2022全球數(shù)字安全報(bào)告

?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有1?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有3致謝本白皮書(shū)由

CSA

大中華區(qū)專(zhuān)家撰寫(xiě)，感謝以下專(zhuān)家的貢獻(xiàn)：貢獻(xiàn)者名單：李雨航高亞楠姜寧姚凱陳欣煒郭春梅林藝芳鹿淑煜蘇泰泉肖達(dá)方婷顧偉洪重良劉潔李博劉宇馨毛備劉玉紅歐建軍吳賀馬超田原王永霞楊喜龍張光治黃連金楊天識(shí)原浩余曉光張淼袁明坤周杰郭鵬程賈良鈺呂鸝嘯?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有4貢獻(xiàn)單位：北京華云安信息技術(shù)有限公司北京數(shù)安行科技有限公司北京啟明星辰信息安全技術(shù)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司杭州美創(chuàng)科技有限公司杭州安恒信息技術(shù)股份有限公司華為技術(shù)有限公司三未信安科技股份有限公司上海締安科技股份有限公司騰訊云計(jì)算（北京）有限責(zé)任公司奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司（以上排名不分先后）關(guān)于研究工作組的更多介紹，請(qǐng)?jiān)?/p>

CSA

大中華區(qū)官網(wǎng)（/research）

上查看。如本白皮書(shū)有不妥當(dāng)之處，敬請(qǐng)讀者聯(lián)系

CSA

GCR

秘書(shū)處給予雅正!

聯(lián)系郵箱：

research@；國(guó)際云安全聯(lián)盟

CSA

公眾號(hào)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有5引言世界正以“比我們所能預(yù)測(cè)的更快的速度”從模擬技術(shù)向數(shù)字技術(shù)轉(zhuǎn)變，這既帶來(lái)了巨大希望，也帶來(lái)了一些風(fēng)險(xiǎn)。新冠病毒大流行放大了數(shù)字世界的許多好處和危害。技術(shù)加強(qiáng)了醫(yī)務(wù)人員的救生能力，允許企業(yè)遠(yuǎn)程操作等，同時(shí)技術(shù)也被嚴(yán)重濫用，仇恨言論、歧視和虐待正在數(shù)字空間蔓延。聯(lián)合國(guó)“數(shù)字合作路線(xiàn)圖”主要內(nèi)容包括推動(dòng)數(shù)字通用連接、促進(jìn)數(shù)字技術(shù)成為公共產(chǎn)品、保證數(shù)字技術(shù)惠及所有人、支持?jǐn)?shù)字能力建設(shè)、保障數(shù)字領(lǐng)域尊重人權(quán)、應(yīng)對(duì)人工智能挑戰(zhàn)、建立數(shù)字信任和安全。路線(xiàn)圖的首要目標(biāo)是“連接、尊重和保護(hù)數(shù)字時(shí)代的人們”。有了正確的數(shù)字政策，數(shù)字技術(shù)才能前所未有地推動(dòng)聯(lián)合國(guó)可持續(xù)發(fā)展目標(biāo)，特別是對(duì)于最貧窮的國(guó)家，但這需要更多的連接性和更少的數(shù)字碎片，更多跨越數(shù)字鴻溝的橋梁，和更少的障礙，普通人有更大的數(shù)字自主權(quán)，減少數(shù)字濫用和虛假信息。

很明顯，如果沒(méi)有指導(dǎo)和護(hù)欄，數(shù)字技術(shù)也有巨大的危害潛力——從壓制言論自由到跨境惡意干擾，以及對(duì)在線(xiàn)人群（主要是女性）的攻擊和騷擾。因此，我提出了一項(xiàng)全球數(shù)字契約，旨在為所有人創(chuàng)造一個(gè)開(kāi)放、自由、包容和安全的數(shù)字未來(lái)，各國(guó)政府將在

2024年聯(lián)合國(guó)未來(lái)峰會(huì)上達(dá)成一致，并征求科技公司、民間社會(huì)、學(xué)術(shù)界和其他方面的意見(jiàn)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有6序言聯(lián)合國(guó)秘書(shū)長(zhǎng)發(fā)布的“數(shù)字合作路線(xiàn)圖”是全球普惠數(shù)字技術(shù)發(fā)展數(shù)字經(jīng)濟(jì)的引航燈塔，隨著數(shù)字化的不斷發(fā)展，安全行業(yè)正在超越傳統(tǒng)網(wǎng)絡(luò)安全范疇，升級(jí)為數(shù)字安全。秘書(shū)長(zhǎng)于

2021

年

9

月發(fā)布了《我們的共同議程》報(bào)告，提出將在聯(lián)合國(guó)未來(lái)峰會(huì)上通過(guò)技術(shù)軌就全球數(shù)字契約達(dá)成一致。全球數(shù)字契約將成為“所有人共享開(kāi)放、自由和安全的數(shù)字未來(lái)的共同原則”。國(guó)際云安全聯(lián)盟大中華區(qū)對(duì)支持聯(lián)合國(guó)秘書(shū)長(zhǎng)的數(shù)字合作路線(xiàn)圖與全球數(shù)字契約的落地起到了重要作用，本報(bào)告對(duì)“數(shù)字合作路線(xiàn)圖”中的數(shù)字信任和安全提出了治理框架，并調(diào)研了全球各國(guó)的實(shí)施現(xiàn)狀，報(bào)告發(fā)現(xiàn)中國(guó)在數(shù)字時(shí)代為數(shù)字經(jīng)濟(jì)提供的數(shù)字安全保障走在了全球前列。聯(lián)合國(guó)科協(xié)與技術(shù)促進(jìn)發(fā)展委員會(huì)與各成員國(guó)建議讀者們吸取這些優(yōu)秀實(shí)踐，例如全球數(shù)字安全框架、新一代數(shù)據(jù)安全思考、中國(guó)神獸方陣報(bào)告、零信任理念、CAST

與

CNST

等，在全球范圍共同建立數(shù)字信任和安全。在復(fù)雜的國(guó)際形勢(shì)下，希望各方凝聚共識(shí)，推動(dòng)合作，為經(jīng)濟(jì)復(fù)蘇、攜手應(yīng)對(duì)全球挑戰(zhàn)注入信心，聯(lián)合國(guó)科技委期待中國(guó)為推動(dòng)數(shù)字經(jīng)濟(jì)與數(shù)字科技的開(kāi)放、包容、平衡、普惠發(fā)展貢獻(xiàn)智慧和力量。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有7前言隨著數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)字社會(huì)等的快速發(fā)展，我們正處于數(shù)字時(shí)代。數(shù)字技術(shù)和數(shù)據(jù)不僅帶來(lái)了新的理念、機(jī)遇和好處，也給所有國(guó)家?guī)?lái)了挑戰(zhàn)、威脅和風(fēng)險(xiǎn)。消費(fèi)者的數(shù)據(jù)安全和隱私保護(hù)已經(jīng)從線(xiàn)下轉(zhuǎn)移到線(xiàn)上，海量數(shù)據(jù)也引發(fā)了數(shù)個(gè)數(shù)據(jù)安全管理問(wèn)題。隨著數(shù)字技術(shù)為社會(huì)經(jīng)濟(jì)服務(wù)的范圍和深度越來(lái)越大，安全問(wèn)題的后果將更加嚴(yán)重。面對(duì)日益增加的安全風(fēng)險(xiǎn)，沒(méi)有人可以單打獨(dú)斗。數(shù)字安全不是單純的技術(shù)問(wèn)題，而是涉及業(yè)務(wù)、管理、流程、團(tuán)隊(duì)等多方面的系統(tǒng)工程。數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展涉及政策、法律、技術(shù)等多方面的協(xié)同配合。需要構(gòu)建原生安全能力，以數(shù)字安全和可信為基礎(chǔ)。世界各國(guó)都在不斷優(yōu)化數(shù)據(jù)安全政策。歐盟發(fā)布的《歐洲數(shù)據(jù)保護(hù)監(jiān)管局戰(zhàn)略計(jì)劃（2020-2024）》繼續(xù)加強(qiáng)數(shù)據(jù)安全和個(gè)人隱私保護(hù)。美國(guó)發(fā)布《2020

年聯(lián)邦數(shù)據(jù)戰(zhàn)略和行動(dòng)計(jì)劃》，確立了保護(hù)數(shù)據(jù)完整性、確保流通數(shù)據(jù)真實(shí)性、數(shù)據(jù)存儲(chǔ)安全等基本原則?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》也于

2021年頒布。本文檔基于

CSA

大中華區(qū)提出的數(shù)字安全

REE

框架，調(diào)研了全球數(shù)字安全各領(lǐng)域的現(xiàn)狀，并總結(jié)了優(yōu)秀的實(shí)踐、流行的技術(shù)，和公認(rèn)的數(shù)字安全提供商，還包括全球重要的法律、法規(guī)、標(biāo)準(zhǔn)，向讀者介紹數(shù)字安全的發(fā)展概況，特別是中國(guó)的狀況。希望該文件能成為政府與行業(yè)在數(shù)字安全方面的參考，幫助人們構(gòu)建更加安全的數(shù)字環(huán)境。李雨航

院士，Yale

LiCSA

大中華區(qū)主席兼研究院院長(zhǎng)?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有8目錄致謝.................................................................................................................................................................

4引言.................................................................................................................................................................

6序言.................................................................................................................................................................

7前言.................................................................................................................................................................

8第一章

數(shù)字時(shí)代的到來(lái).............................................................................................................................101.1

第四次工業(yè)革命..........................................................................................................................................101.2

數(shù)字經(jīng)濟(jì).......................................................................................................................................................

111.3

數(shù)字政府.......................................................................................................................................................

141.4

數(shù)字時(shí)代的意義..........................................................................................................................................15第二章

數(shù)字安全框架.................................................................................................................................162.1

數(shù)字安全的定義..........................................................................................................................................172.2

數(shù)字安全的內(nèi)涵..........................................................................................................................................172.3

REE

數(shù)字安全框架......................................................................................................................................182.4

網(wǎng)絡(luò)安全.......................................................................................................................................................

192.5

信息安全.......................................................................................................................................................

212.6

數(shù)據(jù)安全.......................................................................................................................................................

252.7

隱私保護(hù).......................................................................................................................................................

262.8

元宇宙安全...................................................................................................................................................272.9

數(shù)字身份.......................................................................................................................................................

282.10

原生安全.....................................................................................................................................................30第三章

數(shù)字安全規(guī)則層.............................................................................................................................383.1

數(shù)字安全法律..............................................................................................................................................383.2

數(shù)字安全治理..............................................................................................................................................503.3

數(shù)字安全標(biāo)準(zhǔn)..............................................................................................................................................57第四章

數(shù)字安全執(zhí)行層.............................................................................................................................604.1

數(shù)字安全技術(shù)..............................................................................................................................................604.2

數(shù)字安全方案/產(chǎn)品

..................................................................................................................................774.3

數(shù)字安全服務(wù)

..........................................................................................................................................1054.4

數(shù)字安全教育

...........................................................................................................................................116第五章

數(shù)字安全評(píng)價(jià)層..........................................................................................................................

1325.1

數(shù)字安全獎(jiǎng)項(xiàng)與排行..............................................................................................................................1325.2

數(shù)字安全認(rèn)證............................................................................................................................................1395.3

數(shù)字安全案例

...........................................................................................................................................151第六章

總結(jié)與展望...................................................................................................................................1696.1

數(shù)字時(shí)代.....................................................................................................................................................1696.2

數(shù)字安全.....................................................................................................................................................1696.3

數(shù)字時(shí)代的新一代數(shù)據(jù)安全................................................................................................................171?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有9第一章

數(shù)字時(shí)代的到來(lái)1.1

第四次工業(yè)革命制造業(yè)作為國(guó)家的基礎(chǔ)設(shè)施和立國(guó)之根本，從來(lái)都是一個(gè)國(guó)家立足世界的重要籌碼。人類(lèi)歷史經(jīng)歷了幾個(gè)大的工業(yè)革命，從蒸汽技術(shù)革命、電力技術(shù)革命、計(jì)算機(jī)及信息技術(shù)革命，直到今天的第四次工業(yè)革命。在國(guó)際上影響比較大的與第四次工業(yè)革命有關(guān)幾個(gè)事件包括：

美國(guó)早在

2012

年

2

月就發(fā)布了《先進(jìn)制造業(yè)國(guó)家戰(zhàn)略計(jì)劃》，踏上了新一輪工業(yè)革命的道路，美國(guó)電報(bào)電話(huà)公司、思科、IBM

等還組建了工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）。

德國(guó)工業(yè)

4.0。2013

年，在萊納河畔漢諾威工業(yè)博覽會(huì)如期舉辦。在這場(chǎng)全球工業(yè)界的盛會(huì)上，主辦方德國(guó)正式提出了“工業(yè)

4.0”戰(zhàn)略。按照德國(guó)當(dāng)時(shí)的定義，“工業(yè)

4.0”是指利用物聯(lián)信息系統(tǒng)將生產(chǎn)中的供應(yīng)、制造、銷(xiāo)售信息數(shù)據(jù)化、智慧化，最后達(dá)到快速、有效、個(gè)人化的產(chǎn)品供應(yīng)。通過(guò)產(chǎn)業(yè)數(shù)字化，人類(lèi)的生產(chǎn)效率得到了極大的提高。互聯(lián)網(wǎng)可以把全球的消費(fèi)者市場(chǎng)連接到一起，而供應(yīng)鏈數(shù)字化更是極大提升了生產(chǎn)的效率及單位生產(chǎn)成本，從而贏(yíng)得更大的市場(chǎng)。

日本這位工業(yè)

3.0

時(shí)代的優(yōu)等生，推出了《日本再興戰(zhàn)略》，將工業(yè)

4.0

視為創(chuàng)造新商業(yè)模式的重要契機(jī)，重點(diǎn)發(fā)展物聯(lián)網(wǎng)、人工智能和大數(shù)據(jù)技術(shù)。日本希望追上工業(yè)

4.0

的快車(chē)，再現(xiàn)“日本制造”的榮光。

作為世界第二大經(jīng)濟(jì)體的中國(guó)，在

2015

年

5

月推出中國(guó)版工業(yè)

4.0

綱領(lǐng)性政策文件——《中國(guó)制造

2025》，主動(dòng)應(yīng)對(duì)新一輪科技革命和產(chǎn)業(yè)變革的重大戰(zhàn)略選擇。美國(guó)、德國(guó)、日本和中國(guó)這幾個(gè)國(guó)家的工業(yè)在世界上占有舉足輕重的地位。這些國(guó)家都在積極布局，并且采取相應(yīng)的行動(dòng)。更多的國(guó)家同樣在推進(jìn)第四次工業(yè)革命的落地。目前，大部分人認(rèn)為工業(yè)

4.0

可以等同于第四次工業(yè)革命。工業(yè)

4.0

的本質(zhì)，就是通過(guò)數(shù)據(jù)流動(dòng)自動(dòng)化技術(shù)，從規(guī)模經(jīng)濟(jì)轉(zhuǎn)向范圍經(jīng)濟(jì)，以同質(zhì)化規(guī)?；某杀?，構(gòu)建出異質(zhì)化定制化的產(chǎn)業(yè)。對(duì)于產(chǎn)業(yè)結(jié)構(gòu)改革，這種轉(zhuǎn)變至關(guān)重要。大家對(duì)工業(yè)

4.0

的定義存在差異，德國(guó)叫工業(yè)

4.0，美國(guó)叫工業(yè)互聯(lián)網(wǎng)等等，但大體內(nèi)容還是保持一致的。第四次工業(yè)革命涌現(xiàn)了物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有10技術(shù)。這些技術(shù)的出現(xiàn)將人類(lèi)的生態(tài)帶入了另外一個(gè)高度。第四次工業(yè)革命正在如火如荼的推進(jìn)，各個(gè)國(guó)家都不想在這場(chǎng)革命浪潮中落伍。誰(shuí)在第四次工業(yè)革命浪潮中占領(lǐng)優(yōu)勢(shì)，就有可能改變世界格局。目前，全世界都在思考一個(gè)問(wèn)題：第四次工業(yè)革命的核心突破點(diǎn)在哪里？1.2

數(shù)字經(jīng)濟(jì)目前普遍認(rèn)為數(shù)字經(jīng)濟(jì)是第四次工業(yè)革命的突破點(diǎn)。數(shù)字經(jīng)濟(jì)的定義比較寬泛，目前得到廣泛認(rèn)可的是《G20

數(shù)字經(jīng)濟(jì)發(fā)展與合作倡議》中給出的定義：數(shù)字經(jīng)濟(jì)，是指以使用數(shù)字化的知識(shí)和信息作為關(guān)鍵生產(chǎn)要素、以現(xiàn)代信息網(wǎng)絡(luò)作為重要載體、以信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動(dòng)力的一系列經(jīng)濟(jì)活動(dòng)。隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)的不斷突破和廣泛應(yīng)用，一個(gè)跡象已經(jīng)顯現(xiàn)：數(shù)字經(jīng)濟(jì)，正在成為全球經(jīng)濟(jì)增長(zhǎng)的新動(dòng)能。聯(lián)合國(guó)發(fā)布的《數(shù)字經(jīng)濟(jì)報(bào)告

2021》證實(shí)了數(shù)字經(jīng)濟(jì)正在非?？焖俚陌l(fā)展。2022

年包括國(guó)內(nèi)和國(guó)際流量在內(nèi)的全球互聯(lián)網(wǎng)流量將超過(guò)截止

2016

年的互聯(lián)網(wǎng)流量之和。新冠疫情導(dǎo)致越來(lái)越多的活動(dòng)在網(wǎng)上進(jìn)行，對(duì)互聯(lián)網(wǎng)流量帶來(lái)巨大影響。2020年全球互聯(lián)網(wǎng)帶寬提高了

35%，是

2013

年以來(lái)增幅最大的一年。據(jù)估計(jì)，大約

80%的互聯(lián)網(wǎng)流量與視頻、社交網(wǎng)絡(luò)和游戲有關(guān)。每月的全球數(shù)據(jù)流量預(yù)計(jì)將從

2020

年的230EB

激增到

2026

年的

780EB。從參與數(shù)據(jù)驅(qū)動(dòng)的數(shù)字經(jīng)濟(jì)并從中受益的能力來(lái)看，美國(guó)和中國(guó)脫穎而出。全世界的超大規(guī)模數(shù)據(jù)中心有一半位于這兩個(gè)國(guó)家，這兩個(gè)國(guó)家的5G

普及率最高，人工智能初創(chuàng)企業(yè)融資總額占過(guò)去五年的

94%，研發(fā)人員占世界頂尖人工智能研究人員的

70%，數(shù)字平臺(tái)市值占全球最大數(shù)字平臺(tái)市值總和的近

90%。紐

約證券交易所綜合指數(shù)在

2019

年

10

月至

2021

年

1

月期間增長(zhǎng)了

17%，但頂尖數(shù)字平臺(tái)的股票價(jià)格的漲幅卻從

55%（Facebook）到

144%（蘋(píng)果）不等。早在

2019

年，中國(guó)信息通信研究院發(fā)布的《全球數(shù)字經(jīng)濟(jì)新圖景》就顯示，2018年，47

個(gè)國(guó)家的數(shù)字經(jīng)濟(jì)總規(guī)模超過(guò)

30.2

萬(wàn)億美元，占

GDP

之比高達(dá)

40.3%。其中，有

38

個(gè)國(guó)家數(shù)字經(jīng)濟(jì)增速顯著高于同期

GDP

增速?；仡櫭绹?guó)的數(shù)字經(jīng)濟(jì)歷程可以追溯到上個(gè)世紀(jì)的“信息高速公路”。

信息高速公路上世紀(jì)

90

年代，克林頓政府高度重視并大力推動(dòng)信息基礎(chǔ)設(shè)施建設(shè)和數(shù)字技術(shù)發(fā)?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有11展，引領(lǐng)世界進(jìn)入數(shù)字時(shí)代。這種推動(dòng)與副總統(tǒng)戈?duì)栍兄箨P(guān)系。戈?duì)栐谌蚵氏忍岢隽酥摹靶畔⒏咚俟贰焙汀皵?shù)字地球”概念。上世紀(jì)

80

年代初期，戈?duì)栐趽?dān)任眾議員期間，就呼吁建立一個(gè)全國(guó)性的“信息高速公路”。戈?duì)柈?dāng)選副總統(tǒng)后，一直是克林頓政府建設(shè)國(guó)家信息高速公路的核心人物。1993

年

9

月，美國(guó)政府公布“國(guó)家信息基礎(chǔ)設(shè)施行動(dòng)計(jì)劃”，信息高速公路戰(zhàn)略開(kāi)始落地。該文件開(kāi)宗明義地指出：“國(guó)家信息基礎(chǔ)設(shè)施的發(fā)展能夠幫助引發(fā)一場(chǎng)信息革命，這場(chǎng)革命將永遠(yuǎn)改變?nèi)藗兊纳睢⒐ぷ骱徒涣鞣绞?。”上世紀(jì)

50

年代州際公路系統(tǒng)的建設(shè)，為美國(guó)半個(gè)世紀(jì)的繁榮奠定了堅(jiān)實(shí)的基礎(chǔ)。四十年后的信息高速公路可與之媲美，甚至更加偉大，為美國(guó)數(shù)字經(jīng)濟(jì)插上了騰飛的翅膀。

美國(guó)商務(wù)部構(gòu)建完備的政策體系自

1998

年到

2018

年的

20

年間，美國(guó)商務(wù)部就數(shù)字經(jīng)濟(jì)和數(shù)字國(guó)家發(fā)布了

13

份重磅報(bào)告，探討數(shù)字經(jīng)濟(jì)發(fā)展的前沿和熱點(diǎn)問(wèn)題。這些報(bào)告如下表所示。序號(hào)

時(shí)間名稱(chēng)11998

年浮現(xiàn)中的數(shù)字經(jīng)濟(jì)21999

年2000

年2002

年2003

年2010

年2010

年2011

年2011

年2013

年2014

年2016

年2018

年浮現(xiàn)中的數(shù)字經(jīng)濟(jì)（二）數(shù)字經(jīng)濟(jì)

200034數(shù)字經(jīng)濟(jì)

20025數(shù)字經(jīng)濟(jì)

20036數(shù)字國(guó)家：21

世紀(jì)美國(guó)通用互聯(lián)網(wǎng)寬帶接入進(jìn)展探索數(shù)字國(guó)家：美國(guó)家庭寬帶互聯(lián)網(wǎng)應(yīng)用數(shù)字國(guó)家：擴(kuò)大互聯(lián)網(wǎng)使用探索數(shù)字國(guó)家：計(jì)算機(jī)和互聯(lián)網(wǎng)家庭應(yīng)用探索數(shù)字國(guó)家：美國(guó)新興在線(xiàn)體驗(yàn)探索數(shù)字國(guó)家：擁抱移動(dòng)互聯(lián)網(wǎng)在數(shù)字經(jīng)濟(jì)中實(shí)現(xiàn)增長(zhǎng)與創(chuàng)新數(shù)字經(jīng)濟(jì)的定義和衡量78910111213表

1-1

美國(guó)政府

1998

到

2018

年間與數(shù)字經(jīng)濟(jì)有關(guān)的報(bào)告不僅僅是美國(guó)，世界上其他國(guó)家也在加速數(shù)字經(jīng)濟(jì)的布局。歐盟于

2021

年

3

月發(fā)布了《2030

數(shù)字化指南：實(shí)現(xiàn)數(shù)字十年的歐洲路徑》綱要文件，涵蓋了歐盟到

2030

年實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的愿景、目標(biāo)和路徑。日本自

2013

年開(kāi)始，每年制定科學(xué)技術(shù)創(chuàng)新綜合戰(zhàn)略，從“智能化、系統(tǒng)化、全球化”視角推動(dòng)科技創(chuàng)新。俄羅斯

2017

年將數(shù)字經(jīng)濟(jì)列入《俄聯(lián)邦

2018—2025

年主要戰(zhàn)略發(fā)展方向目錄》，并編制完成俄聯(lián)邦數(shù)字經(jīng)濟(jì)規(guī)劃。中國(guó)于

2015

年黨的十八屆五中全會(huì)將大數(shù)據(jù)上升為國(guó)家戰(zhàn)?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有12略，之后出臺(tái)了

10

余項(xiàng)促進(jìn)數(shù)字經(jīng)濟(jì)行業(yè)發(fā)展的政策，2017

年起連續(xù)

5

年將數(shù)字經(jīng)濟(jì)相關(guān)內(nèi)容寫(xiě)入政府工作報(bào)告。數(shù)字經(jīng)濟(jì)一般可以分為兩部分：

數(shù)字產(chǎn)業(yè)化。主要是指信息通信產(chǎn)業(yè)（ICT），主要包括電子信息制造業(yè)、電信業(yè)、軟件和信息技術(shù)服務(wù)業(yè)、互聯(lián)網(wǎng)行業(yè)等。

產(chǎn)業(yè)數(shù)字化。主要指?jìng)鹘y(tǒng)產(chǎn)業(yè)由于應(yīng)用數(shù)字技術(shù)所帶來(lái)的生產(chǎn)數(shù)量和生產(chǎn)效率提升，例如工業(yè)互聯(lián)網(wǎng)、智能制造、平臺(tái)經(jīng)濟(jì)等融合型新產(chǎn)業(yè)。無(wú)論是數(shù)字產(chǎn)業(yè)化還是產(chǎn)業(yè)數(shù)字化，核心都是數(shù)字。數(shù)字貫穿著全部過(guò)程。通常，我們也可以把數(shù)字化的信息和知識(shí)描述成數(shù)據(jù)。數(shù)字經(jīng)濟(jì)建立在數(shù)據(jù)的基礎(chǔ)之上，中國(guó)已經(jīng)把數(shù)據(jù)列為基本生產(chǎn)要素，和土地、資本、人才、科技一樣。作為第五大基本生產(chǎn)要素，數(shù)據(jù)的價(jià)值正在體現(xiàn)，從而推動(dòng)著數(shù)字經(jīng)濟(jì)往前走。人類(lèi)已經(jīng)處于數(shù)字時(shí)代的潮流中，數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)字軍事、數(shù)字社會(huì)、數(shù)字文明等都在加速推進(jìn)中。近年來(lái)比較火熱的虛擬世界、元宇宙也是數(shù)字時(shí)代的產(chǎn)物。數(shù)字經(jīng)濟(jì)作為一種新的經(jīng)濟(jì)形態(tài)，比重正在逐年增加；數(shù)字政府讓民眾可以隨時(shí)隨地利用任何設(shè)備獲取政府信息和服務(wù)；數(shù)字社會(huì)讓整個(gè)社會(huì)的運(yùn)轉(zhuǎn)基于數(shù)字；元宇宙更是建立了一個(gè)新的數(shù)字世界。全球數(shù)字經(jīng)濟(jì)發(fā)展迅猛。據(jù)中國(guó)信息通信研究院數(shù)據(jù)，2020

年，發(fā)達(dá)國(guó)家數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到

24.4

萬(wàn)億美元，占全球總量的

74.7%。發(fā)達(dá)國(guó)家數(shù)字經(jīng)濟(jì)占國(guó)內(nèi)生產(chǎn)總值比重達(dá)54.3%，遠(yuǎn)超發(fā)展中國(guó)家

27.6%的水平。從增速看，發(fā)展中國(guó)家數(shù)字經(jīng)濟(jì)同比名義增長(zhǎng)3.1%，略高于發(fā)達(dá)國(guó)家數(shù)字經(jīng)濟(jì)

3.0%的增速。2020

年，全球

47

個(gè)國(guó)家數(shù)字經(jīng)濟(jì)增加值規(guī)模達(dá)到

32.6

萬(wàn)億美元，同比名義增長(zhǎng)

3.0%，產(chǎn)業(yè)數(shù)字化仍然是數(shù)字經(jīng)濟(jì)發(fā)展的主引擎，占數(shù)字經(jīng)濟(jì)比重為

84.4%。從規(guī)?？矗绹?guó)數(shù)字經(jīng)濟(jì)繼續(xù)蟬聯(lián)世界第一，2020

年規(guī)模接近

13.6

萬(wàn)億美元。從占比看，德國(guó)、英國(guó)、美國(guó)數(shù)字經(jīng)濟(jì)在國(guó)民經(jīng)濟(jì)中占據(jù)主導(dǎo)地位，占國(guó)內(nèi)生產(chǎn)總值比重超過(guò)

60%。從增速看，中國(guó)數(shù)字經(jīng)濟(jì)同比增長(zhǎng)

9.6%，位居全球第一。2022

年中國(guó)信息通信研究院發(fā)布了《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展報(bào)告（2022

年）》，指出

2021

年中國(guó)數(shù)字經(jīng)濟(jì)的規(guī)模達(dá)到了

6.9

萬(wàn)億美元，占

GDP

的比重達(dá)到了

39.8%。數(shù)字經(jīng)濟(jì)年均增速高達(dá)

15.9%，顯著高于同期

GDP

的平均增速，數(shù)字經(jīng)濟(jì)已經(jīng)成為支撐經(jīng)濟(jì)高質(zhì)量發(fā)展的關(guān)鍵力量。可以預(yù)期，數(shù)字經(jīng)濟(jì)在未來(lái)較長(zhǎng)一段時(shí)間都將保持快速增長(zhǎng)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有131.3

數(shù)字政府?dāng)?shù)字政府是綜合運(yùn)用互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、區(qū)塊鏈等現(xiàn)代信息技術(shù)，為促進(jìn)經(jīng)濟(jì)社會(huì)運(yùn)行全面數(shù)字化而建立的一種新型政府形態(tài)。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等現(xiàn)代信息技術(shù)的不斷普及，越來(lái)越多的國(guó)家積極利用信息技術(shù)創(chuàng)新政府運(yùn)作方式、推動(dòng)數(shù)字政府建設(shè)。2020

年全球新冠肺炎疫情暴發(fā)，進(jìn)一步推動(dòng)了數(shù)字技術(shù)在政府信息公開(kāi)、便民服務(wù)、動(dòng)態(tài)監(jiān)管、智能決策等方面的運(yùn)用。根據(jù)最新發(fā)布的《2020

年聯(lián)合國(guó)電子政務(wù)調(diào)查報(bào)告》，全球電子政務(wù)發(fā)展平均指數(shù)(EGDI)從

2018

年的

0.55

上升到

2020

年的

0.60，EGDI

指數(shù)處于“高”或“非常高”級(jí)別的成員國(guó)共有

126

個(gè)，占所有成員國(guó)的

65%。由全球

EGDI

指數(shù)持續(xù)上升可看出，世界大多數(shù)國(guó)家積極推動(dòng)數(shù)字政府建設(shè)，重視整合線(xiàn)上和線(xiàn)下渠道，以實(shí)現(xiàn)政府?dāng)?shù)字治理能力的現(xiàn)代化。2020

年

2

月，中國(guó)深化改革委員會(huì)第十二次會(huì)議指出要運(yùn)用大數(shù)據(jù)、人工智能、云計(jì)算等數(shù)字技術(shù)，在疫情監(jiān)測(cè)分析、病毒溯源、防控救治、資源調(diào)配等方面更好發(fā)揮支撐作用。同年

10

月，中國(guó)的十九屆五中全會(huì)審議通過(guò)的《中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》提出加強(qiáng)數(shù)字社會(huì)、數(shù)字政府建設(shè)，提升公共服務(wù)、社會(huì)治理等數(shù)字化智能化水平。數(shù)字政府是數(shù)字中國(guó)體系的有機(jī)組成部分，是推動(dòng)數(shù)字中國(guó)建設(shè)、推動(dòng)社會(huì)經(jīng)濟(jì)高質(zhì)量發(fā)展、再創(chuàng)營(yíng)商環(huán)境新優(yōu)勢(shì)的重要抓手和主力引擎。中國(guó)的數(shù)字政府成熟度在世界上的排名并不高，更多發(fā)達(dá)國(guó)家的數(shù)字政府起步更早。起步最早的當(dāng)屬美國(guó)。美國(guó)從上個(gè)世紀(jì)

90

年代開(kāi)始就部署數(shù)字政府，近年來(lái)，美國(guó)先后發(fā)布《數(shù)字政府服務(wù)》《數(shù)字政府：構(gòu)建一個(gè)

21

世紀(jì)平臺(tái)以更好地服務(wù)美國(guó)人民》等戰(zhàn)略規(guī)劃，致力于提供可以在任何時(shí)間、任何地點(diǎn)、通過(guò)任何設(shè)備獲取的數(shù)字政府服務(wù)。新加坡先后發(fā)布《智慧國(guó)家

2015》和《智慧國(guó)家

2025》，秉持“大數(shù)據(jù)治國(guó)”的理念，致力于實(shí)現(xiàn)“多個(gè)部門(mén)、一個(gè)政府”目標(biāo)，為公眾提供優(yōu)質(zhì)便捷的公共服務(wù)。丹麥制定《2016—2020

年數(shù)字戰(zhàn)略》，加強(qiáng)數(shù)字公共管理與電子服務(wù)建設(shè)，同時(shí)強(qiáng)調(diào)政府與企業(yè)及其他利益相關(guān)組織團(tuán)體的合作。韓國(guó)發(fā)布《2020

年電子政務(wù)總體規(guī)劃》，內(nèi)容包括提供數(shù)字化的政府服務(wù)、創(chuàng)建數(shù)字友好型產(chǎn)業(yè)、建立電子政務(wù)平臺(tái)等具體措施?？v觀(guān)世界各國(guó)，數(shù)字政府熱潮正在快速推進(jìn)中。數(shù)字政府建設(shè)注重實(shí)現(xiàn)政府決策智能化、權(quán)力運(yùn)行透明化、公共服務(wù)精準(zhǔn)化、績(jī)效評(píng)估科學(xué)化、流程再造高效化等目標(biāo)，?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有14努力打造“政府即平臺(tái)”。除了數(shù)字經(jīng)濟(jì)、數(shù)字政府之外，數(shù)字文化、數(shù)字社會(huì)、數(shù)字軍事等其他各行各業(yè)的數(shù)字化也正處于快速的發(fā)展之中。1.4

數(shù)字時(shí)代的意義可以毫不夸張的講，任何行業(yè)、任何地方、任何領(lǐng)域都離不開(kāi)數(shù)字。不管是無(wú)人駕駛，還是新材料，生物技術(shù)，核聚變等等，都必須基于新型的數(shù)字化工具、數(shù)字化技術(shù)，和人工智能。數(shù)字時(shí)代對(duì)于人類(lèi)的意義是非常巨大的，下面只是幾個(gè)示例：

消費(fèi)者僅僅需要一部手機(jī)，就能學(xué)習(xí)、生活、工作；

企業(yè)通過(guò)數(shù)字，打通各個(gè)環(huán)節(jié)，減少成本、創(chuàng)造增量，提高企業(yè)的效率和利益。

政府通過(guò)數(shù)字化轉(zhuǎn)型，打通多部門(mén)之間的協(xié)作，提高辦事效率。

監(jiān)管機(jī)構(gòu)通過(guò)數(shù)字，掌控各行各業(yè)的具體信息，引導(dǎo)行業(yè)正確、健康地發(fā)展。

醫(yī)院通過(guò)數(shù)字展示病人的病情，通過(guò)對(duì)數(shù)字的分析，為病人提供最優(yōu)的醫(yī)療方案。人類(lèi)所處的數(shù)字時(shí)代將會(huì)持續(xù)很長(zhǎng)一段時(shí)間，為了進(jìn)一步推動(dòng)數(shù)字時(shí)代前進(jìn)，我們還有很多事情要做，比如：

完善公共數(shù)據(jù)開(kāi)放共享機(jī)制。建立健全高效的公共數(shù)據(jù)共享協(xié)調(diào)機(jī)制，支持打造公共數(shù)據(jù)基礎(chǔ)支撐平臺(tái)，推進(jìn)公共數(shù)據(jù)歸集整合、有序流通和共享。

建立健全數(shù)據(jù)流通交易規(guī)則。探索“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見(jiàn)”的交易范式，在保護(hù)個(gè)人隱私和確保數(shù)據(jù)安全的前提下，分級(jí)分類(lèi)、分步有序推動(dòng)部分領(lǐng)域數(shù)據(jù)流通應(yīng)用。

拓展規(guī)范化數(shù)據(jù)開(kāi)發(fā)利用場(chǎng)景。發(fā)揮領(lǐng)軍企業(yè)和行業(yè)組織作用，推動(dòng)人工智能、區(qū)塊鏈、車(chē)聯(lián)網(wǎng)、物聯(lián)網(wǎng)等領(lǐng)域數(shù)據(jù)采集標(biāo)準(zhǔn)化。

加強(qiáng)數(shù)據(jù)安全保護(hù)。強(qiáng)化網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，推動(dòng)完善數(shù)據(jù)分級(jí)分類(lèi)安全保護(hù)制度，運(yùn)用技術(shù)手段構(gòu)建數(shù)據(jù)安全風(fēng)險(xiǎn)防控體系，使數(shù)據(jù)始終處于控密雙態(tài)計(jì)算，實(shí)現(xiàn)“動(dòng)靜用轉(zhuǎn)”和“云網(wǎng)邊端”全面覆蓋，探索完善個(gè)人信息授權(quán)使用制度。數(shù)字時(shí)代建立在數(shù)字基礎(chǔ)之上，圍繞著數(shù)字建立了一個(gè)龐大的數(shù)字生態(tài)。這是一個(gè)非常復(fù)雜而且長(zhǎng)期的工程，我們所面臨的挑戰(zhàn)也非常巨大。然而數(shù)字時(shí)代的到來(lái)是不可阻擋的，我們需要做好各項(xiàng)工作，迎接這一轉(zhuǎn)變，讓數(shù)字發(fā)揮更大的作用。數(shù)字時(shí)代是一個(gè)偉大的時(shí)代，必將會(huì)在人類(lèi)歷史上留下重重的一筆。讓我們擁抱數(shù)字時(shí)代的到來(lái)吧。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有15第二章

數(shù)字安全框架數(shù)據(jù)要素在市場(chǎng)化流通的過(guò)程中，需要安全、可信、和隱私的保障，數(shù)字經(jīng)濟(jì)的發(fā)展離不開(kāi)健全的數(shù)字經(jīng)濟(jì)治理體系和可靠的數(shù)字經(jīng)濟(jì)安全體系。數(shù)據(jù)作為生產(chǎn)要素對(duì)數(shù)據(jù)安全帶來(lái)全新的挑戰(zhàn)，提出了更高要求，數(shù)據(jù)安全與信息安全、網(wǎng)絡(luò)安全并列，構(gòu)成了數(shù)字安全的重要部分。新一代數(shù)據(jù)安全遵循“原生安全Meta

Security”的核心理念，秉承“天然一體、主動(dòng)免疫、始終驗(yàn)證、持續(xù)防護(hù)”的原則，具有“原生一體、安全可信”，覆蓋“動(dòng)靜用轉(zhuǎn)”和“云網(wǎng)邊端”，真正實(shí)現(xiàn)數(shù)字可信與安全。特別是數(shù)據(jù)流動(dòng)的全球化、地域?qū)傩缘暮戏ê弦?guī)監(jiān)管要求，傳統(tǒng)的“動(dòng)靜用安全”的外掛堆砌式被動(dòng)防范數(shù)據(jù)安全帶來(lái)巨大挑戰(zhàn)，其碎片化、系統(tǒng)性不足、被動(dòng)安全機(jī)制，無(wú)法應(yīng)對(duì)今天和未來(lái)的威脅攻擊，特別是使用和流轉(zhuǎn)中的風(fēng)險(xiǎn)威脅。新一代數(shù)據(jù)安全的原生性體現(xiàn)在“原生安全”的理念，天然防護(hù)抗體與存儲(chǔ)計(jì)算通訊形成原生一體安全可信防護(hù)體系，具備“天然一體、主動(dòng)免疫、始終驗(yàn)證、持續(xù)防護(hù)”，不僅安全而且可信；在存儲(chǔ)計(jì)算通訊的同時(shí)并行實(shí)時(shí)進(jìn)行安全可信防護(hù)，逐級(jí)驗(yàn)證構(gòu)建可信鏈條，提供存儲(chǔ)計(jì)算通訊的安全可信，確保的數(shù)據(jù)資源和操作全程可測(cè)可控，提供安全可信的存儲(chǔ)計(jì)算通訊環(huán)境“主動(dòng)免疫”；宿主和抗體成為原生一體，讓安全與資源“同體共生”，管控“如影隨行”；數(shù)據(jù)與其權(quán)利、權(quán)益和權(quán)限“天然一體”、“密不可分”，實(shí)現(xiàn)數(shù)據(jù)的“密不透風(fēng)”；保障數(shù)據(jù)在“動(dòng)靜用轉(zhuǎn)”等狀態(tài)的安全可信，被動(dòng)防御與主動(dòng)保護(hù)相融合，實(shí)現(xiàn)“動(dòng)態(tài)防御、主動(dòng)保護(hù)、縱深防控、立體防護(hù)、主動(dòng)免疫、安全可信”，使數(shù)據(jù)始終處于控密雙態(tài)計(jì)算（Control

&

Crypto

Computing），實(shí)現(xiàn)“動(dòng)靜用轉(zhuǎn)”和“云網(wǎng)邊端”全面覆蓋，在保障數(shù)據(jù)相關(guān)各方權(quán)益的同時(shí)，打通數(shù)據(jù)孤島共享共贏(yíng)，做到合規(guī)可監(jiān)管，支持多次交易，發(fā)揮各大數(shù)據(jù)平臺(tái)和交易所的作用，有效防范供應(yīng)鏈、合作伙伴、外賊、離在職人員、流氓勒索等各種風(fēng)險(xiǎn)威脅，做到數(shù)據(jù)可信與安全；充分發(fā)揮數(shù)據(jù)作為生產(chǎn)要素的重要價(jià)值和意義，為數(shù)字經(jīng)濟(jì)保駕護(hù)航。數(shù)字安全的發(fā)展和數(shù)字時(shí)代的發(fā)展一脈相承。新技術(shù)帶來(lái)新挑戰(zhàn)，新挑戰(zhàn)需要新思維，新思維創(chuàng)造新機(jī)會(huì)。數(shù)據(jù)作為至關(guān)重要的生產(chǎn)要素，需充分發(fā)揮數(shù)據(jù)作為生產(chǎn)要素的重要價(jià)值和意義，數(shù)據(jù)安全必須放在首要位置，新一代數(shù)據(jù)安全的落地亟需數(shù)據(jù)安全法律、治理、技術(shù)多維并舉。為了助力數(shù)字經(jīng)濟(jì)安全發(fā)展，國(guó)際云安全聯(lián)盟大中華區(qū)聯(lián)合各界安全精英經(jīng)過(guò)一年的精心打磨，于

2022

年

3

月

11

日正式發(fā)布數(shù)字安全框架。該框架涵蓋了數(shù)字安全的定義、REE(

Regulation,

Execution，Evaluation)數(shù)字安全框架、數(shù)字身份框架和原生安全框架。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有162.1

數(shù)字安全的定義數(shù)字安全是指在數(shù)字時(shí)代與數(shù)字化相關(guān)的一切安全要素、行為和狀態(tài)的集合，既包括保障數(shù)字經(jīng)濟(jì)的安全性，也包括將數(shù)字技術(shù)用于安全領(lǐng)域。數(shù)字安全以數(shù)字身份為核心，以原生安全為基礎(chǔ)底座，涵蓋了信息安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、隱私保護(hù)等領(lǐng)域或場(chǎng)景，并可擴(kuò)展（如元宇宙安全）。除此之外，數(shù)字安全還包括利用數(shù)字技術(shù)保障數(shù)字基礎(chǔ)設(shè)施的物理安全。雖然數(shù)字安全更偏重?cái)?shù)字經(jīng)濟(jì)與數(shù)字技術(shù)，但是與偏重國(guó)家網(wǎng)絡(luò)主權(quán)的網(wǎng)絡(luò)空間安全(Cybersecurity)在法律、標(biāo)準(zhǔn)、技術(shù)上也是相通的。數(shù)字安全的定義如圖

2-1

所示：圖

2-1

數(shù)字安全的定義2.2

數(shù)字安全的內(nèi)涵數(shù)字安全涉及網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全、隱私保護(hù)、以及新興的元宇宙安全，同時(shí)涵蓋數(shù)字身份和原生安全，各領(lǐng)域的具體含義如下：....網(wǎng)絡(luò)安全

(Cyber

Security):

保障網(wǎng)絡(luò)系統(tǒng)的軟硬件安全，負(fù)責(zé)人是

CSO、CISO、CTO、CIO

等。信息安全

(Information

Security):

保障一切有價(jià)值信息的安全，負(fù)責(zé)人是CISO、CIO

等。數(shù)據(jù)安全

(Data

Security):

保障數(shù)據(jù)全生命周期的安全與合規(guī)，負(fù)責(zé)人是CDO、CIO、CISO、CSO

等。隱私保護(hù)

(Privacy

Protection):

保護(hù)用戶(hù)的隱私與個(gè)人信息，負(fù)責(zé)人是

CPO、?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有17DPO

等。...元宇宙安全（Metaverse

Security）：保障通過(guò)數(shù)字化形態(tài)承載的虛實(shí)相生、虛實(shí)相融的平行宇宙的安全，這是未來(lái)數(shù)字安全的主要擴(kuò)展領(lǐng)域。數(shù)字身份

(Digital

Identity)：作為連接安全與業(yè)務(wù)的基座，提供對(duì)所有的人、數(shù)字人、物、設(shè)備等的數(shù)字標(biāo)識(shí)、認(rèn)證、訪(fǎng)問(wèn)的全生命周期管理。原生安全

(Meta

Security):

原生安全是下一代互聯(lián)網(wǎng)原生安全，包括云計(jì)算、大數(shù)據(jù)、AI、5G/6G、IoT、區(qū)塊鏈、量子計(jì)算等新興技術(shù)所涉及的系統(tǒng)的原生安全，它是數(shù)字安全的底座，需要硬件信任根的支持。2.3

REE

數(shù)字安全框架REE(

Regulation,

Execution，Evaluation)數(shù)字安全框架是國(guó)際云安全聯(lián)盟大中華區(qū)于

2022

年

3

月

11

日正式發(fā)布的數(shù)字安全的定義

(Definition

of

Digital

Security)

的重要組成部分。共分為規(guī)則層（數(shù)字安全框架的戰(zhàn)略指引）、執(zhí)行層（規(guī)則層落地所需的一切資源/工具及使用這些資源/工具的具體行動(dòng)）和評(píng)價(jià)層（針對(duì)組織的數(shù)字安全成熟度進(jìn)行評(píng)估、驗(yàn)證及考核）三層。REE

詳情如圖

2-2

所示：圖

2-2

REE

數(shù)字安全框架.規(guī)則層（Regulation

Layer）：規(guī)則層是數(shù)字安全框架的戰(zhàn)略指引，主要包含數(shù)字安全法律、數(shù)字安全治理、數(shù)字安全標(biāo)準(zhǔn)等內(nèi)容。這一層需要解決數(shù)字安全法律、法規(guī)、規(guī)章、政策、監(jiān)管、標(biāo)準(zhǔn)等問(wèn)題，為組織的數(shù)字安全建設(shè)與合規(guī)治理提供策略指導(dǎo)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有18.執(zhí)行層（Execution

Layer）執(zhí)行層涵蓋了規(guī)則層落地所需的一切資源/工具及使用這些資源/工具的具體行動(dòng)，主要包括數(shù)字安全技術(shù)、數(shù)字安全方案/產(chǎn)品、數(shù)字安全服務(wù)、數(shù)字安全教育等內(nèi)容。這一層需要解決數(shù)字安全技術(shù)的研究與進(jìn)步、數(shù)字安全方案/產(chǎn)品的研發(fā)與應(yīng)用、數(shù)字安全服務(wù)的開(kāi)展（如安全咨詢(xún)、安全運(yùn)營(yíng)等）、數(shù)字安全人才的培育等方面的問(wèn)題，是組織實(shí)現(xiàn)數(shù)字安全目標(biāo)的核心。.評(píng)價(jià)層（Evaluation

Layer

）：評(píng)價(jià)層針對(duì)組織的數(shù)字安全成熟度進(jìn)行評(píng)估、驗(yàn)證及考核，主要包含數(shù)字安全獎(jiǎng)項(xiàng)、數(shù)字安全排行、數(shù)字安全認(rèn)證、數(shù)字安全案例等內(nèi)容。這一層需要通過(guò)安全認(rèn)證/審計(jì)/測(cè)評(píng)等方式對(duì)組織的數(shù)字安全能力進(jìn)行持續(xù)評(píng)估，從而促進(jìn)持續(xù)改進(jìn)和提升，實(shí)現(xiàn)從規(guī)則、執(zhí)行、評(píng)價(jià)到改進(jìn)的安全閉環(huán)。除此以外通過(guò)數(shù)字安全獎(jiǎng)項(xiàng)、數(shù)字安全排行榜/象限及數(shù)字安全優(yōu)秀案例分享的方式進(jìn)行相關(guān)的市場(chǎng)宣傳和引導(dǎo)，從而促進(jìn)數(shù)字安全產(chǎn)業(yè)的發(fā)展。2.4

網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是保障網(wǎng)絡(luò)系統(tǒng)的軟硬件安全，涉及的框架主要有：?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有192.4.1.

NIST-CSF

框架CSF（Cybersecurity

Framework）由

NIST

與私營(yíng)和公共部門(mén)密切合作開(kāi)發(fā)，是美國(guó)各組織自愿采用的基于風(fēng)險(xiǎn)的方法。這個(gè)自愿性框架最初是為了應(yīng)對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施（CI）領(lǐng)域的網(wǎng)絡(luò)安全挑戰(zhàn)而開(kāi)發(fā)的，世界各地各類(lèi)組織隨后對(duì)該框架的廣泛使用證明了該框架的普遍適用性。CSF

核心的五項(xiàng)功能是識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)（Identify,Protect,

Detect,

Respond,

Recover）。這五項(xiàng)功能提供了一個(gè)高層級(jí)的風(fēng)險(xiǎn)管理詞匯，既對(duì)網(wǎng)絡(luò)安全專(zhuān)家有意義，也方便非網(wǎng)絡(luò)安全專(zhuān)家使用。因此，這些功能既適用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，也適用于企業(yè)風(fēng)險(xiǎn)管理。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有202.4.2.

MITRE

ATT&CK?框架MITRE

在

2013

年推出了

ATT&CK

模型，根據(jù)真實(shí)的觀(guān)察數(shù)據(jù)描述和分類(lèi)對(duì)抗行為。ATT&CK

將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過(guò)幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）表示。由于此列表相當(dāng)全面地呈現(xiàn)了攻擊者在攻擊網(wǎng)絡(luò)時(shí)所采用的行為，因此對(duì)于各種進(jìn)攻性和防御性度量、表示和其他機(jī)制都非常有用。ATT&CK

會(huì)詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對(duì)于防御者很重要。ATT&CK

模型極大地幫助了安全人員更快速地了解不熟悉的技術(shù)。2.5

信息安全?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有21信息安全是從體系上保障一切有價(jià)值信息的安全，涉及的框架主要有：2.5.1.

ISO27001

框架?chē)?guó)際標(biāo)準(zhǔn)化組織（ISO）是一個(gè)獨(dú)立的非政府組織，也是世界上最大的自愿國(guó)際標(biāo)準(zhǔn)制定者。國(guó)際電工委員會(huì)（IEC）是制定和出版電氣、電子及相關(guān)技術(shù)國(guó)際標(biāo)準(zhǔn)的世界領(lǐng)先組織。ISO/IEC

27000

系列標(biāo)準(zhǔn)由

ISO/IEC

聯(lián)合小組委員會(huì)發(fā)布，概述了數(shù)百種控制措施和控制機(jī)制，幫助各種類(lèi)型和規(guī)模的組織保持信息資產(chǎn)的安全性。這些全球標(biāo)準(zhǔn)為政策和程序提供了一個(gè)框架，包括組織信息風(fēng)險(xiǎn)管理過(guò)程中涉及的所有法律、物理和技術(shù)控制措施。ISO/IEC

27001

是一項(xiàng)安全標(biāo)準(zhǔn)，正式規(guī)定了信息安全管理系統(tǒng)（ISMS），旨在將信息安全置于明確的管理控制之下。作為正式規(guī)范，該標(biāo)準(zhǔn)要求定義如何實(shí)施、監(jiān)控、維護(hù)和持續(xù)改進(jìn)

ISMS

的需求，還規(guī)定了一組最佳實(shí)踐，包括文檔要求、責(zé)任劃分、可用性、訪(fǎng)問(wèn)控制、安全性、審計(jì)以及糾正和預(yù)防措施。ISO/IEC

27001

認(rèn)證有助于組織遵守與信息安全相關(guān)的眾多法規(guī)和法律要求。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有222.5.2.

ISO/IEC

27002:2022

框架2022

年

2

月，ISO(國(guó)際標(biāo)準(zhǔn)化組織)更新發(fā)布了《ISO/IEC

27002:2022

信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制》，作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。2022

版將控制措施分配到組織、人員、物理、技術(shù)的四個(gè)大主題，使分類(lèi)更加簡(jiǎn)單，方便組織對(duì)安全控制點(diǎn)進(jìn)行選擇歸類(lèi)，可以通過(guò)歸類(lèi)的特定主題策略支持信息安全策略，加強(qiáng)信息安全控制的實(shí)施。2.5.3

NIST

SP

800-53

R5

框架SP

800-53

一直視作是

NIST

信息安全的支撐性文件，最新的更新，直接產(chǎn)生了第一?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有23個(gè)全面的安全和隱私控制目錄。NIST

SP

800-53

版本

5

不是一個(gè)小的更新，而是一個(gè)完整的更新，解決了結(jié)構(gòu)問(wèn)題和技術(shù)內(nèi)容。這項(xiàng)更新是多年的努力，旨在開(kāi)發(fā)第一個(gè)全面的安全和隱私控制目錄，可用于管理任何部門(mén)和規(guī)模的組織的風(fēng)險(xiǎn)，以及從超級(jí)計(jì)算機(jī)到工業(yè)控制系統(tǒng)再到物聯(lián)網(wǎng)（IoT）設(shè)備的所有類(lèi)型系統(tǒng)的風(fēng)險(xiǎn)。這些控制措施提供了一種積極主動(dòng)和系統(tǒng)性的方法，確保關(guān)鍵的系統(tǒng)、組件和服務(wù)具有足夠的可信度，并具有必要的恢復(fù)力，可以維護(hù)經(jīng)濟(jì)利益和國(guó)家安全。2.5.4

CIS

Critical

Security

Controls

V8

框架CIS

關(guān)鍵安全控制是一組優(yōu)先保護(hù)措施，用于防范和緩解針對(duì)系統(tǒng)和網(wǎng)絡(luò)的普遍攻擊。CIS

的前身也被稱(chēng)作

SANS。CIS

Controls

框架列出了

18

個(gè)控制域，每個(gè)域都很多詳細(xì)的控制要求。非常適合企業(yè)參照具體的控制項(xiàng)開(kāi)展工作。CIS

Controls

v8

已經(jīng)發(fā)布，更新了對(duì)云計(jì)算、虛擬化、移動(dòng)化、外包、居家辦公的支持，有效的防范不斷變化的攻擊方式，并在企業(yè)遷移到云和混合環(huán)境時(shí)提供安全性保護(hù)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有242.6

數(shù)據(jù)安全數(shù)據(jù)安全保障數(shù)據(jù)全生命周期的安全與合規(guī)，涉及的框架主要有：2.6.1

GB/T

37988—2019

框架《GB/T

37988—2019

數(shù)據(jù)安全能力成熟度模型》給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存

儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷(xiāo)毀安全、通用安全的成熟度等級(jí)要求。本標(biāo)準(zhǔn)適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估，也可作為組織開(kāi)展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。數(shù)據(jù)安全能力成熟度模型（DSMM）DSMM

架構(gòu)主要由安全能力、能力成熟度等級(jí)，以及數(shù)據(jù)安全過(guò)程三個(gè)維度構(gòu)建而成。在安全能力維度，明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括組織建設(shè)、制度?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有25流程、技術(shù)工具和人員能力。在能力成熟度等級(jí)維度將等級(jí)劃分為五級(jí),具體而言：1

級(jí)是非正式執(zhí)行級(jí)，2

級(jí)是計(jì)劃跟蹤級(jí)，3

級(jí)是充分定義級(jí)，4

級(jí)是量化控制級(jí)，5

級(jí)是持續(xù)優(yōu)化級(jí)。數(shù)據(jù)安全過(guò)程維度定義了數(shù)據(jù)安全過(guò)程，其中包括數(shù)據(jù)生存周期安全過(guò)程和通用安全過(guò)程。數(shù)據(jù)生存周期安全過(guò)程具體包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全和數(shù)據(jù)銷(xiāo)毀安全

6

個(gè)階段。2.7

隱私保護(hù)隱私保護(hù)保護(hù)用戶(hù)的隱私與個(gè)人信息，涉及的框架主要有：2.7.1

NIST

隱私框架NIST

隱私框架是一種通過(guò)企業(yè)風(fēng)險(xiǎn)管理（隱私框架）改善隱私的工具，旨在廣泛適?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有26用于各種規(guī)模的組織，以及各種特定的技術(shù)、行業(yè)、法律或管轄權(quán)。隱私框架使用一種適用于任何組織在數(shù)據(jù)處理生態(tài)系統(tǒng)中的角色的通用方法，目的是幫助組織管理隱私風(fēng)險(xiǎn)2.8

元宇宙安全元宇宙可以定義為人們連接、互動(dòng)和購(gòu)物的虛擬環(huán)境。維基百科將元宇宙定義為“互聯(lián)網(wǎng)的假設(shè)迭代，它是一個(gè)單一的、普遍的、身臨其境的虛擬世界，通過(guò)使用虛擬現(xiàn)實(shí)和增強(qiáng)現(xiàn)實(shí)眼鏡促進(jìn)。

在通俗的使用中，元宇宙是一個(gè)專(zhuān)注于社交聯(lián)系的

3D

虛擬世界網(wǎng)絡(luò)?！痹钪嬗袃煞N主要形式：1.

虛擬現(xiàn)實(shí)通過(guò)

VR

眼鏡提供人工現(xiàn)實(shí)。

它接管了用戶(hù)的視野以提供身臨其境的體驗(yàn)。其他形式的沉浸式體驗(yàn)包括身體的音頻和位置跟蹤，以使身體部位（例如手）的運(yùn)動(dòng)能夠與虛擬環(huán)境進(jìn)行交互。2.

增強(qiáng)現(xiàn)實(shí)

(AR)

的沉浸感不如

VR。它通過(guò)某種類(lèi)型的鏡頭在現(xiàn)實(shí)世界之上添加虛擬疊加層。用戶(hù)仍然可以正常查看周?chē)h(huán)境。主機(jī)可以看到用戶(hù)的位置并且可以猜測(cè)他們的意圖。

對(duì)

AR

的隱私期望高于

VR。元宇宙安全保障通過(guò)數(shù)字化形態(tài)承載的平行宇宙的安全，是未來(lái)數(shù)字安全的主要擴(kuò)展領(lǐng)域。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有272.8.1

元宇宙操作系統(tǒng)框架目前，OpenMetaverse

操作系統(tǒng)主要集中在關(guān)鍵的底層，包括在世界經(jīng)濟(jì)中不可協(xié)商的功能，如用戶(hù)主權(quán)身份和資產(chǎn)，以及與經(jīng)濟(jì)之間的橋梁，以及彼此之間的復(fù)雜游戲引擎、3D

建模工具鏈，以及主要集中的世界的呈現(xiàn)堆棧。針對(duì)該框架中的每個(gè)子域，都需要采取合適的安全控制措施。2.9

數(shù)字身份數(shù)字身份是連接安全與業(yè)務(wù)的基座，提供對(duì)所有的人、數(shù)字人、物、設(shè)備等的數(shù)字標(biāo)識(shí)、認(rèn)證、訪(fǎng)問(wèn)的全生命周期管理，數(shù)字身份涉及的框架有：?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有282.9.1

數(shù)字身份框架

Digital

Identity

Framework身份定義安全聯(lián)盟（IDSA）的創(chuàng)建是為了幫助企業(yè)認(rèn)識(shí)到將身份和安全結(jié)合起來(lái)的重要性，通過(guò)以身份為中心的安全策略減少漏洞的風(fēng)險(xiǎn)。IDSA

更重要的目的是將問(wèn)題分解為以身份為中心的安全成果和實(shí)施方法，為從業(yè)者提供指導(dǎo)和提示。數(shù)字身份是連接安全與業(yè)務(wù)的基座，當(dāng)元宇宙興起之時(shí)，數(shù)字身份更是連接現(xiàn)實(shí)世界和虛擬世界的標(biāo)識(shí)和橋梁。圖

2-3

是身份定義安全聯(lián)盟（IDSA）的示意圖，描述了身份驗(yàn)證如何工作，其中人機(jī)用戶(hù)都是該過(guò)程的一部分。圖

2-3

數(shù)字身份框架數(shù)字身份框架以四個(gè)基本概念為基礎(chǔ)。....身份識(shí)別是一項(xiàng)關(guān)鍵的網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全的所有方面必須從根本上協(xié)同工作，才能取得有意義的效果每個(gè)商業(yè)交易、攻擊面或目標(biāo)都涉及到一個(gè)證書(shū)和一個(gè)服務(wù)或數(shù)據(jù)?？紤]到在安全方面的累積，每一項(xiàng)新投資都使得整體安全能力變得更加有效。身份定義安全框架由領(lǐng)先的供應(yīng)商、解決方案提供商和從業(yè)人員合作開(kāi)發(fā)，為企業(yè)提供了實(shí)施以身份為中心的安全方法的實(shí)用指導(dǎo)。身份定義安全框架為從業(yè)人員提供了?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有29一套基本的構(gòu)件以及藍(lán)圖和最佳實(shí)踐，有助于實(shí)現(xiàn)支持業(yè)務(wù)需求的安全成果。身份定義的安全結(jié)果是一種期望的結(jié)果，通過(guò)以身份為中心的安全改善組織的安全態(tài)勢(shì)并降低安全風(fēng)險(xiǎn)。以身份為中心的安全減少了漏洞或?qū)徲?jì)失敗的風(fēng)險(xiǎn)。身份定義安全成果可以通過(guò)許多不同的身份定義安全實(shí)施方法實(shí)現(xiàn)。這些方法定義明確的模式，結(jié)合了身份和安全能力，幫助組織利用身份背景改善安全態(tài)勢(shì)。以身份為中心的安全方法的基礎(chǔ)最好是以成熟的身份和訪(fǎng)問(wèn)管理（IAM）開(kāi)

始。IDSA最初定義的一套最佳實(shí)踐側(cè)重于

IAM

的基本原理，作為與

IAM

項(xiàng)目的人員和流程以及技術(shù)方面有關(guān)的推薦，并作為

IAM

項(xiàng)目的補(bǔ)充，增強(qiáng)以身份為中心的安全方法的基礎(chǔ)。2.10

原生安全2.10.1

原生安全框架

Meta

Security

Framework原生安全是指下一代互聯(lián)網(wǎng)原生安全，包括云計(jì)算、大數(shù)據(jù)、AI、5G/6G、IoT、區(qū)塊鏈、量子計(jì)算等新興技術(shù)所涉及的系統(tǒng)的原生安全，是數(shù)字安全的地基，需要硬件信任根的支持。原生安全的特點(diǎn)包括安全與產(chǎn)品融合，具有硬件可信根，零代理不需安裝，匹配可信計(jì)算環(huán)境，核心軟件可形式化驗(yàn)證，主動(dòng)檢測(cè)動(dòng)態(tài)防御（防勒索能力，防病毒能力，防

APT

能力，防

DDOS

能力等），可信啟動(dòng)與安全度量等特點(diǎn)。原生安全框架如圖

4

所示：?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有30圖

2-4

原生安全框架..無(wú)處不在的可信

AI：通過(guò)可信

AI

實(shí)現(xiàn)安全監(jiān)控、入侵檢測(cè)、態(tài)勢(shì)感知、惡意代碼檢測(cè)、代碼審計(jì)、漏洞挖掘、訪(fǎng)問(wèn)控制、業(yè)務(wù)風(fēng)控、反欺詐、黑灰產(chǎn)識(shí)別、內(nèi)容識(shí)別等安全能力。云原生安全：云基礎(chǔ)設(shè)施及云平臺(tái)的原生的安全能力，包括但不限于容器，無(wú)服務(wù)器

Serverless（FaaS

函數(shù)即服務(wù)），微服務(wù)，CI/CD，DevOps

等的安全性。..區(qū)塊鏈原生安全：包括數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層安全（即區(qū)塊鏈可信基礎(chǔ)設(shè)施），激勵(lì)層、合約層、應(yīng)用層安全，以及分布式數(shù)字身份等。無(wú)線(xiàn)通信(5G/6G)原生安全：通過(guò)身份認(rèn)證安全、接入控制安全、通信安全、軟件定義安全、數(shù)據(jù)加密等關(guān)鍵技術(shù)構(gòu)建安全的

5G/6G

網(wǎng)絡(luò)，實(shí)現(xiàn)“主動(dòng)免疫，彈性自治，虛擬共生，泛在協(xié)同”的愿景。..物聯(lián)網(wǎng)原生安全：從云、管、端三個(gè)層面保障物聯(lián)網(wǎng)平臺(tái)/應(yīng)用、網(wǎng)絡(luò)和終端設(shè)備的安全性。量子原生安全：構(gòu)建量子通信和量子計(jì)算的安全免疫系統(tǒng)，用量子安全應(yīng)對(duì)未來(lái)的量子計(jì)算攻擊，保障后量子世界的安全。在數(shù)字經(jīng)濟(jì)高速發(fā)展過(guò)程中會(huì)不斷的產(chǎn)生新興技術(shù)，這些新興技術(shù)在孕育新的業(yè)務(wù)形態(tài)的同時(shí)也會(huì)帶來(lái)新的安全挑戰(zhàn)和風(fēng)險(xiǎn)，進(jìn)而導(dǎo)致新的法律和監(jiān)管要求的誕生。這些變化最終必然會(huì)導(dǎo)致數(shù)字安全治理與合規(guī)的成本增加。數(shù)字經(jīng)濟(jì)發(fā)展所需要的任何基礎(chǔ)設(shè)施和基礎(chǔ)技術(shù)（包括傳統(tǒng)技術(shù)和新興技術(shù)）都應(yīng)具備原生安全能力，不過(guò)這對(duì)相關(guān)軟硬件產(chǎn)業(yè)鏈和供應(yīng)鏈的各環(huán)節(jié)都提出了更高的要求。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有312.11.1

云安全

CS-CMMI

框架CS-CMMI

全稱(chēng)是

Cloud

Security

Capability

Maturity

Model

Integration，即云安全能力成熟度模型集成，由

CSA

大中華區(qū)牽頭、亞太區(qū)與全球共同開(kāi)發(fā)和研制的，把《CSA

CSTR云計(jì)算安全技術(shù)標(biāo)準(zhǔn)要求》和《CSA

CCM

云控制矩陣》的技術(shù)能力成熟度模型，集成到一個(gè)治理框架中，根據(jù)

ISO/IEC

21827:2002

系統(tǒng)安全工程能力成熟度模型，以及

CSA《云計(jì)算安全技術(shù)要求》和

CSA《CCM

云安全控制矩陣》，形成云安全能力成熟度模型集成框架。該模型如圖

2-5

所示。圖

2-5

云安全能力成熟度模型2.11.1.2

CSA

Cloud

Controls

Matrix(CCM)

V4

框架CSA

Cloud

Controls

Matrix(CCM)云控制矩陣

V4

版包括

17

個(gè)控制域中的

197

個(gè)控制目標(biāo)，全方位涵蓋了云計(jì)算技術(shù)的安全領(lǐng)域?？刂凭仃噧?nèi)構(gòu)建了統(tǒng)一的控制框架，通過(guò)減少云中的安全威脅和弱點(diǎn)，加強(qiáng)了現(xiàn)有的信息安全控制環(huán)境，提供了標(biāo)準(zhǔn)化的安全和運(yùn)營(yíng)風(fēng)險(xiǎn)管理，并尋求將安全期望、云分類(lèi)和術(shù)語(yǔ)體系，以及云中實(shí)施的安全措施等標(biāo)準(zhǔn)化。云控制矩陣可以用作對(duì)云計(jì)算實(shí)施的系統(tǒng)性評(píng)估工具，也可以作為云計(jì)算供應(yīng)鏈中各角色與安全控制關(guān)系的指導(dǎo)。云控制矩陣的示例如圖

2-6

所示。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有32圖

2-6

云控制矩陣2.11.2

NIST

Big

Data

Architecture

框架NIST

大數(shù)據(jù)參考架構(gòu)是一種供應(yīng)商中立的方法，可供任何旨在開(kāi)發(fā)大數(shù)據(jù)架構(gòu)的組織使用。NIST

大數(shù)據(jù)參考架構(gòu)（Big

Data

Reference

Architecture）如圖

2-7

所示，代表一個(gè)大數(shù)據(jù)系統(tǒng)，由五個(gè)邏輯功能組件或通過(guò)互操作性接口（即服務(wù)）連接的角色組成，而管理、安全和隱私與所有五個(gè)組件交織。圖

2-7

NIST

大數(shù)據(jù)參考架構(gòu)?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有332.11.3

ICO

AI

審計(jì)框架人工智能應(yīng)用程序可能會(huì)加劇現(xiàn)有的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)，引入新的風(fēng)險(xiǎn)，或者通常會(huì)使風(fēng)險(xiǎn)更難發(fā)現(xiàn)或管理。同時(shí)，由于人工智能應(yīng)用的速度和規(guī)模，對(duì)數(shù)據(jù)主體的損害可能會(huì)增加。為了設(shè)計(jì)和實(shí)施有效的數(shù)據(jù)保護(hù)措施，組織需要能夠理解和管理

AI

特有的關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域。ICO

提出的

AI

審計(jì)框架草案（圖

2-8），通過(guò)產(chǎn)生包括治理的技術(shù)（例如系統(tǒng)影響評(píng)估）和非技術(shù)（例如人類(lèi)監(jiān)督）組成部分的指導(dǎo)對(duì)話(huà)，并代表了標(biāo)準(zhǔn)化

AI治理的重要里程碑。圖

2-8

ICO

AI

審計(jì)框架草案2.11.4

OT

框架.

OT

框架普渡模型，正式稱(chēng)為普渡企業(yè)參考體系結(jié)構(gòu)（PERA），是工業(yè)控制系統(tǒng)（ICS）安?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有34全的結(jié)構(gòu)模型，涉及物理過(guò)程、傳感器、監(jiān)控、操作和物流，可見(jiàn)圖

2-9。圖

2-9

普渡模型普渡企業(yè)參考架構(gòu)由西奧多·J·威廉姆斯（Theodore

J.Williams）和普渡大學(xué)計(jì)算機(jī)集成制造聯(lián)盟（Purdue

University

Consortium

for

computer

integrated

manufacturing）成員于

20

世紀(jì)

90

年代開(kāi)發(fā)，定義了生產(chǎn)線(xiàn)中使用的不同級(jí)別的關(guān)鍵基礎(chǔ)設(shè)施以及如何確保其安全。PERA

在引入時(shí)處于領(lǐng)先地位，如果正確實(shí)施，可以實(shí)現(xiàn)工業(yè)控制系統(tǒng)（ICS）或操作技術(shù)（OT）與

it

系統(tǒng)之間的氣隙。以下是對(duì)不同級(jí)別的快速概述：4/5

級(jí)-企業(yè)：這通常是我們今天所知道的

IT

網(wǎng)絡(luò)，主要業(yè)務(wù)功能發(fā)生在這里。這是提供業(yè)務(wù)指導(dǎo)和協(xié)調(diào)制造操作的級(jí)別。企業(yè)資源規(guī)劃（ERP）系統(tǒng)驅(qū)動(dòng)工廠(chǎng)生產(chǎn)計(jì)劃、材料使用、運(yùn)輸和庫(kù)存水平。流行的

ERP

系統(tǒng)包括

Oracle、SAP、Microsoft

和

Epicor

提供的產(chǎn)品。這一級(jí)別的任何中斷都可能導(dǎo)致數(shù)天甚至數(shù)周的停機(jī)，從而可能導(dǎo)致下游流程延遲或停止，從而造成重大收入損失。3.5

級(jí)-非軍事區(qū)（DMZ）：在過(guò)去十年中最近增加的一個(gè)級(jí)別，該級(jí)別包括安全系?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有35統(tǒng)，如防火墻和代理，用于隔離或隔離

IT

和

OT

世界。這是

IT

和

OT

世界“融合”的地方，增加了

OT

系統(tǒng)的攻擊面。許多工廠(chǎng)要么沒(méi)有這一層，要么能力非常有限。自動(dòng)化的興起導(dǎo)致了更高的效率，這就增加了對(duì)

OT

和

IT

系統(tǒng)之間雙向數(shù)據(jù)流的需求。這種

OT-IT融合最終為正在加速數(shù)字化轉(zhuǎn)型的公司創(chuàng)造了強(qiáng)大的競(jìng)爭(zhēng)優(yōu)勢(shì)。第

3

級(jí)-制造運(yùn)營(yíng)系統(tǒng)：這是在制造車(chē)間管理生產(chǎn)工作流的地方?；诓僮飨到y(tǒng)（如Windows）的定制系統(tǒng)用于執(zhí)行批次管理、記錄數(shù)據(jù)以及管理操作和工廠(chǎng)性能。該級(jí)別的系統(tǒng)稱(chēng)為制造執(zhí)行系統(tǒng)（MES）或制造運(yùn)營(yíng)管理系統(tǒng)（MOMS）。MES/MOM

特定于正在加工/制造的產(chǎn)品。該層還由數(shù)據(jù)庫(kù)或歷史學(xué)家組成，用于記錄操作數(shù)據(jù)。企業(yè)級(jí)和制造級(jí)之間的通信通常通過(guò)專(zhuān)用回程網(wǎng)絡(luò)進(jìn)行，連接到主數(shù)據(jù)中心或總部。與企業(yè)級(jí)一樣，制造級(jí)的任何中斷都可能導(dǎo)致數(shù)小時(shí)或數(shù)天的停機(jī)，這極有可能造成收入損失，因?yàn)樗鼤?huì)影響整個(gè)制造廠(chǎng)。2

級(jí)-控制系統(tǒng)：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）軟件用于監(jiān)督、監(jiān)測(cè)和控制物理過(guò)程。SCADA

可以從工廠(chǎng)的物理位置遠(yuǎn)程管理系統(tǒng)，而分布式控制系統(tǒng)（DCS）和可編程邏輯控制器（PLC）通常部署在工廠(chǎng)內(nèi)。連接到

DCS

和

PLC

的人機(jī)界面（HMI）允許進(jìn)行基本控制和監(jiān)測(cè)，而

SCADA

系統(tǒng)聚合數(shù)據(jù)并發(fā)送到上游，以供第

3

級(jí)記錄。PLC通常沒(méi)有鍵盤(pán)和監(jiān)視器。遠(yuǎn)程終端裝置（RTU）允許操作員登錄

SCADA

系統(tǒng)。西門(mén)子、施耐德電氣、ABB、GE

Digital

和羅克韋爾自動(dòng)化是

SCADA

系統(tǒng)的一些主要供應(yīng)商。該層的設(shè)備和策略通常通過(guò)

modbus

和

dnp3

協(xié)議通信，數(shù)據(jù)二極管可以幫助增強(qiáng)安全性。第

1

級(jí)-智能設(shè)備：通過(guò)過(guò)程傳感器、分析儀、執(zhí)行器和相關(guān)儀器，在此級(jí)別上進(jìn)行物理過(guò)程的傳感和操作。為了提高效率，傳感器越來(lái)越多地通過(guò)蜂窩網(wǎng)絡(luò)直接與云中的供應(yīng)商監(jiān)控軟件通信。0

級(jí)-物理過(guò)程：定義實(shí)際的物理過(guò)程。2.11.4.2.

ISA/IEC

62443

框架該系列標(biāo)準(zhǔn)提供了一個(gè)靈活的框架，解決和減輕當(dāng)前和未來(lái)的安全脆弱性在工業(yè)自動(dòng)化和控制系統(tǒng)(IACSs)中導(dǎo)致的問(wèn)題。ISA/IEC62443

標(biāo)準(zhǔn)適用于所有關(guān)鍵行業(yè)部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施，是美國(guó)網(wǎng)絡(luò)安全框架不可或缺的組成部分。雖然

ISA/IEC62443

標(biāo)準(zhǔn)長(zhǎng)達(dá)1000

多頁(yè)，但所述的核心網(wǎng)絡(luò)安全原則卻非常簡(jiǎn)單，并在

IT

和

OT

環(huán)境中得到了驗(yàn)證，能夠有效應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。ISA/