2022年8月19-21日，“第八届中国行业互联网大会暨CIO班17周年年会”在北京隆重举行。作为中国CIO领域的顶尖科技盛会，本次大会由CIO时代主办，新基建创新研究院协办，汇聚了数智时代的顶尖行业专家、研究学者、优秀CIO群体和科技厂家，大家共同围绕大会主题“走向全面数字化”发表了重要的观点和看法。
 
PCSA安全研究院高级咨询师徐玉慧在8月19日的安全专场上发表题为《实战化智能安全运营中心的思考与建设实践》的主题演讲。以下是演讲实录： 各位专家，各位老师，大家下午好！
 
今天很高兴跟大家分享的是实战化智能安全运营中心的思考与建设实践。
 
首先我想介绍一下我们联盟，联盟是2016年10月20日在相关监管单位的指导下正式成立的。围绕持续为用户打造安全中枢的使命，我们一直在数据安全、关基安全、供应链安全以及智能安全领域开展深度的研究工作，我们研究的是行业用户长期面临的共性问题和共性顽疾，希望通过共生的手段来实现共同的解决。在多年的实践过程中，我们也持续积淀了一些成果，包括三年三图，持续在做国内唯一以API为主的对接方式（目前已经对接了19大安全领域，43种能力类型，166个安全能力），持续聚焦在关基安全保护领域做深刻理解认知和研究，持续向标杆客户做赋能，覆盖金融、建筑、电力、能源等多个行业。
 
本次分享主题包括三个方面，深刻理解篇、深度研究篇和实践落地篇。
 
一、深刻理解篇
首先从国际形势上来看，到2022年，国际关系日益复杂，在这个背景下整体国际网络安全形势也日趋严峻，特别是今年年初的俄乌冲突，它引发的网络空间超线战已经成为很明显的一个标志。所以未来网络安全的主场景一定是实战化、常态化、体系化的网络对抗。
 
在这个形势下，我们也对网络安全的保护层次做了深度的剖析，我们认为网络安全不能一概而论，国家有国家层面需要做的网络安全，公共社会、行业、城市、组织、群体和个体也有各自需要考虑的安全范畴和内容。我们PCSA主要是深耕在行业安全领域，聚焦关键信息基础设施，开展安全研究、安全建设和安全运营工作。
 
近些年来，国家陆续发布了很多的法律法规，标准规范的要求，监管单位的要求也日趋严格，包括我们现在看到的等保2.0，《数据安全法》，《个人信息保护法》，关基保护条例等。怎样满足这些新监管要求，怎样把原有的安全建设基础与其融合，怎样顺应自身的刚需问题满足业务数字化转型需要，已经成为很多用户的共性困扰。   
 
从整体的发展趋势上来看，我们把网络安全划分成三个阶段，网络安全将会从合规走向实战，迈向协同。
 
2016年以前，整个网络安全是合规基础驱动阶段，在这个阶段我们主要开展一些等保、分保工作，就可以高枕无忧了。
 
2016年到十四五期间，监管要求越来越多，国际形势也日益严峻，在这个情况下，如果我们只做基础合规的工作，是肯定不能满足攻防对抗要求的，而且国家也一直在组织实战攻防演练工作，所以我们需要在原来合规基础上上升一个台阶，落实实战对抗、技术对抗的工作，进入实战强化驱动阶段，把我们原来认为的无关紧要的共性问题、共性顽疾真正解决掉，把我们原来的建设的技术体系、管理体系以及现在的运营体系一体化的运转起来。
 
从长远来看，网络安全一定会走到协同保护驱动阶段，未来数字化转型进程不断演进，只靠我们组织内部来做整个安全工作肯定是无法顺应这个形势的，所以我们需要跟国家协同，跟监管单位协同，跟行业兄弟单位协同，这样才能应对未来日趋严峻的霸权国家、敌对势力、黑客组织带来的日益严峻的安全威胁。
 
二、深度研究篇
在深刻理解篇的基础上，我们围绕用户的共性困惑做了深度研究，逐步形成了“三年三图”，希望通过“三年三图”可以跟用户实现知识共享、经验共享和智慧共享。自成立之初，研究团队持续参与数十个行业、上百家安全运营单位的安全顶层规划设计、安全建设、安全运营和实战演练工作，持续开展了多个专题研究，包括安全场景研究、安全模块研究、安全业务研究、安全框架研究等，进一步细化了不同角色面临的共性困惑和问题，协助用户逐步实现安全工作从困惑走向清晰。
 
下面就向大家介绍一下我们这三年以来的“三年三图”。 第一张图是2020年疫情期间与我们的联盟成员单位共同研讨而成的年度攻防全景推演系列套图，一共6张。他起源于国家组织的实战攻防演练，通过总结攻防过程中的一些经验、教训而成。
 
这张图有三个关键点：第一个关键点是保护对象，通常认为保护对象是物理层、网络层、主机层、应用层、数据层等这些层面，但保护对象涉及到的账户、人员、供应链、资产以及平台等都有可能成为保护对象被攻击的风险隐患点，也需要纳入保护对象范畴，做重点关注。
 
第二个关键点是两大视角，传统上开展安全工作更多的是就已知内容，站在防御的视角，但是经过多年的实战演练发现只防守是不够的，所以我们在这张图上也绘制出了攻击者的视角以及他的攻击路径。
 
第三个关键点是三大体系，原来我们开展安全工作的时候，强调的是技术体系和管理体系，只要能应对等保测评就可以了，但是发现没有运营体系的一体化运转，技术体系安全能力和管理体系安全制度的效果会大打折扣的。 第二张图是关键信息基础设施三化六防挂图作战总体架构图，是在2021年3月27日正式发布的。这张图是面向不同场景、不同角色，明确了平时和战时到底该做哪些工作。平时需要把基础资源数据化和安全管控常态化的工作做扎实，比如我们要梳理清楚资产，清点风险隐患，明确安全能力布防，将日常的安全工作从线下转到线上，实现线上化的运转，提升工作处置效率，支撑安全绩效考核。对于战时来说，更加强调提升监测、响应、预测、防御等一体化智能闭环对抗能力，从而支撑战略决策协同指挥工作。 第三张图是基于行业最佳实践的安全保护框架，这张神图于今年618线上发布。因为这张图很复杂，内容点很多，所以我们对它做了进一步的拆解，形成了1-3-3-4的架构。 第一个1是自上而下的顶层指引，我们开展安全工作必须要遵循国家的要求，遵循监管单位，行业主管部门的要求，同时也要遵循组织自身的一些战略要求。
 
第二个3是融合一体化的安全体系，就是要做到安全管理体系、安全技术体系、安全运营体系融合一体化。
 
第三个3是模块化的保护层次，包含基础保护、强化保护和协同保护。
 
最后一个4是有效落地的四个支柱，要有充足的资源保障，要提升自己的能力，既要看得懂安全常态化背景，也要看得懂安全业务化趋势。
 
下面再进一步细化我们具体的内容：
一个顶层指引是我们要贯彻落实总体国家安全观、国家网络空间安全战略、网络安全法律法规标准规范、监管部门和行业主管部门要求，以及组织的业务战略、数字化规划等，这些都是开展安全工作的依据。
 
第二个是安全体系，这里强调技术体系、管理体系以及运营体系在内涵上有了延伸、强化和融合，它向下延伸了供应链安全的相关内容，要求我们考虑供应链安全管理和供应链安全技术的问题，向上针对关键信息基础设施和重点保护对象提出了进一步的强化要求，最终技术体系和管理体系需要融入到运营体系，实现安全管理指标化、安全能力生态化和管理运营团队一体化。
 
再往下就是三个保护层次，这里我做了一个生动的比喻。把三个保护层次应用到实际的场景下来看，基础保护层就是要有安全的环境（如清洁的空气、干净的食物、清洁的水源）和基础配套（如城墙、弓箭手和步兵等）。到了实战强化保护这一层，光有城墙、弓箭手就不行了，这个时候我们需要强化高精尖的武器装备配备，比如要有侦查雷达、精准打击武器、导弹防御系统等，从而提升我们侦查分析的精准度和响应处置的效率。再往上是协同保护层，强调的是多场景、多角色、多视角的协同。当然这三个保护层次不是所有的安全运营单位必须马上就做到最后一步的，需要结合自身安全能力成熟度、保护对象重要程度，以及安全建设完整度情况，来循序渐进的开展。
 
安全保护框架的最后一块是四大支柱，首先可以看到现在实战攻防演练已经走向常态化，这就要求我们做到平战结合一体化，平时要夯实日常安全工作，做好基础合规，强化重点保护，战时更加侧重信息共享、指挥协同和和预警通报，平战切换强调的是组织的灵活转换，流程的精简快速。第二个是趋势，未来安全一定会成为一项业务，安全业务化一定会成为未来的主流，作为安全人员必须能做到看、管、监、控一体化，看是需要看得清全局关键资产和风险隐患，管是要管得清保护对象的边界和责任，监是监督好整个安全事件的处置过程，控就是控得住全局安全防护的底线。最后需要建立战略层、组织层、资金层充足的资源保障，提升业务洞察能力、四同步能力以及软硬实力。
 
三、实践落地
我们在思考研究过程中也协助很多安全运营单位做了很多安全运营中心的落地，以某能源央企为例，该企业从2019年开展网络安全运营中心建设，截至2021年年底，已经基本完成了从原来靠人工响应、处置低效，到响应流程化，再到现在处置部分自动化的过程。今年他们也在开展持续建设工作，希望实现场景化、流程化、自动化、一体化和部分智能化。
 
通过对市面上的各类安全运营中心做技术的对比和分类，目前可以拆分为三类: 从安全运营中心整体的发展趋势上来看，未来安全运营单位开展了很多的安全工作，建设了很多的安全能力，监管单位也在持续提出更多更高的监管要求，面对此场景，安全运营中心的演进将逐步走向基础资源数据化、体系对抗智能化和决策指挥智慧化。这个过程中我们也希望各位专家/领导，和我们PCSA一起共同研究，共建设生态化的安全体系，为整个数字智能时代赋能。
 
以上是我本次会议的分享，谢谢大家！
 

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。