事件處理、工單處理、數據溯源。4.2.1.3.7 數字證書安全數字證書安全數字證書：摘要算法、數據指紋、非對稱加密算法、摘要算法。數字簽名：簽名檢查、簽名校驗、證書簽名、證書鏈、時間戳、信息摘要、證書校驗、has

207、h。標識和鑒別：應支持用戶標識和用戶鑒別；在每一個用戶注冊到系統時，采用用戶名和用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一性。鑒別機制：在每次用戶登錄和重新連接系統時，采用受安全管理中心控制的口令、基于生物特征的數據、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，且其中一種鑒別技術產生的鑒別數據是不可偽造的，其中如采用密碼作為鑒別手段，可考慮主動提供密碼長度、復雜度、定期修改以及失敗登錄次數限定等密碼健壯度增強措施。投資者發出申購、贖回等重要操作，可考慮提供進一步的口令確認。鑒別數據保護：對鑒別數據進行保密性和完整性保護。4.2.1.4 隱私保

208、護隱私保護圖 4-10 隱私保護技術方案概覽 2023 云安全聯盟大中華區版權所有904.2.1.4.1 隱私計算類隱私計算類隱私計算方案使用如下應用技術：隱私增強計算技術（PEC）、差分隱私、同態加密、安全多方計算（MPC）、零知識證明、私有集合交集、AI 技術、安全計算沙箱、聯邦學習與預測、區塊鏈、區塊鏈溯源技術、ID 融合、同態構型。（1）隱私計算方案（a）隱私計算智能服務平臺保證原始數據不出本地即可完成多方數據聯合建模和聯合計算能力，同時支持安全隱私保護集合、安全隱私查詢、安全統計分析。實現各合作機構數據在流通、計算過程中，端到端的安全保護和可審計。（b）隱私計算一體機提供一站式隱私保

209、護計算解決方案，具有自主可控、安全可證、隱私保護等特點，實現開箱即用，助力實現數據流動與共享，降低隱私計算開發門檻（c）隱私計算應用 OS提供數據隱私保護與數據合規應用能力。提供內核層、服務層、應用層的隱私計算能力輸出，全方位覆蓋數據應用層次。（2）隱私數據安全解決方案行業隱私保護智能解決方案在包括同態加密，秘密分享，不經意傳輸等基礎之上，做了隱私保護計算應用層的中間層框架，使用多方安全計算支持的聯合統計，隱私集合求交，匿蹤查詢功能。還有一部分是和區塊鏈結合，保障云端對于隱私數據的授權和使用的過程，是留痕的、可溯源可審計的，提高隱私合規能力。4.2.1.4.2 隱私合規類隱私合規類隱私合規方案

210、使用如下應用技術：AI 檢測、區塊鏈、隱私計算、多方安全計算、聯邦學習、行為合規檢測、權限合規檢測、第三方 SDK 合規檢測、隱私保護算法引擎、數據管理引擎。（1）隱私合規平臺/隱私合規檢測/隱私影響評估（a）隱私合規評估檢測平臺提供隱私風險項檢測、隱私專項檢測、場景檢測、權限過度收集與使用情況檢測等 2023 云安全聯盟大中華區版權所有91產品服務，深度挖掘 App 隱私合規風險產生的源頭（b）APP 隱私合規檢測工具行業 App 隱私合規檢測、權限合規檢測、第三方 SDK 合規檢測等（c）隱私合規管理平臺全生命周期的個人信息管理平臺，能夠解決企業和機構在收集、存儲、使用、分享等個人信息處

211、理過程中遇到的合法合規風險和問題，平臺以遵從個人信息相關法律法規為基礎，針對企業和機構的合法訴求，提供完善且具有競爭力的產品和解決方案，幫助企業規避合規風險，實現數據價值的最大化。（2）數據隱私協作平臺方案（a）隱私數據發現及分類發現并盤點個人信息，提供數據在組織中駐存、流動的可視化能力；在基礎設施、數據存儲及界面上集成隱私保護能力；支持識別、歸類和保護個人隱私數據。（b）流程映射數據資產發現，同時包括計算節點、存儲及相關組件；包括內置的業務流程映射、自動化識別并集成第三方流程。（c）行為監控自動化的處理數據流，持續的監控各類隱私數據的處理環節，并對可疑的行為觸發告警，能夠減少大量人力資源。（

212、d）任務管理根據角色、業務類型、業務范圍制定任務計劃，促進和保障相關人員、業務按照計劃執行行動。提供隱私數據保護向導，降低隱私保護任務、操作相關步驟的行動難度。4.2.1.5 元宇宙安全元宇宙安全保障元宇宙安全是需要綜合運用多項技術，涉及原生安全、數據安全、隱私保護，也包括傳統的網絡安全和信息安全等多個領域。同時，元宇宙本身的框架也還沒有成熟，因此元宇宙安全還在發展中，目前市場上還沒有專門針對元宇宙安全的特定技術和方案。2023 云安全聯盟大中華區版權所有924.2.1.6 數字身份領域數字身份領域圖 4-11 數字身份框架4.2.1.6.1 數字身份基礎支撐類（數字身份基礎支撐類（PKI）對

213、安全計算環境中身份鑒別的實施過程中，應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。數字身份基礎解決方案涉及以下應用技術：PKI 技術、數字證書、認證機構、對稱加密、非對稱密碼技術、密鑰備份、證書作廢、OCSP 技術（在線證書狀態協議）。（1）CA 統一身份認證解決

214、方案CA 統一身份認證系統：以 PKI/CA 為基礎，通過統一用戶管理、統一認證方式、單點登陸、多點漫游、共享的信息服務及安全審計。（2）統一認證解決方案統一認證系統：通過用戶管理、賬號管理、權限管理、審計管理等，實現對人員信息、組織信息、應用信息、賬號信息的高效統一管理。2023 云安全聯盟大中華區版權所有934.2.1.6.2 目錄服務類目錄服務類目錄服務解決方案涉及以下應用技術：LDAP 目錄服務技術、ADSI 目錄服務技術身份目錄解決方案幫助企業實現身份、應用、端的管理。對目錄服務器的訪問操作應進行讀寫分離，同時設計一主多從的服務架構。這樣的設計不僅可以優化目錄服務器的響應時間，而且還

215、提高了目錄服務器的可用性。4.2.1.6.3 數字身份治理類（身份供應，和數字身份治理類（身份供應，和 HR 等系統的對接）等系統的對接）數字身份治理解決方案涉及以下應用技術：單點登錄 SSO、SCIMLDAP 協議 CA 身份管理中心、多因素認證 MFA。數字身份管控平臺基于大數據的相關技術的發展、安全數據的共享、對安全事件的聯動處置等需求，可采用開放式的安全架構，各類安全設備提供標準化的 API 接口，尤其數據采集類設備（DPI、APT 等）均可與第三方安全分析平臺進行數據共享。云安全平臺也可提供標準化的對接標準，可接入第三方產品，滿足用戶的個性化需求。4.2.1.6.4 數字身份統一認證

216、類（數字身份統一認證類（SSO 單點登錄、單點登錄、MFA 雙因素認證）雙因素認證）數字身份統一認證解決方案涉及以下應用技術：MFA 雙因素認證技術：動態口令認證、二維碼認證、短信認證、生物識別認證、RSA 認證、基于數字證書的身份認證、基于口令的身份認證、OAUTHAPI 訪問授權開放協議。SSO 和 MFA 應用技術：SSO 單點登錄、cookies 技術、Broker-based、代理認證、口令認證、基于安全斷言標記語言(SAML)實現。（一）統一身份認證 SSO 平臺方案統一身份認證平臺將分散的用戶和權限資源進行統一、集中管控，這種模式幫助用戶更容易實現單點登錄 SSO，簡化用戶登錄多

217、個系統的過程。用戶只需要通過一次強身份認證（比如移動端指紋認證和 PC 端掃碼登錄等），就可以免登錄訪問授權范圍內的所有系統應用，對用戶賬戶的生命周期統一管理。（二）MFA 雙因素認證方案內置動態口令認證、二維碼認證、短信認證、生物認證、RSA 認證等，并對用戶訪問環境和訪問行為進行動態風險評估，基于策略匹配相對應等級的認證方式。2023 云安全聯盟大中華區版權所有944.2.1.6.5 數字身份權限管理類（數字身份權限管理類（IAM 中的權限管理模塊）中的權限管理模塊）數字身份權限管理解決方案涉及以下應用技術：基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）、PIAM 特權用戶

218、身份與訪問管理、移動安全認證技術、LDAP協議代理技術、SSH 協議代理技術）。IAM 權限管理解決方案提供權限管理、訪問控制和身份認證的基礎服務，您可以使用 IAM 創建和管理用戶、用戶組，通過授權來允許或拒絕他們對云服務和資源的訪問，通過設置安全策略提高帳號和資源的安全性，同時 IAM 為您提供多種安全的訪問憑證。4.2.1.6.6 數字身份審計類（數字身份審計類（IAM 審計模塊）審計模塊）數字身份權限審計解決方案涉及以下應用技術：認證日志審計、授權日志審計、訪問日志審計、用戶審計。統一身份審計管理解決方案提供安全審計（用戶身份審計、操作行為審計、高危行為審計、審計查詢、審計分析報告）。

219、4.2.1.6.7 用戶異常行為分析類（用戶異常行為分析類（UEBA）用戶異常行為分析解決方案涉及以下應用技術：大數據分析、機器學習、行為分析、全時空分析、異常檢測、基線及群組分析、安全知識圖譜、強化學習、特征工程會話重組、身份識別、集成學習風險評分。UEBA 方案包含自定義機器學習模型、風險優先級告警、用例管理、異常檢測、異常行為和觀察名單、儀表盤與報告。UEBA 方案利用 AI 技術實現用戶行為分析（UEBA），通過機器學習算法快速訓練客戶現場安全場景，對異常行為進行定位跟蹤，風險閾值實現智能動態調整，實現智能安全判定，對殘余風險、隱蔽威脅、未知攻擊和 0day 攻擊等未知風險進行檢測。4

220、.2.1.6.8 特權訪問管理類特權訪問管理類特權訪問管理解決方案涉及以下應用技術：PAM 特權訪問管理、PEDM 特權提升和授權管理、持續發現特權賬戶、多因子身份驗證、會話管理、一次性密碼、用戶及實體行為分析（UEBA）。特權訪問管理解決方案提供特權訪問管理器、云授權管理器、端點特權管理器、供應商特權訪問管理器，基于移動安全認證核心技術、LDAP 協議代理技術、SSH 協議代理技術，把特權賬號納入 IAM 統一管理范疇，實現統一安全認證與行為審計功能，實現包括主機操作系統、數據庫、中間件、安全設備以及 web 應用涉及的各類特權賬號的安全 2023 云安全聯盟大中華區版權所有95管理，滿足等

221、保合規要求。4.2.1.6.9 零信任類零信任類零信任解決方案涉及以下應用技術：SDP 軟件定義邊界、IAM 身份權限管理、微隔離、可信身份代理網關、可信應用代理網關、可信 API 代理網關、可信環境感知系統、手機令牌、零信任控制平臺。零信任綜合解決方案通過網絡隱身、動態自適應認證、終端動態環境檢測、全周期業務準入、智能權限基線、動態訪問控制、多源信任評估等核心能力，滿足新形勢下多業務場景的應用安全訪問需求。4.2.1.7 原生安全原生安全圖 4-12 原生安全技術方案概覽4.2.1.7.1 物聯網物聯網物聯網解決方案涉及以下應用技術：通過各種信息傳感器、射頻識別技術、全球定位系統、紅外感應器

222、、激光掃描器等各種裝置與技術，實時采集任何需要監控、連接、互動的物體或過程，采集其聲、光、熱、電、力學、化學、生物、位置等各種需要的信息，通過各類可能的網絡接入，實現物與物、物與人的泛在連接，實現對物品和過程的智能化感知、識別和管理。（1）資產高可見方案通過提供對制造運營各個方面的前所未有可見性，幫助使這些環境成為可能。它們可以監控環境條件，評估生產線的狀態，發現問題和潛在的安全威脅，甚至允許技術人員遠程控制關鍵操作。然后，所有這些數據都可以傳輸到本地微型數據中心或附近的邊 2023 云安全聯盟大中華區版權所有96緣數據中心，并由強大的分析程序進行處理，從而使制造工廠能夠識別趨勢并優化操作，以

223、獲得更好的性能。（2）脆弱性管理方案通過優先處理高風險，使用脆弱性掃描工具針對系統清單來頻繁地掃描并識別系統弱點，且盡快處理最高風險的脆弱性。通過修補漏洞來減少攻擊面和降低安全風險。（3）補丁管理方案通過獲得和升級 IOT 設備固件，并且學習正確的 c 語言、Java 和其它源代碼級別中的正確代碼可以自動生成補丁，以及改變程序的形式而不改變它的功能。（4）入侵檢測方案分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。通過監視、分析用戶及系統活動，查找非法用戶和合法用戶的越權操作；審計系統構造和弱點，并提示管理員修補漏洞；統計分析異常行為模式，發現入侵行為的規律；評估重要系統和數據文件的完整性

224、，如計算和比較文件系統的校驗和等來實現入侵檢測。（5）數據傳輸方案滿足大并發物聯網設備連接 VPN 的要求，提供后續性能保障；滿足數據傳輸安全，支持國密傳輸；滿足客戶端接入節點適配物聯網專業系統環境接入需求；支持證書認證、硬件特征碼認證等方式，保障合法的客戶端才能接入總部系統。（6）網絡隔離方案在兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享。通過將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內在進行安全交互。并且以訪問控制思想為策略，物理隔離為基礎，并定義相關約束和規則來保障網絡的安全強度。4.2.1.7.2 區塊鏈區塊鏈區塊鏈解決方案涉及以下應用技術：數字貨幣

225、、金融資產的交易結算、數字政務、存證防偽數據服務等領域。區塊鏈是將數據區塊有序鏈接，每個區塊負責記錄一個文件數據，并進行加密來確保數據不能夠被修改和偽造的數據庫技術。（1）身份和訪問管理方案通過用高度可信的身份和訪問管理機制取代傳統系統，從而讓用戶對自己的 ID 有更大的控制權，確保擁有數字身份的人員和實體能進行對企業資源（如網絡和數據庫）2023 云安全聯盟大中華區版權所有97設置適當訪問級別的實踐。用戶角色和訪問權限通過系統進行定義和管理。（2）密鑰管理方案密鑰管理方案是一門綜合性的技術，涉及密鑰的產生、檢驗、分發、傳遞、保管、使用、銷毀的全部過程。通過密鑰產生器借助于某種噪聲源產生具有較

226、好統計分布特性的序列，然后再對這些序列進行各種隨機性檢驗以確保其具有較好的密碼特性。好的密鑰應當具有良好的隨機性和密碼特性。（3）數據保護方案區塊鏈提供的增強數據安全性是使用區塊鏈作為技術的主要好處。通過加密和驗證，確保用戶的數據是加密的。以及去中心化的數據保護方式，不依賴于一個中央控制點，而是交易的數字分類賬，每臺計算機都擁有完整的數據副本。不包含在中心位置，所以區塊鏈沒有單點故障，也無法從單臺計算機更改。（4）安全傳輸方案在進行區塊鏈數據傳輸時，需要對數據進行加密，原有的加密方式由于技術老舊、破譯容易常常造成數據的缺失，因而采用同態加密的方式進行數據保護，可以在加密的同時對數據進行檢測與糾

227、正，保證數據的完整性。（5）安全合約方案用計算機語言取代了法律語言記錄條款并由程序自動執行的合約。通過傳統合約的數字化版本，跑在區塊鏈網絡上，由程序自動執行。采用目前可用的最高級別的數據加密，與加密貨幣使用的加密技術相同。這樣使得保護水平在萬維網上是最好和最安全的。（6）安全交易方案去中心化的分布式賬本，改變了原有的交易模式。然而新模式的出現和發展帶來了許多交易安全問題，嚴重威脅用戶資產安全。包括攻擊、騙局、賬戶行為、私鑰泄露和智能合約漏洞等，通過從交易記錄異常檢測、地址異常檢測、智能合約檢測、行為異常檢測以及智能合約漏洞檢測工具 5 個方面檢測區塊鏈交易安全。4.2.1.7.3 量子計算量子

228、計算量子計算機理論上具有模擬任意自然系統的能力，同時也是發展人工智能的關鍵。由于量子計算機在并行運算上的強大能力，使它有能力快速完成經典計算機無法完成的計算。這種優勢在加密和破譯等領域有著巨大的應用?？梢詰迷谔鞖忸A報、藥物研制、交通調度、保密通信等領域。2023 云安全聯盟大中華區版權所有98（1）量子密碼方案量子密碼是基于量子力學機制的信息處理技術，通過量子糾纏來實現經典密鑰算法協商，并利用量子糾纏傳遞經典對稱密碼密鑰。（2）量子密鑰分發方案利用量子力學特性來保證通信安全性。它使通信的雙方能夠產生并分享一個隨機的、安全的密鑰，來加密和解密消息。通過量子疊加態或量子糾纏態來傳輸信息，通信系統

229、便可以檢測是否存在竊聽。當竊聽低于一定標準，進而產生了一個有安全保障的密鑰。（3）量子數字簽名方案通過簽名方先將源文件進行數字摘要，并用自己的私鑰加密該數字摘要構成自己的簽名，然后將簽名附在源文件后面發送給驗證方，在驗證階段，驗證方收到簽名后，先對源文件進行數字摘要，得到數字摘要 1，再用簽名方的公鑰對簽名進行解密，得到數字摘要 2，比較數字摘要 1 和 2，若相等，則簽名通過驗證，否則簽名無效。4.2.1.7.4 云原生安全云原生安全（1）云原生應用安全防護方案API 安全檢測產品、微服務訪問控制、微服務漏洞掃描，函數隔離工具、Serverless 資產業務梳理、平臺賬號安全防護。（2）云原

230、生研發過程安全方案安全威脅建模、靜態代碼檢測、交互式安全測試、動態安全測試、開源組件檢測、制品安全、安全配置檢測、代碼運行監測。（3）云原生數據安全方案數據加密、數據備份、數據簽名、數據脫敏。（4）云原生計算環境安全運行時安全：異常行為監控、入侵行為響應。鏡像安全：鏡像掃描、鏡像阻斷、鏡像訪問控制、鏡像安全通信。編排及組件安全：基線掃描、漏洞掃描、敏感信息加密、訪問控制、資源隔離與限制。網絡安全：入侵行為監控、訪問控制、網絡隔離。2023 云安全聯盟大中華區版權所有99（5）安全管理身份管理、密鑰管理、監控管理、安全審計、安全策略。4.2.1.7.5 5G/6G 安全安全(1)5G 安全(a)

231、應用到的技術終端和基站雙向認證、切片隔離、用戶數據和信令防護、用戶標識保護、漫游安全、接口訪問控制、軟件數字簽名、可信啟動。（b）防護方案1)切片隔離方案AMF 或 NRF 做訪問頻率監控并部署防火墻，防止惡意用戶將公有 NF 的資源耗盡。為終端接入不同切片通信配置不同的安全策略，為不同安全級別的切片設置不同的共用 NF。切片內 NF 與外網設備之間部署虛擬防火墻或物理防火墻，保護切片內網與外網的安全。通過網絡劃分、資源隔離、啟用 SBA 訪問控制來保證切片間 NF 的訪問隔離。通過 SBA 認證和 Oauth2.0 等授權機制，對不同切片的 NF 之間進行數據訪問控制。為用戶提供切片隔離能力

232、，包括不限于專用切片、部分邏輯共享切片、共享切片。對安全性要求高的切片，可以單獨部署 vDC 和主機組進行物理隔離，對于安全和隔離要求一般的切片，可以劃分單獨 vDC，共用主機組進行邏輯隔離。2)增強身份鑒權方案5G 網絡提供主認證，支持 EPS-AKA和 5G-AKA 認證機制對終端進行認證。5G 網絡支持二次認證，實現行業終端與外部 AAA 認證服務器的認證。5G 網絡提供 GBA 認證，智能終端或網關可以通過 GBA 與外部 AAA 認證。支持定制 DNN 及切片，終端號碼簽約行業定制 DNN+切片。實施基于位置的電子圍欄終端安全接入，通過 AMF 進行小區 TA 和終端綁定，實現專網只

233、允許合法授權終端接入。部署零信任網關，進行終端接入的統一認證管理，避免非法終端接入。2023 云安全聯盟大中華區版權所有1003)偽基站檢測及防護方案部署網管或信令監控系統，檢測和定位偽基站：a.無線電檢測：通過無線電設備檢測來檢測來自偽基站的無線電信號，參數包括：信號強度、周邊基站、DBe 連續性、LAC/CELLID 連續性等。b.蜜罐技術：通過專用終端設備檢測偽基站。c.客戶投訴：根據突然的掉話以及信號不好，結合地理位置信息，定位偽基站的位置配置網絡流量監控系統，識別并標識網絡中的一場流量波動，查看是否有不明基站迫使用戶 UE 駐留。使用終端設備向基站和網絡發送測量報告，根據基站簽名判斷

234、是否是偽基站。4)能力開放安全方案根據 3GPP 定義的 CAPIF 框架，對 API 進行管理、發布和開放，應對 API 調用進行認證和授權。邊緣應用服務器調用運營商網絡的能力開放功能，獲取終端用戶的敏感信息時，需要得到用戶的授權同意。部署防火墻、入侵檢測等設備對關鍵 API 進行加固和安全防護。5)數據和信令保護方案終端和 gNB/5GC 之間控制面進行加密。終端支持機密和完整性保護算法，包括：NEA0，128-NEA1,128-NEA2 等。終端內用戶憑證的長期秘鑰（K 值）使用防篡改組件進行存儲，通過 HTTPS 加密傳輸。終端與 5G 網絡通信過程采用 SUCI 和 5G-GUTI，

235、對 SUPI 進行加密保護。歸屬網絡公鑰和 SUPI 保護方案應存儲在終端 UICC 中，標識應存儲在 UICC 中gNB 與終端之間空口支持 AS 層 RRC 控制面信令和用戶面完整性、機密性保護。N2/N3 口部署 IPSEC。6)邊緣平臺安全防護方案MEP 部署防 DDoS、鏈路加密、防重放等設備，MEP 和 APP 之間的數據傳輸應啟 2023 云安全聯盟大中華區版權所有101用機密性、完整性保護。MEC 應和 5G 核心網之間部署硬件防火墻，避免來自 5G 核心網的攻擊。MEC 應和企業網絡之間部署防火墻，防止來自企業網絡的攻擊。MEP 上部署的 APP 應使用 vFW 進行安全隔離

236、，防止惡意 APP 攻擊其他合法 APP。MEC 平臺應部署虛擬化安全檢測系統，防止來自虛擬機、容器的逃逸攻擊。(2)6G 安全6G 將通信的領域從物理世界進一步拓展到數字世界，通過在物理世界和數字世界中間提供即時、高效、智能的超鏈接來重塑世界。除了在 5G 網絡要考慮的各方面安全措施外，6G 必須為未來量子計算、AI、海量連接以及各種遠程車路協同、元宇宙等應用考慮安全防護。（a）6G 安全架構從架構上講，6G 的安全進行的全新的設計和考量，包括內生安全、彈性安全、情景感知安全，多維數據安全和可評估安全等。內生安全包括安全的內化、研發過程的安全、安全的自適應、自生長、被攻擊后的自愈合。彈性安全

237、包括網絡架構可編程級安全彈性部署，安全策略和可視化彈性業務發放等。情景感知安全包括智能化情景感知安全策略、情景切換情況下得自動安全策略轉換以及安全策略可定制。多維數據安全包括時間維度的安全、空間維度的安全、傳感維度安全以及立體隱私保護的安全?？稍u估安全包括網絡整體架構安全可評估、網絡協議安全可評估、業務場景安全解決方案可評估等。(b)6G 應用到的安全技術除了 5G 網絡的安全技術外，6G 要防范量子計算機的攻擊，避免信息泄露、數據篡改，就要通過量子密鑰、無線物理層密鑰等增強的密碼技術，為 6G 安全提供更強大的安全保證。6G 海量的終端接入，必須要采用輕量級接入認證、量子密鑰、區塊鏈等先進安

238、全技術，實現移動終端、車機、物聯網設備的安全接入與實時管控，為網絡基礎設施提供主動免疫能力。6G 更多的采用衛星通信，通信的密鑰分發、傳輸鏈路的安全以及衛星、地面站的物理安全、防干擾，都是 6G 需要考慮的實際問題。4.2.1.7.6 大數據安全大數據安全大數據采集安全非法數據源識別、數據真實性分析、虛擬身份驗證、數據分類分級、數據清洗、轉換與加載。大數據存儲安全 2023 云安全聯盟大中華區版權所有102大數據加密、磁盤存儲安全、數據副本、數據歸檔、數據時效性。大數據傳輸安全數據屬性加密、可搜索加密技術、全同態加密、隱私保護公開驗證、通道安全、接口安全、審核與監控。大數據使用和開放安全大數據

239、安全訪問控制、信息流安全控制、數字水印技術、大數據隱私保護模型、數據匿名化技術、導入導出安全、數據交換監控大數據安全銷毀與刪除介質管理、介質銷毀、數據銷毀技術大數據安全處理分布式處理安全、數據分析安全、數據正當使用、密文數據處理、數據脫敏處理、數據溯源4.2.1.7.7 工控安全工控安全工控安全解決方案涉及以下應用技術：工業網絡安全風險評估平臺、工業安全掃描平臺/工控安全檢測、工業防火墻、工業主機安全、工業資產測繪平臺、工業等保工具箱、工控安全審計、工控靶場、工控安全管理平臺、工控安全培訓、工控靶場、工控網閘。4.2.1.7.8 視頻安全視頻安全視頻安全解決方案涉及以下應用技術：視頻防火墻、視

240、頻設備安全準入、視頻防泄漏平臺、視頻轉碼接入網關、視頻綜合安全網關、視頻加密網關4.2.1.7.9 云安全云安全云安全解決方案涉及以下應用技術：多云管理平臺、多云安全中心、云基礎構架安全、云原生安全、云應用安全、云平臺安全運營。4.2.2 數字安全產品數字安全產品4.2.2.1 端點安全端點安全端點安全包括“惡意軟件防護”、“終端安全管理”和“其他”三個二級分類，每個二級分類下有幾個三級分類從屬于二級分類。三級分類的這一部分需要解釋終端檢測和響應，這是國外市場的熱點，有很大的趨勢取代反病毒產品。2023 云安全聯盟大中華區版權所有1034.2.2.2 網絡安全網絡安全網絡安全包括“安全網關”、

241、“入侵檢測與防御”、“網絡監控與審計”和“其他”四個二級分類，這是市場份額最大的一大類。這部分的三級分類需要說明的是：虛擬專用網暫時被列為關中安全網，因為幾乎所有的防火墻產品都有虛擬專用網功能，雖然獨立的 VPN 產品已經開發了一些專有的功能，比如認證和權限管理、應用虛擬化等等；高級威脅檢測（APT）產品雖然結合了行為分析、威脅情報和沙盒的特點，主要針對“0 day”利用問題，但本質上是檢測入侵行為被歸為入侵檢測和防御范疇；在國內，在線行為管理也是一大類，因為銷售許可證的申請一般是按照網絡傳播的審核標準進行審核，所以分為行為管理和審核。4.2.2.3 應用安全應用安全應用安全包括“WEB 安全

242、”、“數據庫安全”和“郵件安全”三個二級分類。4.2.2.4 數據安全數據安全數據安全包括“數據治理”、“文件管理與加密”和“數據備份與恢復”三個二級分類，數據是國家、企業和個人的核心資產，在大數據時代的數據安全尤為重要，數據治理主要可以用 DLP 產品解決數據控制的問題。4.2.2.5 身份和訪問管理安全身份和訪問管理安全身份和訪問管理安全包括兩個二級分類，即“身份驗證和權限管理”和“高級身份驗證”，基本圍繞三個問題：“你是誰？”是認證問題；“你能怎么辦？”這是權威問題；“你做了什么？”這是審計問題。4.2.2.6 安全管理安全管理安全管理包括“安全運行和事件響應”、“脆弱性評估和管理”以及

243、“治理、風險和合規”三個二級類別。日志審計 LA、安全信息和安全運營中心的 SOC 和事件管理的SIEM 的區別在于 LA 的數據源是日志，主要流程是采集處理、分析呈現。除了日志，SIEM的數據源還應該有流、dpi 和完整包、注冊表、進程等對采集、處理和分析能力的要求更強，顯示內容比 LA 更完整、更豐富。SOC 是在 SIEM 的基礎上增加工作流，最新的特 2023 云安全聯盟大中華區版權所有104點是安全自動化和協作。國內此類產品的數據采集維度相對單一(主要是日志)，在數據處理分析能力、安全自動化、協作等方面還有進一步提升的空間。再說漏洞掃描和補丁管理，不久前，Wannacry 還是個 N

244、 day 漏洞，只要及時打補丁，什么都不會發生。對于一般用戶來說，及時的安全更新將大大降低安全風險。如果值得使用 0 day 易受攻擊，你必須考慮更高級別的安全措施。表 4-1：常見網絡安全產品分類安全大類產品品類安全大類產品品類端點安全防病毒軟件主機檢測與審計安全操作系統主機/服務器加固網絡安全防火墻入侵檢測與防御網閘防病毒網關上網行為管理網絡安全審計VPN網絡準入應用安全Web 應用防火墻Web 應用安全掃描網頁防篡改郵件安全數據安全數據庫審計與防護安全數據庫數據泄露防護文件管理與加密數據備份與恢復身份訪問管理運維審計堡壘機數字證書身份認證與權限管理硬件認證安全管理安全管理平臺日志分析與審

245、計脆弱性評估與管理安全基線與配置管理威脅分析與管理終端安全管理 2023 云安全聯盟大中華區版權所有1054.3 數字安全服務數字安全服務4.3.1 安全服務供應概述安全服務供應概述根據數字安全框架，數字安全概念包括了網絡安全、信息安全、數據安全、隱私保護、元宇宙、數字身份、原生安全等領域。其中，對于元宇宙等新興概念，業界尚在研究探索階段，尚未發展出成熟的安全服務（盡管對新概念的研究本身就可作為一項服務交付，但研究的主題是高度定制化的）。其余數個領域的理論、實踐與技術均已經過多年的發展，已具備較成熟的服務和產品供給。根據 IDC 對安全服務的定義，安全服務關注的重點是 IT 系統的實施、管理、

246、運營和審計，以確保物理和數字資產和/或敏感信息的安全。安全服務涉及跨企業信息技術基礎設施規劃、設計、構建和管理信息安全所需的所有活動的整體視圖。根據 IDC 的安全服務分類方法，數字安全服務可劃分為三大類：專業安全服務（Professional Security Services）部署與培訓（Deployment and Training）托管安全服務（Managed Security Services）在這三大類別下，可以依次再分解二級和三級類別。例如專業安全服務下可再分為顧問服務（Consulting）和實施與集成服務（Implementation and Integration），安全管

247、理服務下可再分為客戶場所設備（MSS-CPE,customer premise equipment）、傳統托管（MSS-Traditional Hosted）、云托管（MSS-Cloud Hosted）。圖 4-13 IDC 世界范圍安全服務 20221515IDCs Worldwide Security Services Taxonomy,2022 2023 云安全聯盟大中華區版權所有106Gartner16也曾定義過安全服務的幾個分類，包括：硬件支持（Hardware Support）咨詢（Consulting）實施（Implementation）IT 外包（安全外包和托管安全服務）（IT

248、 Outsourcing(Security Outsourcing andManaged Security Services)）(參考來源：Gartner:https:/ Gartner 和 IDC 的分類方法，兩者在大類劃分上基本保持一致。鑒于硬件支持、部署、實施等服務是軟/硬件供應商、集成服務商以及它們的分包商提供的通用服務，本質上是為了支撐安全產品和技術的安裝、配置，以及跨系統間的集成，其本質和其他 IT 產品和技術的部署、實施與維護服務沒有差別，組織可以很便利地從設備廠商或集成服務商處獲得這些專業服務。因此，本報告并不會在部署、實施和軟硬件支持的角度下對安全服務展開敘述。從廣義來看，針

249、對安全的培訓和認證服務毫無疑問也是一種安全服務，為保持本報告內容結構的連貫性，培訓和認證的相關服務內容將在后續章節單獨敘述。另外，有部分服務商把一些傳統上需要現場交付的安全服務進行了云服務化，通過精心設置的門戶網站，讓客戶實現在線自助服務?？蛻羰褂梅丈烫峁┑?SaaS 產品完成諸如漏洞掃描、威脅情報、日志分析等工作，并根據服務的內容和工作量支付費用。這種創新的交付方式模糊了傳統意義上的產品和服務邊界，大大豐富了安全服務的場景。4.3.2 主流的數字安全服務主流的數字安全服務數字安全服務類型和交付方式靈活多變，不同服務商的服務目錄可能存在很大差異，并且可以針對不同的客戶高度定制化，本報告盡可能

250、地依據大眾認可的分類框架，來對數字安全服務及市場上的主要供應商進行介紹。4.3.2.1 安全咨詢服務安全咨詢服務 Security Consulting Services安全咨詢是與信息和 IT 安全設計、評估和建議相關的咨詢服務，目的是使特定客戶組織得到可接受的安全風險水平。安全咨詢服務是一系列專業服務活動的組合，典型的服務內容包括安全策略和規劃、治理風險和法規遵循(GRC)、系統架構評估、威脅評估16Gartner:https:/ 2023 云安全聯盟大中華區版權所有107和事件模擬、安全事件管理等。安全咨詢服務商往往具備多種服務能力，因為尋求咨詢服務的客戶需求是高度差異化的，咨詢服務商必

251、須具備非常廣闊的安全管理和安全技術知識，才能提供讓不同需求的客戶滿意的解決方案或專業意見。這種廣闊的安全知識和豐富的行業經驗也讓安全咨詢服務商發展出多樣化的服務組合。安全戰略及規劃安全戰略及規劃幫助客戶建立戰略路線圖，以改善組織的整體安全態勢。治理、風險與合規治理、風險與合規專注于組織在網絡安全、隱私、網絡風險和網絡審計網絡安全、隱私、網絡風險和網絡審計方面解決本地或國際合規框架的復雜需求。架構評估架構評估架構評估側重于對組織的整體架構進行深入評估，并確定技術和流程的路線圖，以改進安全態勢。威脅評估與模擬威脅評估與模擬旨在通過模擬惡意黑客的攻擊來評估企業資源的安全性，以識別和評估更有可能發生攻

252、擊的脆弱區域。事件管理事件管理服務包括制定事件響應計劃，通過紅/藍/紫隊對計劃進行評估并加以改進，通過取證服務來確認網絡攻擊的原因與性質，并從數字媒介中獲取與安全事件相關的信息和證據。表 4 2 典型的安全咨詢服務類型17國際上提供綜合安全咨詢服務的主要供應商包括（按首字母排列）：Accenture Cybersecurity Consulting Services埃森哲致力于提高客戶對網絡威脅的抵御能力，以匹配客戶業務生態系統和價值鏈的擴大，為客戶的特定業務需求量身打造網絡安全。廣泛的網絡安全知識和深厚的行業專業知識使埃森哲能夠開發下一代網絡安全服務，從端到端保護客戶的業務。Deloitte

253、 Security Consulting Services德勤幫助企業防范網絡攻擊，保護寶貴資產。德勤相信要做到安全、警惕和靈活，不僅要著眼于如何預防和應對攻擊，還要著眼于如何管理網絡風險，使客戶能夠釋放出新的機會。EY Security Consulting Services安永網絡安全、戰略、風險、合規和彈性團隊幫助組織在推動業務增長和運營戰略17IDCs Worldwide Security Services Taxonomy,2022 2023 云安全聯盟大中華區版權所有108的背景下評估其網絡安全和彈性項目的有效性和效率。這些服務可適用于各種應用場景（信息技術、物聯網、運營技術、云等

254、)，為組織提供了明確的風險度量和風險捕獲，并展示了未來將如何管理網絡風險。IBM Security Consulting Services提供全球安全咨詢專業知識，全面的能力和可靠的方法，以保護客戶的業務，幫助首席安全官、公司高管和董事會成員將安全融入業務戰略、流程和系統。KPMG Cyber Security Services畢馬威的成員公司擁有從董事會到數據中心的全方位專業知識。除了評估客戶的網絡安全并將其與業務優先事項相結合外，還幫助客戶制定先進的解決方案，實施這些解決方案，監控持續的風險，并幫助客戶有效應對網絡事件。Kroll Security Consulting ServicesK

255、roll 的整體安全咨詢服務包括當前和新出現的威脅評估、政策審查和發展以及總體規劃，可以通過包括威脅評估、策略審閱和開發，以及總體規劃在內的服務，幫助客戶構建一個強大的安全環境。Protiviti Security Consulting ServicesProtiviti 的網絡安全咨詢服務具有戰略和戰術兩個層面的功能，將深厚的技術能力與高層溝通和管理相結合。Protiviti 的主題專家通過實施網絡安全計劃、網絡安全標準、執行滲透測試、或處理數據泄露事件等活動，幫助客戶了解他們的網絡風險和解決他們的需求。PwC Security Consulting Services普華永道幫助客戶推動可持

256、續增長，保護價值，并通過建立信任和增強對中斷、變化和網絡威脅的抵御能力來應對不確定性。4.3.2.2 托管安全服務托管安全服務 Managed Security Services托管安全服務商(MSSP)提供安全設備和系統的外包監控和管理。常用服務包括防火墻管理、入侵檢測、虛擬專用網、漏洞掃描和防病毒服務。MSSPs 使用高可用性安全操作中心(從他們自己的設施或從其他數據中心供應商)提供 24/7 服務，旨在減少企業需要雇用、培訓和保留的操作安全人員數量，以保持可接受的安全態勢。托管安全服務涵蓋了所有安全運營服務的變體，并且在服務場所上有多種不同選擇（例如在客戶自有場所、在第三方場所、在云端等

257、）。2023 云安全聯盟大中華區版權所有109盡管對于托管安全服務可以按不同的維度劃分為多重子類，但這種分類更多是從工作團隊分工和交付方式的角度來考慮。從客戶的角度，往往只關注服務交付的最終結果，要求服務商的具備全面的綜合服務交付能力。服務商則根據客戶的要求提供各種靈活定制化的服務組合，這些服務組合的內容與客戶的安全運營職責劃分密切相關。因此，并無必要對托管安全服務進行細分的敘述，而可將其作為一個整體服務進行考慮。國際市場上提供托管安全服務的主要服務商包括（按首字母排列）：Accenture Managed Security Services通過創新性的技術、as-a-Service 能力和網

258、絡安全服務組合，幫助客戶快速擴展安全與合規運營。BT Managed Security ServicesBT 擁有大量的托管安全服務組合，包括網絡安全解決方案、威脅檢測和響應解決方案、云安全解決方案、端點安全、安全咨詢服務等。IBM Managed Security Services可以通過定制服務增強客戶的安全計劃，包括威脅、云、基礎設施、數據、身份和響應管理。IBM MSS 專家可以幫助長期優化、微調和提高安全程序效率，幫助客戶解決從最簡單到最復雜的安全需求，全天候監視和管理安全事件。NTT Security Managed Security Services通過高級威脅情報和高級分析來保

259、護和優化客戶組織。組織可利用 NTT 托管安全服務將數據轉化為知識，并獲得組織的整個安全圖景的可見性，而不是孤立的事件。Secureworks Managed Security Services為客戶不斷擴大的網絡提供全天候監控和管理的安全服務?？蛻艨梢酝ㄟ^ Taegis 安全分析和運營平臺獲得全面的托管解決方案，提供跨端點、網絡和云環境的高級威脅搜索、檢測和快速響應。Trustwave Managed Security ServicesTrustwave 托管安全服務可以幫助客戶擴展其團隊的能力，強化環境，并隨著時間的推移變得更有彈性。在精英團隊提供的全球威脅情報的支持下，全面而靈活的托管安

260、全服務幫助客戶抵御高級威脅，減少其攻擊面，識別新的風險，響應事件并從中恢復。Verizon Managed Security ServicesVerizon 為客戶不同位置的各種安全設備提供監視和管理?？蛻舻脑O備通過連接套 2023 云安全聯盟大中華區版權所有110件連接到安全管理中心的本地事件采集器。這種與供應商無關的服務允許客戶選擇世界級的產品，幫助保護技術投資，并避免供應商鎖定。Wipro Managed Security ServicesWipro 的托管安全服務包括先進的網絡防御中心、網絡安全平臺以及托管安全基礎設施和運營，在不影響業務性能的情況下提供持續的、實時的保護。4.3.2.

261、3 云安全服務云安全服務 Cloud Security Services當云計算成為了數字化時代的基礎設施基石，云安全就成為了安全服務發展的焦點之一。云安全服務以云計算的方式提供，不僅僅可以保障云上資產的安全性，還可以發揮云服務的特點，通過網絡和 API 將安全保護功能覆蓋到組織的本地資產，實現安全即服務(Security as a Service)。在前述的安全產品、方案和服務中，有許多是可以通過云服務的形式提供給客戶，并往往支持多種部署模式。幾大主要云服務商均提供了大量的云安全服務，使客戶在構建云基礎設施時，能以便利的方式獲取到最適配其云架構的安全解決方案，最大限度地增強云基礎設施、數據和

262、應用程序的安全性。國際上幾大云服務商提供的安全服務能力有（按首字母排列）：Alibaba Cloud阿里云對客戶的業務進行安全評估，分析業務需求，并與客戶緊密合作，定制無縫適合業務的安全規則。阿里云原生安全服務是基于自適應安全架構開發的，這些服務支持對客戶數據進行持續的安全監控和分析。阿里云管理基礎設施，并為其服務提供安全保障。此外，阿里云還制定了服務交付流程，確保阿里云提供的所有服務都是安全可靠的。AWSAWS 客戶受益于 AWS 的數據中心和用于保護信息、身份、應用程序和設備的網絡架構。通過 AWS 的全面服務和特性，組織可以提高他們滿足核心安全性和遵從性需求的能力，例如數據局部性、保護和

263、機密性。Microsoft Azure根據云服務模型的不同，誰負責管理應用程序或服務的安全性有不同的職責。Azure平臺中有一些可用的功能，通過內置的特性以及可以部署到 Azure 訂閱中的合作伙伴解決方案，來幫助企業履行這些職責。內置功能按六個功能區域組織:操作、應用程序、2023 云安全聯盟大中華區版權所有111存儲、網絡、計算和身份。.Google CloudGoogle Cloud 的安全解決方案可以應用于云、本地部署或混合部署。在攻擊造成損害或損失之前，檢測、調查并幫助阻止針對業務和用戶的網絡威脅。Google Cloud 提供的服務可以幫助客戶保護他們的應用程序免受欺詐，幫助檢測和

264、調查威脅；并使用谷歌依賴的相同的按設計安全的基礎設施來保護用戶、數據和應用程序；Google Cloud 的私有軟件定義網絡為世界各地的用戶提供快速可靠的連接。.IBMIBM 認為，企業在遷移到云時將面臨新的網絡安全挑戰，在遷移到混合云環境時，企業需要保持可見性、控制和安全性。在云轉型之旅的每個關鍵階段，組織都需要安全管理來領先于高級威脅。IBM 提供綜合性的云安全服務，包括安全策略、云本機安全、容器安全解決方案等。OracleOracle 云基礎設施(OCI)安全幫助組織降低云工作負載的安全威脅風險。通過將簡單、規范和集成的安全能力內置到 OCI 平臺中，Oracle 幫助客戶輕松采用和保護

265、他們的云基礎設施、數據和應用程序。4.3.3 數字安全服務的發展機會與趨勢展望數字安全服務的發展機會與趨勢展望在當今數字經濟的浪潮下，全球企業依托不斷涌現的數字化技術實現商業運營模式的顛覆性變革，以期在激烈的市場競爭中獲得優勢，使企業有機會以超越歷史的速度和規模實現收益。在數字化商業模式下，各種計算資源和設備通過高速網絡進行連接，企業在享受數字經濟收益的同時，也使其關鍵數字資產暴露在網絡攻擊的嚴峻威脅之下。根據安永 2020-2021 全球信息安全調查報告，全球受訪的 CIO/CSO 們認為，降低持續涌現的安全威脅所帶來的風險是企業增加信息安全投入的最重要驅動因素，而合規和監管要求帶來的挑戰則

266、排在第二位。但是，這兩項驅動因素的重要比例均呈現下降趨勢，特別是監管合規方面，CSO 們感到越來越難通過合規項目獲得公司的資金投入。盡管高達 49%的受訪者稱，確保合規可能是工作中壓力最大的一部分，但認為能夠以監管合規理由向董事會成功申請到額外預算的受訪者只有 18%，而 2020 年這一比例為 29%。2023 云安全聯盟大中華區版權所有112圖 4-14 企業新增網絡安全開銷的主要驅動因素18來自客戶企業的意見對安全服務市場的發展可起到一定的預示作用。自 2018 年GDPR 生效后，全球多個主要國家掀起個人信息保護立法的潮流。企業為了滿足在各國的隱私合規要求，投入了大量資源和精力用于業務

267、流程和信息系統改造，這曾在安全服務市場上帶來一波相當規模的需求。在未來數年，這股需求熱度可能將隨著監管要求的逐漸清晰，以及企業業務流程和系統的合規化改造愈加成熟而逐漸降溫，變為企業的日常運營工作。而 COVID-19、供應鏈危機、全球網絡攻擊等一系列事件給企業帶來的生存壓力卻是殘酷而真實。沉重的企業壓力無疑將傳遞到安全管理部門，影響著企業對未來數字安全服務的需求。為了能有效保護關鍵數字資產的安全能力，企業需要投入大量的資源、精力和時間來進行能力建設和持續運營，這未必能夠快速見效，并且會影響到企業在其他經營管理18EY:Global Information Security Survey(GIS

268、S)2020-2021 2023 云安全聯盟大中華區版權所有113領域的投入。因此，通過采購安全專業服務，以靈活的方式實現安全能力的快速構建，成為了眾多企業的明智選擇。根據多家市場調研機構的數據顯示，全球的安全服務市場呈現不斷增長的趨勢。根據 Statista 對 2011-2020 全球安全服務市場的統計，在全球范圍內的安全服務市場份額從 2011 年的 780 億美元上升至 2020 年的 1320 億美元。其中北美與亞太區市場實現了較大程度的增長。圖 4-15 世界范圍內安全服務市場規模統計，2011-2020 年19根據 IDC 的一項研究，全球安全服務市場在 2021-2025 年區

269、間將獲得 10.7%的平均增長率，其中增幅最大的是托管安全服務市場，增幅達 13.3%，其次是咨詢服務，增幅達 10.7%。19Security services:global market size 2020|Statista 2023 云安全聯盟大中華區版權所有114圖 4-16 世界安全服務市場預測，2021-2025 年20根據 Mordor Intelligence 的預測，未來數年間，亞太區的安全市場份額將保持高速增長，北美和歐洲將得到中等程度的增長。20Worldwide and U.S.Comprehensive Security Services Forecast,20212

270、025:Growth Continues During andBeyond COVID-19()2023 云安全聯盟大中華區版權所有115圖 4-17 世界不同地區的安全服務市場增長預測，2021-2026 年21根據 Gartner 一份對未來安全服務發展趨勢的研究報告22，未來幾年，安全服務的格局將發生重大變化，安全技術供應商和服務供應商的產品領導者必須調整服務交付策略，因為買家尋求將內部業務成果的運營交付轉移到服務供應商。Gartner 的研究員預測，到 2025 年，超過 25%的技術供應商將提供供應商交付的服務包，高于 2021 年的 10%。到 2026 年，超過 50%的服務供應

271、商將重新調整業務組合，以提供基于用例的結果（use-case-based outcomes）。到 2028 年，80%的安全服務外包將流向提供基于用例結果的供應商，而 2021年這一比例不到 5%。新興數字技術仍在不斷涌現和發展，創造性的數字經濟概念仍在不斷孵化。毫無疑問，數字安全服務的類型和交付方式也將不斷演變，其市場規模必將伴隨數字經濟的發展而不斷壯大。對于安全服務供應商而言，這當然是一個巨大的市場機會。對于企業而言，采購安全服務可以作為本身安全能力的快速補充和有效增強，使企業在不斷應用新興數字技術來重鑄商業模式和流程的過程中，仍動態保持對各種新型安全風險的有效管21Management

272、Consulting Services Market Share,Trends|2022-27|Industry Growth()22Gartner ID G00752203-Emerging Trends:Future of Security Services-By Shawn Eftink,John Collins-24Nov 2021 2023 云安全聯盟大中華區版權所有116理，為企業在數字經濟浪潮中保駕護航。4.4 數字安全教育數字安全教育4.4.1 數字安全教育定義數字安全教育定義數字安全是一個集合術語，描述用于保護在線身份、數據和其他資產的資源。這些工具包括網絡服務、防病毒軟件、

273、智能手機 SIM 卡、生物識別和安全個人設備。在計算機網絡時代，維護適當安全性所需的具體過程存在顯著差異。只要一不小心，一個拇指大的 U 盤就可能會泄露數百萬條記錄。通過一根網線就可以把敏感材料分享給數千萬用戶。雖然這些場景可能看起來不祥甚至可怕，但它們只是故事的一部分事實上，只是一小部分；在未經培訓的用戶手中，同樣的技術可能會引起如此多的關注，但如果使用得當，這些技術實際上可以比以往任何時候都更安全地保護信息。因此，數字安全教育在數字安全方面起到了至關重要的作用。4.4.2 數字安全教育的現狀數字安全教育的現狀目前數字安全教育基本通過國際和國內兩個信息安全專業認證體系開展。4.4.2.1 國

274、際國際信息安全認證體系信息安全認證體系（1）CSA 云安全聯盟國際云安全聯盟（Cloud Security Alliance,CSA）是中立、權威的全球性非營利產業組織，于 2009 年正式成立，致力于定義和提高業界對云計算和下一代數字技術安全最佳實踐的認識，推動數字技術與安全產業產業發展。國際云安全聯盟大中華區（CSA GCR）作為 CSA 全球四大區之一，2016 年在香港獨立注冊，于 2021 年在中國登記注冊，是網絡安全領域首家在中國境內注冊備案的國際 NGO，旨在立足中國，連接全球，推動大中華區網絡安全技術標準與產業的發展及國際合作。2023 云安全聯盟大中華區版權所有117CSA

275、聚焦在云安全領域的基礎標準研究和產業最佳實踐，其發布的云計算關鍵領域安全指南是云安全領域奠基性的研究成果，得到全球普遍認可，云控制矩陣（CCM）被世界各國認為全球通用的黃金標準。CCSK（云計算安全知識認證）（云計算安全知識認證）CSA 于 2010 年推出 CCSK，被譽為“云計算認證之母”，是云安全從業人員必備證書之一。成千上萬的 IT 和安全專業人員通過 CCSK 認證，提升云安全專業技能，助力職業生涯發展。CCSK 的培訓內容從云計算的架構框架開始，涵蓋了數據安全、治理與企業風險、可交互性與可移植性等 14 個領域，詳細講解了真實云計算環境中的安全問題及其解決方案。目前全國已有大約 2

276、000 多人獲得 CCSK 證書。取得 CCSK 認證意味著應試者成功通過了考試并充分理解了 CSA 指南及 ENISA 白皮書中所有核心概念，能夠正確采取合理手段保證云計算環境的安全問題。CZTP（零信任認證專家）（零信任認證專家）2023 云安全聯盟大中華區版權所有118零信任認證專家是零信任領域首個面向從業人員的安全認證，涵蓋最新的國際零信任架構技術與實踐知識，旨在為網絡信息安全從業人員在數字化時代下提供零信任全面的安全知識，培養零信任安全思維，傳播與踐行零信任理念，為企業守護核心數字資產。CDSP（數據安全認證專家）（數據安全認證專家）CDSP 針對云數據安全、ICT 數據安全和新興熱

277、點業務的數據安全（如 AI/IoT）展開闡述，并結合各類新興技術的不同場景，給出數據安全架構、安全設計、隱私保護的一般原則和業界最佳實踐，旨在確保信息安全、數據安全、云計算、隱私保護的從業人員對數據安全威脅和數據安全框架和最佳實踐有系統性地認知并掌握基本技能，并具備安全設計、審計、評估和保護數據與隱私所需的關鍵知識、技能和能力，可以將相關知識和技能落實到日常工作中，幫助企業滿足相關法律法規和監管要求。CBP（區塊鏈專業人員認證）（區塊鏈專業人員認證）CBP 由云安全聯盟推出，涵蓋最新的區塊鏈原理與實踐知識。作為 CSA 區塊鏈首個個人安全認證，旨在為 IT 從業人員在數字化時代下提供全面的區塊

278、鏈原理及安全思維，理解和掌握區塊鏈、密碼技術、共識機制、激勵機制、智能合約、P2P 網絡等的基本原理和實踐應用，培養其應用區塊鏈原理，準確分析各行業中存在的去中心化信任、公開透明、不可篡改、不可偽造以及跟蹤溯源等安全問題，設計和使用區塊鏈技術解決各行業應用問題。CDPO（認證數據保護官）（認證數據保護官）2023 云安全聯盟大中華區版權所有119CDPO 聚焦數據法律法規剖析、隱私保護合規體系建設以及梳理并理解數據治理和信息安全的基本概念，打造綜合性的專注中國特色的個人信息保護實操培訓課程體系。CDPO 旨在促進數字化領域從業人員對中國法律、法規的理解及隱私保護意識，主動跟蹤合規要求變化，梳理

279、內部的合規差距，真正能設計和落實具體的合規管理和技術措施進而規避合規風險，充分應用到工作中。CCPTP（認證云滲透測試專家）（認證云滲透測試專家）CCPTP 旨在提供針對云計算滲透測試所需的專業實操技能，彌補云滲透測試認知的差距和技能人才培養的空白，提升專業人員能力及提供認證證書，為云計算產業發展提供滲透人才隊伍保障。認證課程包含了云滲透測試知識體系、測試流程、實踐技術、法律法規、滲透測試人員道德規范、滲透測試方法論以及實操技術等內容。ACSE（高級云安全專家）（高級云安全專家）ACSE 旨在培養數字化時代云原生環境及 DevSecOps 環境的安全專家，解決如何做好新一代云原生安全及 De

280、vSecOps 安全的問題。通過課程學習掌握最新的云原生的安全防護管理體系與專家級的評估方法、業內先進的 DevSecOps 安全的實現模型與技術，以及云運維與事件響應與云安全合規與審計的最新方法。ACSE 是集云安全、云原生、與相關新興技術安全于一體的高級云安全專家認證（2）ISACAISACA(國際信息系統審計協會)是全球公認的 IT 治理、網絡安全、審計與鑒證、風險控制、數據隱私保護以及標準合規的領導組織，會員遍布逾 180 多個國家，總數超過150,000 人。ISACA 提供的主要認證有：CISA（國際信息系統審計師）（國際信息系統審計師）2023 云安全聯盟大中華區版權所有120C

281、ISA（Certified Information Systems Auditor，中文為國際信息系統審計師）認證是由信息系統審計與控制協會 ISACA（Information Systems Audit and Control Association）發起的，是信息系統審計、控制與安全等專業領域中取得成績的象征。CISA 認證適用于企業信息系統管理人員、IT 管理人員、IT 審計人員、或信息化咨詢顧問、信息安全廠商或服務提供商、和其他對信息系統審計感興趣的人員。CISM（國際注冊信息安全經理）（國際注冊信息安全經理）ISACA 創立的注冊信息安全經理認證(CISM)，聚焦在信息安全戰略、評估

282、系統和政策，自 2002 年推出后，受到了全球資深信息安全經理們的推崇，迄今已有超過 28,000人獲得了這一證書。CISM 注重管理層面，是全球公認的對開發、建立和管理企業信息安全系統的個人能力的認可。CISM 證書的維持率超過 95%。注冊信息安全經理(CISM)針對信息安全風險在業務應用的管理和相關問題的解決，CISM 為信息安全經理和信息安全管理職責的專業人員量身定制，提升企業總體的信息系統安全管理水平，向高級管理層確保：擁有 CISM 專業資格認證的人員具有知識和能力提供有效的信息安全管理和咨詢，以業務為導向，在應用于業務的管理、設計和技術安全問題時，強調信息風險管理概念。CISM

283、不適用于信息系統審計人員，但對具有信息系統管理經驗和責任的信息系統審計師同樣有益。CGEIT（國際注冊企業（國際注冊企業 IT 治理證書）治理證書）ISACA 的 CGEIT 國際注冊企業 IT 治理證書自 2007 年推出以來，全球已有 8,000 多名 2023 云安全聯盟大中華區版權所有121專業人士通過了該認證，展現了他們在實現與企業戰略目標相一致的包括 IT 在內的全面治理中所具備的知識、能力和經驗。在數字化轉型中，隨著新技術的出現和應用，董事會和高管不得不制定和實施有效的治理和業務連續性計劃。CGEIT 持證人員可以完美介入，確保采用恰當的系統和流程，可以靈活調整和繼續運營，降低

284、干擾。作為第一個也是唯一一個面向 IT 治理專業人士的認證，CGEIT 可以讓持證人員掌握評估組織需求和風險偏好的全面知識，獲取高層管理人員支持，以及將 IT 部門轉變成為價值中心的能力。CRISC（國際注冊風險和信息系統控制）（國際注冊風險和信息系統控制）隨著全球安全漏洞的急劇增加，對了解 IT 風險及其與組織關系的專業人員的需求越來越大。ISACA 的風險和信息系統控制認證(CRISC)幫助專業人士發展相關技能，滿足這一需求。CRISC 向 IT 專業人士提供專業知識，使他們能夠識別、評估和管理 IT 風險，同時計劃和實施控制措施和框架。它還可以幫助個人建立一種通用的語言，在 IT 部門內

285、部和整個組織內就安全和系統控制進行溝通。該認證針對 IT 以及商務人士，包括風險與合規人士、業務分析師、項目經理，以及所有通過開發、實施和維護信息系統控制從而發現和管理風險的專業人士。CDPSE（國際注冊數據隱私專家認證）（國際注冊數據隱私專家認證）ISACA 的 CDPSE 國際注冊數據隱私安全專家證書自 2020 年推出以來，全球有超過20,000 名專業人士獲得了認證，證明了他們跨部門合作的經驗和能力，以及對合規要求的理解和實施恰當隱私控制的能力。CDPSE 認證幫助企業中的技術、安全、法律及合規人員更好地掌握數據隱私保護所涉及的相關管理和技術能力，助力企業更好落地隱私 2023 云

286、安全聯盟大中華區版權所有122保護管理措施和技術方案，從而構建并提升更全面的數據隱私保護體系以應對不斷變化的外部監管環境。持有 CDPSE 證書可以證明您建立和實施全面的隱私解決方案的經驗和能力，彌合了隱私合規性的技術和法律方面之間的鴻溝。CDPSE 適合在 IT、運營、信息安全、系統和應用開發、企業架構和項目管理等部門工作負責落實一線防御的專業人員，負責評估和確保法務和合規的專業人員，負責隱私保護政策和流程的開發、實施和運維的專業人員，與信息技術和數據治理流程打交道的人員，負責評估隱私保護實踐以及合規，與審計和風險管理流程打交道的專業人員。（3）(ISC)(ISC)(國際信息系統安全認證聯盟

287、)成立于 1989 年，是全球最大的網絡、信息、軟件與基礎設施安全認證會員制非營利組織，是為信息安全專業人士職業生涯提供教育及認證服務的全球領導者。(ISC)(總部位于美國，區域辦公室設在倫敦、香港及北京（授權中國代理辦事處）。(ISC)以其一流的信息安全人才教育與培養計劃，以及“金牌標準”安全認證而享譽全球。(ISC)提供如下認證：CISSP（注冊信息系統安全認證專家）（注冊信息系統安全認證專家）CISSP 即注冊信息系統安全認證專家是目前世界上最權威、最全面的國際化信息系統安全方面的認證，由國際信息系統安全認證協會(ISC)組織和管理，(ISC)在全世界各地舉辦考試，符合考試資格的人員在通

288、過考試后被授予 CISSP 認證證書。CISSP 可以證明證書持有者具備了符合國際標準要求的信息安全知識水平和經驗能力，提升其專業可信度，并為企業和組織提供尋找專業人員的憑證依據，目前已經得到了全世界廣泛的認可。越來越多的公司要求自己和合作伙伴的員工擁有 CISSP，該資質持有者目前供不應求。目前全國已有大約 3000 多人獲得 CISSP 證書。取得 CISSP 認證，表明持有者擁有完善的信息安全知識體系和豐富的行業經驗，以 2023 云安全聯盟大中華區版權所有123卓越的能力服務于各大 IT 相關企業及電信、金融、大型制造業、服務業等行業，CISSP的工作能力值得信賴。(ISC)CCSP(

289、Certified Cloud Security Professional，注冊云安全專家）認證旨在滿足云計算市場對合格安全人才的關鍵需求，并反映最新、最全面的云安全最佳實踐。獲得全球認可的 CCSP 云安全認證是建立您的職業生涯和更好地保護云中關鍵資產的有效途徑。CCSP 表明持證者擁有先進的技術技能和知識，能夠使用(ISC)的網絡安全專家制定的最佳實踐、政策和程序設計、管理和保護云中的數據、應用程序和基礎設施。(ISC)注冊軟件生命周期安全師（Certified Secure Software Lifecycle Professional）(CSSLP)是信息安全行業唯一一個針對保障整個軟

290、件開發生命周期安全性的國際認證。此資格認證制定了從概念到規劃、運行、維護直至廢棄處理在內的軟件開發各階段保證安全性的行業標準和最佳實踐。安全性的核心理念包含機密性、完整性、實用性、驗證、授權與審計，在軟件開發生命周期中缺一不可。若不嚴守以上原理，信息將受到嚴重威脅。實踐證明，在軟件生命周期初期就考慮安全性并在各階段保持安全性的方式，比當今常用的先發布后打補丁的方式，不但能節省 30-100 倍成本，更能大大提升工作效率?，F今，應用程序漏洞仍舊是網絡安全的首要顧慮。盡管攻擊者不斷利用新的應用漏洞，研究人員也不斷披露，但最常見的應用程序缺陷往往是之前已反復發現的威脅。已知的應用程序漏洞如此之多，一

291、方面表明了許多開發團隊未能具備所需的安全能力和資源以應對潛在安全缺陷，另一方面也反映了市場明顯缺乏具有足夠應用安全知識與技能的合格軟件專業人員。如果不采取有效措施應對這一軟肋，企業與政府機構將不得不 2023 云安全聯盟大中華區版權所有124面臨并持續遭遇數據泄露、運營中斷、業務受困、品牌受損、監管罰單等一系列嚴重后果。這就是為什么軟件從業人員不斷更新軟件開發知識與技能、緊跟軟件開發行業發展趨勢與動態、同時了解新興安全威脅的重要性所在。CSSLP 證明持證軟件從業人員具備將身份驗證、授權、審計等最佳安全實踐融入軟件開發生命周期各個階段（從軟件設計、實施到測試和部署）的專業知識與能力。（4）IA

292、PP國際隱私專業協會(IAPP)成立于 2000 年，是一個非營利組織，致力于在全球范圍內幫助定義、促進和改進隱私專業。致力于為隱私專業人士提供了一個共享最佳做法、追蹤趨勢、推進隱私管理問題、規范隱私專業管理的平臺，為信息隱私領域和專業人士提供相關教育和指導。IAPP 提供了一套完整的教育和職業發展服務，包括隱私培訓、認證項目、出版物和年會論壇。CIPP（注冊信息隱私專家）（注冊信息隱私專家）CIPP 是首個信息隱私方面的認證資質，將向世界展示持證人員知道隱私法律和法規以及如何應用它們并且知道如何確保在信息經濟中的地位。因各國(地區)數據安全政策不同，CIPP 認證又分為 CIPP/E(Eur

293、ope)、CIPP/A(Asia)、CIPP/US(U.S.Private-sector)、CIPP/C(Canada)和 CIPP/G(US.Government)等 4 個子類。CIPP 認證主要適用于隱私保護法律法規、合規性審查、信息管理、數據治理、人力資源等領域的從業人員。CIPM（注冊信息隱私管理師）（注冊信息隱私管理師）CIPM 則主要滿足隱私項目生命周期內風險管理、隱私運行、審計與追責、隱私分析等方面的需求，主要適用于風險管理、隱私操作、審計、隱私分析、職責劃分等相關的從業人員。CIPT（注冊信息隱私技術專家）（注冊信息隱私技術專家）2023 云安全聯盟大中華區版權所有125CI

294、PT 面向 IT 從業者開展隱私保護認證，可證明專業人員在 IT 產品和服務的開發、工程、部署與審計方面，對于隱私和數據保護實踐的理解程度，以及管理和建立隱私保護要求和控制措施的能力，主要適用于信息技術、信息安全、軟件工程、隱私設計、合規審計等相關的從業人員。（5）其他認證ITIL 4 Foundation 認證認證ITIL 4 是在 ITIL V3/2011 基礎上開發的新版本，指導廣大客戶面對數字化時代 IT 服務管理所帶來的挑戰，并提供一個靈活、協調和集成的系統，以有效地治理和管理 IT驅動（IT-enabled）的服務。ISO/IEC27001 網絡安全管理網絡安全管理ISO/IEC

295、27001(ISO 27001)是信息安全管理的國際標準，提供了建立、實施、維護和持續改進信息安全風險管理系統(ISMS)的體系化運行模式。該標準是有效管理敏感、機密信息和應用信息安全控制的管理模式。符合 ISO/IEC 27001 標準的組織擁有明確、客觀的證據，證明其承諾持續改進對其敏感和機密信息的控制。因此，ISO/IEC 27001 讓業主、股東和客戶放心，保護企業和相關方的信息系統安全、知識產權、商業秘密等。ISO 20000 審核員審核員ISO 20000 是世界上第一部第一部針對信息技術服務管理（IT Service Management）領域的國際標準，ISO 20000 信息

296、技術服務管理體系標準代表了被廣泛認可的評估 IT 服務管理流程的原則的基礎。該標準定義了一套全面的、緊密相關的服務管理流程。ISO 20000 是面向機構的 IT 服務管理標準，目的是提供建立、實施、運作、監控、評審、維護和改進 IT 服務管理體系(ITSM)的模型。2023 云安全聯盟大中華區版權所有126PMP（項目管理專業人士）（項目管理專業人士）PMP 是項目管理專業人士資格認證，由美國項目管理協會(簡稱 PMI)發起。PMP在全球范圍內對項目管理人員的職業資格認證，其目的是為了給項目管理人員提供統一的行業標準；作為項目管理資格認證考試，已在國際上樹立了其權威性?，F中國已有超43 萬人

297、參加 PMP 考試。EXIN DPO（數據保護官）（數據保護官）隨著歐盟 GDPR 法規以及國內網絡安全法、首部民法典、個人信息保護法(草案)的出臺，隱私作為一種權利，越來越受到個人的重視和國家的監管。做為數據合規從業人員，既要懂隱私保護，又要懂信息安全！考取該證書不僅意味著成功通過了對歐盟法規的全面考察，更加意味著擁有了在組織中擔任實施與維護 GDPR 的能力。DPO 總共三門課分別為：EXIN PDPF 講述 GDPR 法律法規；EXIN PDPP 講述隱私保護管理體系；EXIN ISO27001 Foundation 講述信息安全基礎知識）。目前全國已有大約 700 多人獲得 EXZN

298、DPO 證書，受眾群體為凡是涉及到個人信息的企業、或在歐盟設有分支機構及業務的企業及行業等。4.4.2.2 國內信息安全認證體系國內信息安全認證體系目前國內信息安全認證體系按照國內的發證機構區分，大致可以分為公安部、中國信息安全產品測評認證中心、國家反計算機入侵和防病毒研究中心、人力資源和社會保障部、工業和信息化部這幾大類。2023 云安全聯盟大中華區版權所有127CIIPT（國家重要信息系統保護人員）（國家重要信息系統保護人員）公安部信息安全等級保護評估中心（以下簡稱“評估中心”）是由公安部為建立網絡安全等級保護制度，構建國家網絡安全保障體系而專門批準成立的專業技術支撐機構。為了更好地服務于

299、等級保護制度的深入開展，滿足相關人員的培訓需求，評估中心制定和實施了我國重要信息系統安全保護人員培訓計劃（CIIPT)。CIIPT(Critical Information Infrastructure Protection Training)，培訓的知識體系是以等級保護相關政策法規為指導，以重要信息系統保障為核心，基于等級保護相關崗位技能需求，以等級保護相關標準體系為主線，根據具體崗位工作任務系統化梳理而成的。我國重要信息系統的規劃、設計、建設、運行維護需要大量專業技術人員，根據不同人員的培訓需求不同，設置不同的培訓課程，目前主要分為針對技術人員的 CIIP-A 和針對管理干部的 CIIP-

300、D 兩類證書培訓。國家重保人員認證可以作為企業開展等保測評工作的內審人員的崗位培訓。是國內針對等保工作面向非等保測評機構人員較具權威的證書，當前全國有約 10000 人獲得該證書。獲得證書人員表明接受過國家網絡安全政策、法規和標準的專業培訓，掌握和了解我國重要信息系統的規劃設計、建設整改、運行維護的相關要求。具備我國重要信息系統保護對相關人員的基本能力要求。CISP（注冊信息安全專業人員）（注冊信息安全專業人員）2023 云安全聯盟大中華區版權所有128CISP 即“注冊信息安全專家”，是經中國信息安全產品測評認證中心實施國家認證，代表國家對信息安全人員資質的最高認可；是有關信息安全企業，信息

301、安全咨詢服務機構、信息安全測評認證機構和授權測評機構、社會各組織、團體、企事業有關信息系統建設、運行和應用管理的技術部門和標準化部門必備的專業崗位人員，其基本職能是對信息系統的安全提供技術保障，全國約有 5000070000 名獲證人員。根據實際崗位工作需要，CISP 分為三類：CISE 主要從事信息安全技術開發服務工程建設等工作，CISO 從事信息安全管理等相關工作，CISA 從事信息系統的安全性審核或評估等工作。課程包括了信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、信息安全評估、信息安全支撐技術、物理環境與網絡通信安全、計算環境安全、軟件安全開發知識體系。目前，國

302、內各大安全專業服務公司都具備相應數量的 CISP 專家。CISP-PTE（注冊信息安全專業人員（注冊信息安全專業人員-滲透測試工程師）滲透測試工程師）CISP-PTE（注冊信息安全專業人員（注冊信息安全專業人員-滲透測試工程師）滲透測試工程師）由中國信息安全測評中心頒發，此證書專注于培養考核高級應用安全人才，是業界首個理論與實踐相結合的技能水平注冊考試，是國內認可度極高的滲透測試認證，其專業性強，技能要求高。CISP-PTE 對申請人員無工作經驗和學歷的要求。目前全國已有大約 3000 多人獲得 CISP-PTE 證書。注冊信息安全專業人員-滲透測試是為了鍛煉考生實際解決網絡安全問題的能力，有

303、效增強我國網絡安全防御能力，促進國家企事業單位網絡防御能力不斷提高，以發現人才，選拔優秀人才而設立的技能水平考試，證書持有人員主要從事信息安全技術領域 2023 云安全聯盟大中華區版權所有129網站滲透測試工作，具有規劃測試方案編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。CISP-DSG（注冊數據安全治理專業人員）（注冊數據安全治理專業人員）CISP-DSG 即“注冊數據安全治理專業人員”，是中國信息安全測評中心聯合天融信開發的針對數據安全人才的培養認證，是業界首個針對數據安全治理方向的國家級認證培訓。證書持有人員主要從事數據安全治理相關工作，具有數據安全治理過程管理、數據安全技

304、術體系設計、數據安全管理體系設計的基本知識和能力。目前全國已有大約 500多人獲得 CISP-DSG 證書。CISP-DSG 知識體系包括信息安全保障、信息安全評估、網絡安全監管、信息安全管理、數據安全基礎知識、數據安全技術體系、數據安全管理體系這四個知識類，每個知識類根據其邏輯劃分為多個知識體，每個知識體包含多個知識域，每個知識域由一個或多個知識子域組成。CISAW（信息安全保障人員認證）人員認證）2023 云安全聯盟大中華區版權所有130CISAW 是中國信息安全認證中心歷經六年，集業界專家、企業精英、高校及研究機構學者參與打磨的針對信息安全保障不同專業技術方向、應用領域和保障崗位，依據國

305、際標準 ISO/IEC17024人員認證機構通用要求所建立的、不同層次的信息安全保障人員認證體系。CISAW 經過全新改版，針對技術專業和應用領域，建立了安全集成、安全運維風險管理、應急服務、安全軟件、工控網絡安全、能源行業工業控制系統網絡安全、電子數據取證、網絡輿情分析與處置、WEB 安全、CA 服務、滲透測試的認證方向，針對不同的層次，不同專業的信息安全崗位，為信息安全從業人員提供了較為完整的一套認證體系?？既?CISAW 不同認證方向，有具體的學歷要求及工作經驗。CSAO（注冊信息安全意識官）（注冊信息安全意識官）CSAO 即注冊信息安全意識官，由 CEAC(The Cyberspac

306、e Security Talent EducationAlliance of China，中國網絡空間安全人才教育論壇)頒發認證。認證課程是國內首個“人為因素”安全風險管理專業認證課程，旨在面向政企事業單位負責安全文化建設、管理內部“人為因素”風險以及實施安全意識宣導的專/兼職人員，提供全方位的方法論與實踐指導，并將“人為因素”風險管理工作進行體系化、可視化和可度量，以提升企業安全意識成熟度水平，更有效滿足合規要求及降低“人為因素”風險。企業可通過開展 CSAO 認證培訓，為組織內部培養專業的專/兼職崗位安全教育志愿者，幫助組織快速建立各級安全宣傳工作隊伍，通過科學的工作方法與知識工具，有效連

307、接帶動身邊每位員工，共同關注身邊的信息安全，形成企業安全文化。目前全國已有大約 360 多人獲得 CSAO 證書。CCSS-M（網絡安全服務能力認證（網絡安全服務能力認證安全管安全管理能力認證）理能力認證）2023 云安全聯盟大中華區版權所有131網絡安全服務能力認證安全管理能力認證(簡稱 CCSS-M)由國家反計算機入侵和防病毒研究中心負責。該組織由科技部、公安部批準，在上海市政府支持下，由公安部第三研究所負責組建，是進行信息安全領域反計算機入侵和防病毒研究及成果產業化的國家級研究基地。發證機構為國家反計算機入侵和防病毒研究中心（公安部第三研究所）。本認證目的在于培訓、考核各單位安全管理人員

308、在安全崗位人員角色定位、安全職責內容分配、日常安全工作協調、日常信息安全規范管理等方面的統籌協調能力，以及對于專項安全行動支持、網絡安全工作、事件通報及預警處置管理、網絡安全法律法規解讀等方面采取措施及統籌能力。證書目標人群為單位及企業的安全部門管理者；有意向從事安全管理者工作人員。ITSS(服務項目經理和服務工程師）服務項目經理和服務工程師）IT 服務工程師培訓”和“IT 服務項目經理培訓”是中國電子技術標準化研究院推出的ITSS 系列培訓，通過該培訓的人員可系統掌握 IT 運維的知識，提升項目管理水平，有效滿足 GB/T 28827.1 的符合性評估要求。中國電子技術標準化研究院軟件應用與

309、服務研究中心組織開展 ITSS 系列培訓工作。ITSS 能提高企事業單位的 IT 服務管理水平，規范 IT 服務的行為，降低 IT 運營的風險，保障業務正常、穩定、高效的運行，增加 IT 投資的回報率；通過 ITSS 系列培訓，可以培養從業人員熟練掌握 ITSS 內容，提升 IT 運維服務能力；企事業單位可以在 ITSS標準的指導下開展 IT 服務工作。推動信息技術標準 ITSS 在 IT 服務行業的廣泛應用。信息系統項目管理師信息系統項目管理師信息系統項目管理師屬于計算機技術與軟件（高級）專業技術資格。2023 云安全聯盟大中華區版權所有132通過本考試的合格人員能夠掌握信息系統項目管理的知

310、識體系，具備管理大型、復雜信息系統項目和多項目的經驗和能力；根據需求組織制訂可行的項目管理計劃；能分析和評估項目管理計劃和成果；能在項目進展的早期發現問題，并有預防問題的措施；能協調信息系統項目所涉及的相關人員；具有高級工程師的實際工作能力和業務水平。頒發證書單位是工信部和人社部。信息網絡安全專業人員信息網絡安全專業人員(INSPC)認證認證本證書頒發機構為公安部國家反計算機入侵和防病毒研究中心。認證目標是讓持證人員掌握信息安全和管理所必需的基礎理論知識，掌握信息系統的基本安全管理、評估和基礎防御技術，掌握主流網絡和信息安全產品的基礎配置管理，并能有效提高互聯網用戶防范日益增多的網絡盜竊和入侵

311、的能力，有效保護個人及單位的資金賬戶和重要信息。第五章數字安全評價層第五章數字安全評價層5.1 數字安全獎項與排行數字安全獎項與排行5.1.1 數字安全企業評估參考數字安全企業評估參考業界存在眾多安全相關的獎項及業界大會，這些大會及獎項目的除了通過大會協助全球認識到安全面對的威脅，同時也介紹新的防護技術，并表揚領域上的杰出企業、方案、產品、及優秀人士。下面是國內外具有代表性的大會及相關獎項。5.1.1.1 云安全聯盟大中華區云安全聯盟大中華區云安全聯盟大中華區是在香港正式注冊的獨立、中立、權威性非營利組織，是國際云安全聯盟 CSA 的全球四大區之一(其它大區為美洲區、亞太區、歐非區)。云安

312、全聯盟大中華區創立中國神獸方陣模型（China Matrix Quadrant），方陣接受聯合國科學技術促進發展委員會和聯合國數字安全聯盟指導，秉著中立公正、專業權威的原則，相關數據將作為聯合國全球數字安全報告內容的重要參考。云安全聯盟大中華區對中國企業在數字安全的各子領域進行分析、展示、排行。在方陣中，各神獸可以代表中國的獨角獸企業，也可以代表更強大的先進企業，以及在創業成長期中有潛力成為未來獨角獸的創新企業，為數字經濟和數字安全產業的高質量發展提供參考和借鑒。云安全聯盟大中華區發布的神獸方陣系列包括云安全、數據安全、零信任、區 2023 云安全聯盟大中華區版權所有133塊鏈安全、物聯網安全

313、、隱私科技等數字技術安全領域，這個模型從對企業從技術先進性與市場影響力兩個維度進行評估，在研發能力、知識產權、產品成熟度、營收情況、簽約情況、營銷情況等六個打分項做出分析與評價，每年度對方陣進行更新，由中國網、中國科技新聞網等官方媒體傳播給全球讀者與廣大客戶群體。首先推出的零信任神獸方陣于 2022 年發布23。5.1.1.2 中國網絡安全產業聯盟（中國網絡安全產業聯盟（CCIA）聯盟是由積極投身于網絡安全產業發展，開展網絡安全理論研究、技術研發、產品研制、測評認證、教育培訓、安全服務等相關業務的企事業單位以及用戶單位自愿組成，屬于全國性非營利行業組織，旨在營造良好的網絡安全產業發展環境，23

314、https:/c- 云安全聯盟大中華區版權所有134保障中國國家網絡安全和用戶利益，推動網絡安全產業做大做強。網絡安全解決方案優秀獎網絡安全解決方案優秀獎致力于推選我國網絡安全產業優秀創新成果，激發網絡安全企業加強自主創新能力，搭建網絡安全企業、技術、人才和資本合作的平臺，推動網絡安全產業高質量發展。2018 年 8 月首次發布，是 CCIA 最早的評選獎項之一，每年在中國網絡安全周期間發布，評委團由網絡安全主管部門、行業用戶、投融資機構、高等院校、科研機構的 10 位點評專家和 50 位觀眾評委共同組成，是國內重要的網絡安全獎項之一。中國網絡安全市場競爭力報告中國網絡安全市場競爭力報告報告主

315、要針對國內安全領域總體發展進行統計和分析，同時針對熱點板塊進行拆分整理和評估，有比較客觀的參考意義。中國網安產業競爭力中國網安產業競爭力 50 強（強（CCIA 50 強）強）評選主要從“資源力”和“競爭力”兩個維度對企業綜合能力進行畫像。2020 年進行首次評選，每年 6 月在其官網上發布，各大安全網站、媒體都會以各種形式轉載。中國網安產業成長之星（中國網安產業成長之星（CCIA 成長之星）成長之星）榜單的評選目標是通過數據分析，發現網絡安全行業中聚焦新興的安全細分市場，在競爭中處于優勢地位，具備進一步高速成長的創新型企業。該榜單的評選主要面向商業模式相對成熟，未來業務重點和經營策略確定的企

316、業，從企業競爭力（品牌、營銷、產品、研發、服務和經營）、企業成長周期、企業成長性及安全是否為主營業務等方面進行多維度考評，最終確定榜單。成長之星首次發布在 2020 年月，之后每年 6 月與 CCIA 年度多項榜單同期發布。中國網安產業潛力之星（中國網安產業潛力之星（CCIA 潛力之星）中潛力之星）中國網安產業潛力之星備選企業是 B 輪以前或成立 5 年以內的企業。評價指標主要以企業競爭力（品牌、營銷、產品、研發、服務和經營）為基礎，結合企業成長速度、成長性、資本市場關注度等維度的數據計算得出，企業從事業務方向創新性強也是重要的參考維度。CCIA 潛力之星首次發布在 2020 年月，之后每年

317、6 月與CCIA 年度多項榜單同期發布。5.1.1.3 安全牛安全牛安全牛是中國網絡安全領域的專業媒體和旗艦智庫，精確定位并服務于 2023 云安全聯盟大中華區版權所有135CISO/CSO/CTO/CIO 決策者人群，向國內企業的決策管理者以及 IT 專業人士提供獨立客觀、高品質、有價值的戰略性網絡安全內容。安全牛致力于推動中國企業跨越“安全鴻溝”，促進中國網絡安全產業的健康發展。中國網絡安全行業全景圖中國網絡安全行業全景圖總結行業的全景圖，可以方便關注領域的人士快速查閱、參考、分享和傳播。2016 年 9 月，安全牛團隊基于對我國安全行業的調研和積累，結合網絡安全廠商產品信息申報，首次推出

318、中國網絡安全行業全景圖，對我國網絡安全產業整體發展狀況及細分領域代表性廠商進行展現，受到行業廣泛關注。2020 年之后評估日趨趨成熟，2022 年第九版“全景圖”包含 14 項一級安全分類，94 項二級安全分類.中國網絡安全企業中國網絡安全企業 100 強強安全牛于 2015 年 7 月，在行業中率先發起全國性網絡安全廠商調查活動，并推出第一版中國網絡安全企業 50 強報告，受到行業廣泛關注。隨著我國網絡安全產業快速發展，原“50強”報告于2019年7月經調研擴增至“100強”并延續至今。2021 年 11 月 9 日，第九版中國網絡安全企業 100 強（基于 2020 年度數據）正式發布。5

319、.1.1.4 FreebufFreeBuf 是國內領先的網絡安全行業門戶，同時也是愛好者們交流與分享安全技術的社區。CCSIP 中國網絡安全產業全景圖中國網絡安全產業全景圖隨著全社會數智化轉型的起步，網絡安全領域加速迭代，整體發展更具規?；?、產業化、集群化。同時，受益于國家政策推動，全行業持續高景氣發展。面對網絡安全的新形勢，FreeBuf 咨詢始終緊跟網絡安全市場發展趨勢，關注企業發展現狀、跟蹤前沿技術，確保 CCSIP 全景圖對業內人士的長期參考價值，自 2018 年開始，每年不定期發布“中國網絡安全產業全景圖”。全景圖與安全?！爸袊W絡安全行業全景圖中國網絡安全行業全景圖”相比，偏重于產

320、品和技術方面的綜合能力評估，同時在細分領域上也和其它主流安全評估略有差異。網絡安全創網絡安全創新大會新大會2015 年底，FreeBuf 主辦了 2015 WitAwards 年度互聯網安全評選，并在 2016年初首次舉辦年度互聯網安全創新大會（FIT），之后每年年底或者年初定舉行。2019年，大會更名為“CIS 網絡安全創新大會”，每期大會都會有不同的主題和側重，旨在 2023 云安全聯盟大中華區版權所有136將最新的網絡安全戰略、話題、技術、方案等集中發布。Wit Awards 中國網絡安全行業年度獎項包括：年度安全作者年度熱門安全產品與服務年度安全品牌影響力年度安全 SRC年度產業領軍企

321、業年度創新產品年度技術變革年度優秀解決方案5.1.1.5 IDCIDC 成立于 1964 年，是全球領先的科技媒體、數據和營銷服務公司 InternationalData Group(IDG,Inc.)的全資子公司。在安全方面，每年 IDC 會召開多個全球性會議，并在每年公布以下獎項：IDC 年度全球 CSO 網絡安全大會CSO 20 Awards:中國 20 大杰出安全項目CSO HALL of FAME（全球 CSO 名人堂）及中國 CSO 名人堂（十大人物）IDC 年度全球 CSO 網絡安全大會自 2015 年舉辦至今已在全球超過 10 個國家和地區成功舉行，2020 年的美國峰會吸引了

322、超過 1000 位 CIO 和 CSO 參與，線上直播觀眾超過 15 萬人次。2022 年大會由 Foundry（IDG）/IDC 聯合上海市網絡安全協會共同舉辦，為表彰安全領域的杰出項目及人物，本屆大會首度設立“中國 20 大杰出安全項目”和“中國 CSO 名人堂（十大人物）”獎項評選。5.1.1.6 Business Intelligence GroupFortress Cyber Security AwardFortress Cyber Security Award 是由 Business Intelligence Group 組織的一系列網絡安全相關的獎項。Business Intel

323、ligence Group 的目標是尋找并獎勵那些具有遠見、創造力和毅力的人，而這些獎項都是在全球領先的公司和個人的一個標志。該組織自 2012 年以來，已經表彰并獎勵了數百名企業高管、部門、產品。目的是突出和獎勵那些在全球網絡安全日益嚴重的威脅下，提出創造性思維、工程、人員和項目。2023 云安全聯盟大中華區版權所有137Fortress Cyber Security Award 獎項類別包括：分析（ANALYTICS）應用安全（APPLICATION SECURITY）身份驗證和身份（AUTHENTICATION&IDENTITY）區塊鏈（BLOCKCHAIN）合規（COMPLIANCE）

324、密碼學（CRYPTOGRAPHY）數據保護（DATA PROTECTION）加密（ENCRYPTION）端點檢測（ENDPOINT DETECTION）事件響應（INCIDENT RESPONSE）網絡安全（NETWORK SECURITY）威脅檢測（THREAT DETECTION）培訓（TRAINING）卓越組織（ORGANIZATIONAL EXCELLENCE）領導力（LEADERSHIP）5.1.1.7 Cyber Defense Media Group網絡防御媒體集團（Cyber Defense Media Group）是世界上領先的網絡防御新聞和信息平臺，于 2012 年 1 月

325、開始在全球幫助信息安全創新者傳播信息并擴大規模。同時，網絡防御媒體集團非常關心網絡防御，并建立各網絡防御平臺，其中又以網絡防御獎最為著名。網絡防御全球信息安全獎自 2012 年以來要求參與者必須有創新的網絡安全產品、服務或解決方案供評委審核，每年的網絡防御全球信息安全獎與 RSA Conference或其母公司 Dell 無關，也不由其擁有或運營。獎項包括：前 10 黑色獨角獸前 10 新生黑色獨角獸前 10 網絡安全初創公司前 10 MSSP前 10 網絡安全女性前 10 網絡安全專家前 10 首席信息安全官 2023 云安全聯盟大中華區版權所有1385.1.1.8 GartnerGartn

326、er 公司成立于 1979 年，是第一家信息技術研究和分析的公司,為有需要的技術用戶提供專門的服務。Gartner 已經成為了一家獨立的咨詢公司，Gartner 公司的服務主要是迎合中型公司的需要，希望使自己的業務覆蓋到 IT 行業的所有領域，從而讓自己成為每一位用戶的一站式信息技術服務公司。魔力象限魔力象限Gartner 魔力象限是監測和評估專業科技市場中公司發展及定位的一種研究方法論和形象化工具。對于有意向找一家能滿足自身需求的公司的投資者以及力圖在市場中贏得競爭并獲得優勢的企業，魔力象限研究報告用處極大。與單純的給出統計數字或者列表為公司排名不同，魔力象限使用二維模型闡釋公司間的實力及差

327、異。魔力象限基于公司發展前景的完備性和執行能力，將構成競爭的公司分成四個不同的部分。利基型企業(也稱利益市場、小眾市場)有遠見者挑戰者行業領袖魔力象限由 Gartner 公司于 2006 年提出，并沒有特別區分網絡安全及其他的行業，排名都可以在 Gartner 的網站查看，關于網絡安全方面相關的排名主要有以下：訪問管理應用安全測試云訪問安全代理端點保護平臺企業網絡防火墻入侵檢測和防御系統IT 風險管理托管網絡服務特權訪問管理安全 Web 網關基于計算機的安全意識培訓安全信息和事件管理 2023 云安全聯盟大中華區版權所有139安全服務邊緣Web 應用程序和 API 保護Web 應用程序防火墻5

328、.2 數字安全認證數字安全認證當今世界已進入數字時代，數據成為國家基礎性戰略資源、重要生產要素。全球數據爆發增長，海量集聚，成為實現創新發展、重塑人們生活的重要力量，事關各國安全與經濟社會發展。數字安全對于推動經濟高質量發展，助力國家治理體系和治理能力現代化具有重要作用。近年來針對數據的攻擊、竊取、劫持、濫用等手段不斷推陳出新，社會、經濟、科技、民生等領域面臨巨大潛在風險。為切實保障數字安全，國際社會各方在實踐中不斷探索。數字安全認證已逐漸成為全球數據治理的重要手段。數據安全認證本質上是第三方提供的服務，承擔著第三方規制的角色。構建法治化的數字安全認證體制機制，不僅有利于保障數據安全，而且可以

329、有效促進數字經濟的規范健康發展。數字安全認證是指由認證機構證明產品、服務、組織等符合相關法律規范、技術標準的評定活動。數字安全認證主要通過第三方認證機構按照相關安全標準，客觀評定數據處理行為的安全性。5.2.1 產品測評認證產品測評認證隨著科學技術日新月異的提升迭代以及互聯網的高速發展，世界正在進入以信息產業為主導的快速發展時期。信息技術已經被廣泛應用在各行業中，有效推動社會進步與經濟發展。信息安全產品和信息系統因其特有的敏感性和特殊性，對社會秩序、經濟建設、公眾利益、乃至國家安全均構成直接或間接的深遠影響。產品評測認證依據國家標準 GB/T 183362015 信息安全技術信息技術安全評估

330、準則以及其他信息技術產品測評標準，綜合考慮產品的構成要素和應用環境，通過對信息技術產品的整個生命周期(包括研制、開發、管理、交付、使用等)進行全面的評估和測試，驗證產品的保密性、完整性、可用性和安全性程度，確定產品是否滿足相關評測標準的要求,為最終用戶判斷產品提供決策依據和權威公正的專業指導。產品評測主要是由測評機構按照相關標準對產品進行測評，達到測評要求后，出具產品認證證書。目前，國內產品測評機構主要有國家保密科技測評中心、中國信息安全認證中心、國家網絡與信息系統安全產品質量監督檢驗中心、公安部計算機信息系統安全產品質量監督檢驗中心、國家密碼管理局商用密碼檢測中心等。2023 云安全聯盟大中

331、華區版權所有1405.2.1.1 目的和意義目的和意義產品評測認證是產品安全質量、產品安全使用的重要保障措施，其目的是促進高質量、安全和可控的產品的開發。產品評測具體的目的和意義主要包括:排除產品的安全隱患，確保產品質量;幫助用戶選擇安全可靠的產品，讓用戶使用更加放心;助力企業建立健全有效的管理監督體系，進一步提升產品質量；嚴格規范和科學引導企業的研制、開發、生產、使用等，提高其市場競爭力和技術研發水平，使企業發展進入良性循環；有助于在涉及國家安全的信息安全領域中加強產品和服務的安全性和可控性，維護用戶的安全利益，確保產品符合國家安全標準；促進信息技術產業的穩步持續發展，提升信息技術產業成熟度

332、，推進信息技術產品市場規范化、標準化建設；助力企業加強自主創新和保護知識產權的意識，提高企業產品和服務的自主創新能力和水平。5.2.1.2 業界主要標準和指南業界主要標準和指南相關的評測標準主要有：GB(國家標準），QB(行業標準），DB(地方標準)，企業標準，國際標準等。5.2.1.2.1 國家標準國家標準國家標準是指由國家機構通過并公開發布的標準，包括強制性國標（GB）和推薦性國標（GB/T）。業界標準有：GB/T 20272-2019信息安全技術操作系統安全技術要求GB/T 20275-2013 信息安全技術網絡入侵檢測系統技術要求和測試評價方法GB/T 20279-2015信息安全

333、技術網絡和終端隔離產品安全技術要求GB/T 18336-2001信息安全技術信息技術安全性評估準則GB/T 20281-2015信息安全技術防火墻安全技術要求和測試評價方法GB/T 21028-2007服務器安全技術要求GB 17859-1999計算機信息系統安全保護等級劃分準則GB/T 22186-2016信息安全技術具有中央處理器的 IC 卡芯片安全技術要求等。2023 云安全聯盟大中華區版權所有1415.2.1.2.2 行業標準行業標準行業標準是對國家標準的補充，是在全國范圍的某一行業內統一的標準。業界標準有：YD/T 4065-2022移動終端可信環境安全評估方法YD/T 4060-2022云計算安全責任共擔模型YD/T 4041-2022智慧城市電子圍網技術要求YD/T 4029-2022計算存儲分離架構的分布式存儲技術要求YD/T 4025-2022互聯網邊緣數據中心

相關圖表

本文主要概括了數字時代的特征、數字安全的重要性以及新一代數據安全的概念。 1. 數字時代以技術提高經濟和社會中知識周轉的速度和廣度為特點，數據成為新的核心資源。 2. 數字安全是保障數字時代發展的關鍵，各國都在加強數據安全立法和標準制定。 3. 新一代數據安全遵循“原生安全”理念，具有“原生一體、安全可信”的特性，覆蓋數據全生命周期和全場景，實現數據可控可管，保障數據價值。

數字時代如何保障數據安全？新一代數據安全的核心理念是什么？如何實現數據的控密雙態計算？

相關報告

聯系我們

0731-84720580
sgpjbg002
工作日 9:30 - 18:00

關于我們

侵權處理

關于我們

出版物經營許可證
工信部備案號：湘ICP備17000430號-2
公安備案號：湘公網安備43010402001071號

三個皮匠報告專業的行業報告下載站，每日更新，歡迎大家關注！

copyright@2008-2013 長沙景略智創信息技術有限公司版權所有
網站備案/許可證號：湘B2-20190120

客服

小程序

服務號

折疊

午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站