云安全联盟大中华区发布报告《企业网络安全合规框架体系》(以下简称报告),该报告对典型业务场景给出了参考实例,供广大甲方单位、集成商、咨询机构参考。
近些年,随着国内网络安全领域相关法律、法规、政策文件、标准规范的发布和完善,我国目前已经建立了比较完善的网络安全法律法规政策体系。
企业在越发复杂的业务场景下,其安全需求的驱动力主要来自三个方面:
1、合规驱动:逐渐完善的网络安全监管体系,给企业开展网络安全合规建设提出了更高的要求。
2、事件驱动:各种0Day事件、开源框架漏洞事件、供应链安全事件,以及层出不穷的勒索病毒、挖矿病毒,为企业的供应链安全提出了更加严峻的挑战。
3、风险驱动:APT攻击、商业黑客、运维人员误操作、内部人员恶意操作等事件,为企业的网络安全带来了极大威胁。
面对此种情况,很多企业感觉开展网络安全建设千头万绪,无从下手,因此需要有一个通用的、普适性的企业网络安全合规框架体系,为企业开展网络安全建设提供参考依据,并且要结合业界目前已经广泛使用的技术,如云计算、云原生、零信任、SASE等,并结合数据安全保护、个人信息保护、安全运营等场景化的需求,CSA GCR组织相关领域专家,编写了《企业网络安全合规框架体系》,为企业网络安全合规体系建设提供参考。
该企业网络安全合规框架体系为“1+2+SEC+N+1”架构。即:1个云安全底座+2个中台(网络安全能力中台+数据安全中台)+SEC(安全即服务)+N个业务场景+1个安全运营中心。
1个云安全底座
负责保障企业内部私有云、混合云安全,考虑到很多企业内部还存在传统网络,如IDC等场景,因此也需要按照等级保护2.0“一个中心,三重防护”的原则进行防护。
2个中台
包含网络安全能力中台和数据安全中台,网络安全能力中台内置六大能力:安全合规能力、资产管理能力、身份认证&授权能力、靶场仿真能力、攻防实战能力、大数据安全分析能力,为云上租户的业务系统、用户提供安全赋能,保障云上租户的业务安全。数据安全中台包括数据安全管理、数据安全技术、数据安全运营、个人信息保护的能力,为云上租户的数据安全提供赋能,保障数据全生命周期安全。
SEC
安全即服务(Security-as-a-Service),为云上租户提供安全托管MSS、MDR、SASE、风险监测、威胁狩猎、重保服务等安全服务。
N个场景
面向智慧金融、智慧政务、工业互联网等场景,提供场景化的安全保障。
1个安全运营中心
按照PPTD框架,即:People专业运营团队、Process安全处置流程、Technology大数据安全分析、Data安全大数据四个方面,建立安全运营体系。
整个框架体系遵循“三化六防”原则。
《企业网络安全合规框架体系》为企业开展网络安全建设提供了一种参考思路,也希望业界同仁提出修改建议,大家一起不断完善此框架。
