第二届华南年会精彩回顾 | PCSA安全能力者联盟郭峰:体系化对抗与系统性风险推动安全走向业务化
第二届华南年会精彩回顾 | PCSA安全能力者联盟郭峰:体系化对抗与系统性风险推动安全走向业务化
2023-03-14 15:18:44 来源:
抢沙发
2023-03-14 15:18:44 来源:
2023
年3月5日,
第二届中国行业数字化转型高峰论坛暨华南CIO年会在广州隆重召开。本次大会由CIO时代主办,新基建创新研究院提供智库支持,汇聚了数智化转型创新领域的顶尖行业专家、研究学者、优秀CIO群体和科技厂家,围绕
“创新·进化”的大会主题发表重要观点。
PCSA安全能力者联盟首席专家郭峰出席了华南年会并分享了“
体系化对抗与系统性风险推动安全走向业务化”。
以下为演讲内容整理文稿:
国家市场监督管理总局与国家标准化管理委员会发布的《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)将于2023年5月1日起正式实施,其中正式明确了企业安全官(CSO)职务。
CIO和CSO如同一体之两翼,在企业发展中缺一不可。
在过往几年中,
CIO和CSO面临的主要挑战已经发生了根本性的变化。CIO不再需要解释IT的重要性,使用高效技术和实现优秀业务表现之间的因果关系已经毋庸置疑。CSO也不需要解释安全的重要性,面临新的监管要求和实战挑战,安全走向实战化、常态化、体系化和业务化。
CIO和CSO面临的挑战是业务与安全融合有序平衡发展
背景:网络安全面临的是体系化对抗与系统性风险
当前,体系化对抗中的系统性风险逐渐凸显,攻击链是全局攻击,而防御链则是系统性防御。系统性风险就是从一个薄弱环节突破,导致全行业面临的风险。系统性风险一旦发生,就是灾难性的风险。在体系化对抗的场景下,解决系统性风险更需要对攻防场景有全局视角的认识。而随着社会各层面对网络安全的不断重视,防御体系普遍薄弱与被忽略的情况在逐步改善。
趋势:体系融合走向一体化,安全走向业务化
在企业数字化转型深入、安全威胁多样化、新技术创新应用等因素的共同推动下,网络安全的综合需求正不断变化。实战化、常态化、体系化、多维化、一体化、生态化、综合化、可视化、业务化、流程化、平台化、弹性可扩展等需求成为企业网络安全建设的重点。
安全建设逐渐从实战角度出发,将涉及的方方面面整合为一体,以安全业务化理念解决网络安全关键问题。
攻防场景思考——年度红蓝攻防全景推演系列图
2020年,PCSA安全能力者联盟邀请了十余家攻击方和几十家防御方参与研究红蓝攻防实战推演,历时三个月时间,发布了《2020年度实战系列全景图》。
通过六张实战推演图,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护,强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战的全景保护对象和步骤推演。
红蓝攻防全景推演
红蓝攻防全景推演(攻击面/暴露面)
红蓝攻防全景推演(边界突破/防护)
红蓝攻防全景推演(横向渗透/区域控制)
红蓝攻防全景推演(攻陷/强控)
红蓝攻防全景推演(基础/强化/协同三层保护)
安全业务重点与关键点思考——“三化六防 挂图作战”总体架构图
“
三化六防”指的是:以“
实战化、体系化、常态化”为理念,以“
动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”为举措。
“
挂图作战”指的是:建设关键信息基础设施安全保护业务平台,建设平台智慧大脑,研究绘制网络空间地理信息图谱(网络地图),实现挂图作战,看得清,管得清。
新一代网络安全综合防护体系,将安全与业务深度融合,将“
看”“
管”“
监”“
控”四部分与角色分别挂钩,将业务需求与业务模块、业务角色、业务流程、业务效果、业务价值相对应,实现综合防御。
安全业务安全保护框架思考——基于行业最佳实践的安全保护框架
安全保护框架以“
1-3-3-4”为架构。
“1”个顶层指引——自上而下,坚持总体国家安全观,包括国家网络空间安全战略、网络安全法律法规标准规范及监管要求、组织战略等。
“3”个安全体系——融合一体化,包括安全管理体系、安全技术体系、安全运营体系。
“3”个保护层次——模块化,包括合规基础保护层、实战强化保护层、指挥协同保护层。
“4”个重要支柱——有效落地,包括资源保障、能力提升、安全常态化背景、安全业务化。
2023年PCSA安全能力者联盟将继续深耕安全领域,坚持“聚合中国关键安全能力,赋能数字智能时代、致力于数字时代安全业务化”的愿景,聚焦关基安全、数据安全、资产安全、供应链安全、智能安全等领域解决行业长期共性顽疾与共性痛点,持续为用户打造安全中枢。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baxuedong
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
