目錄

1企業(yè)安全需求的驅(qū)動力網(wǎng)絡(luò)安全法律法規(guī)政策合規(guī)要求分析

云原生安全合規(guī)建設(shè)框架

我國數(shù)據(jù)安全法律體系

云計算場景卜的8類數(shù)據(jù)安全責(zé)任

數(shù)據(jù)安全治理體系運(yùn)行過程

企業(yè)個人信息保護(hù)體系1企業(yè)安全合規(guī)視角安全運(yùn)營框架體系1

網(wǎng)絡(luò)安全規(guī)劃方法論

企業(yè)安全需求的驅(qū)動力

fi

中華人民共和國公安部

??人KA阿。中，Mem*MV（X0H一，

**e?2個人aaMaa

合規(guī)艮1外退＜ft■第會全號?保護(hù)

?1大~“侑組"全保爐M

驅(qū)動的amt"g

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《密碼法》公安1960號文（三化六防）HV行動

高持續(xù)性威脅XPT.

AdvancedPersistentThreat

事件Stg黑尊aarwind#風(fēng)險

驅(qū)動LOCMJ^Jespring驅(qū)動

勒索軟件Ransom挖礦程序Mining

網(wǎng)絡(luò)安全法律法規(guī)政策合規(guī)要求分析

我國目前已經(jīng)建立了比較完善的網(wǎng)絡(luò)安全法律法規(guī)政策體系。

19弘年2月18H2003年8月26日2012?(6月28口20)6年12月27H

（中華人民K和國計《國*體4化11，小班另卜，

且拿工安個保護(hù)條例,腳善安令保障1作的?兄展翱切女伙i?公總安個的內(nèi)卜自

K*J8M7號）＞&?（中辦發(fā)【23127號）＞發(fā)布M＜國發(fā)［2012）23號》＞**

30171T?JIIII?I743/11II20174I月10II

發(fā)*《國*網(wǎng)絡(luò)安全事件應(yīng)急停泉》發(fā)布

?二:：《網(wǎng)絡(luò)安全質(zhì)》修行

2.0*h

2020年1月IH202?年7，122fl20219)1IH2021年9用IH

《&內(nèi)存女X*安除等&保護(hù)

■《中華人反共利叫美

加度，1大?仿必*砒&**令

＜

＜Ntm＞an保妒翻德的mea姐》（公xaASMatsi?fe?*

<???*?>Btr便/*條例（W務(wù)院?

安1208）1960號）發(fā)*

?74SM）＞atr

2021母9MlII2021<TII>1III皿年2月15H2022年3月28U

《"終產(chǎn)叢安令?料管唐震定》■"八〈X懦安全甲A辦法》?忖《美f■夫X盜女金保護(hù)?丸?■?

入次艙網(wǎng)絡(luò)安全號”保護(hù)M度的？6?意

,HSS：《個人信息保妒法》iktr

兒》（公科安［2022］1058號）發(fā)布

2022扉9Ml口I一=_I3023年工M3日

??1|?州埴女金評依辦珠》?打工弓睜*I六令卬發(fā)

《美i段進(jìn)數(shù)抿安全戶?發(fā)M的報3意見》

企業(yè)網(wǎng)絡(luò)安全合規(guī)框架體系

企業(yè)網(wǎng)絡(luò)安全合規(guī)框架體系為“1+2+SEC+N+1”架構(gòu)。

??)?

CM/CM

—5<?..

wejMi

mMraATTACKMAM

安個W

云安全合規(guī)建設(shè)框架

安全討卉賽合云?安全達(dá)首

公有云私“公1多云

威助情報

1云門戶

云安全合規(guī)建設(shè)框架涵安全絹以

自助JR蘇，］戶

架構(gòu)_________:

蓋公有云、私有云、混合云態(tài)跨感知

1MSPaaSSMS1----

安全管理

和多云場景，從安全管理、制度喳助監(jiān)測

會總機(jī)雁鹿*,防護(hù)度0管理咨薦安全崛號安全傳蛤安全

安全技術(shù)、安全運(yùn)營和運(yùn)維

網(wǎng)@?博分份等旅事歧代考工■總拄AP】安全

人員安全應(yīng)急響應(yīng)

幾個維度進(jìn)行設(shè)計，安全技管博研I網(wǎng)離入侵陶柳故必安全m*rftw四舞和外警安全網(wǎng)附

IH商審計

術(shù)從基礎(chǔ)設(shè)施安全、虛擬化供應(yīng)鏈安

做網(wǎng)戰(zhàn)訪何佗由<1入侵防御ift量可硬化行為分析

全管拜1----

安全、租戶側(cè)橫向流量安全云陰*機(jī)

遷移安全人手土H丁口

和縱向安全展開設(shè)計。安全運(yùn)維

管理虐

1-,：女仝1訪何控￥||資源;5拄||資源鹵蜜通信安全I(xiàn)

悅秣找核代

業(yè)務(wù)連續(xù)源f0%E

性省理安訪問控研侵注理離1入侵劭御M絡(luò)M/fc訪問投乜入侵槍器

全漏泥修乂

酒像安全只，檢兩」入侵直。

虎擬化安全|貨源a-

海諭t博tn”加鞏J____監(jiān)控方警

基，工上in無？4ttakd依*:A

安礎(chǔ)運(yùn)韁審計

日志管理叢及核有t機(jī)入侵防御衣金濘箱安全區(qū)域劃分訪向控?,網(wǎng)絡(luò)入侵防。

全總

盤制「把rm/劭mj1代金加網(wǎng)1阿外成物愴住,「「：1，聯(lián),湎滬

隙1KPiTW

物理與環(huán)境安全

云原生安全合規(guī)建設(shè)框架

J?ISFIHMQKGT^MIX不*

w潮俗加密傳?攻擊防護(hù),用代無一務(wù)平白。二如小上服務(wù)平仃賬，［女勺?

云安全合規(guī)建設(shè)框架接II安全防護(hù)儂頓摩安全業(yè)務(wù)寬產(chǎn)恒烹尢服務(wù)平臺助的控制由數(shù)應(yīng)用女金

隊(duì)(tI，，T位MV反An

涵蓋公有云、私有云、混?版向大音［最小化授權(quán)族省擔(dān)生|敏感脛務(wù)器崗

8補(bǔ)丁更衽［也置在效性檢自《亦而管控］|雙能化訪“請求

合云和多云場景，從安全

￡一原中網(wǎng):/艇-API無弱件評估|

管理、安全技術(shù)、安全運(yùn)RX*it

1__________1

營和運(yùn)維幾個維度進(jìn)行設(shè)做服務(wù)R用API安全為服務(wù)應(yīng)用通信安全|微圈務(wù)向用憑證管理

計，安全技術(shù)從基礎(chǔ)設(shè)施且M肝加『?安個yy;集中;i足憐測和審“城川平門最小化組件編W平臺：中也個|1?按地或1

安全、虛擬化安全、租戶

資源加固與隔離重排中臺版本柱,'編排平臺安全加固秘鑰曾坦

側(cè)橫向流量安全和縱向安

1urn及6從女拿片好時女金

全展開沒計。演尸wu

內(nèi)核登、］生機(jī)配一幡ft檢■一―我生|，像6，*訪＞1笈*Mzmtt|盟余代的方加

驀自X倉就安全1口叫汶朽性+代場便66交±±c喊的口禽||威切昌■

女太凰川1!■―,…扁危情生用ut>.ita.tF4RjTr!f份向及制||端口網(wǎng)梯行為總涮

riit.wtoudi|1匕門笛蜃傳檢我十值保6座*件,警入侵||洸*化

1寸妒4叱0NC------------------------------

「行0城貨乍aid［￡自一。倉昨短欠打帽一像6存宮衣n動力力異常行為々黑及第抬

基于等級保護(hù)的云安全框架體系

I

基于等級保護(hù)“一

個中心、三重防護(hù)”的云安全I(xiàn)AAKt防火■

框架體系，體現(xiàn)出云平臺和云&■亢*AntiCXM

租戶安全責(zé)任分擔(dān)的原則，并眾噩均，VPH

要求云計算資源對對laaS、IPS/OS

PaaS、SaaS層的租戶提供不同VPHWAF

的安全服務(wù)。防火■遇是M

■■■if

演■席，

?線?理

a?*it

零信任與SASE建設(shè)框架

安全（皿】[s]（皿0?）（■*?】

■劣[3M）[g）（—[m）（—][n降低

△企業(yè)

口運(yùn)

提開全球

應(yīng)分布維成

SASE可以為云租戶提供網(wǎng)絡(luò)彈性接

用

體八

入、安全服務(wù)、可以有效提升用戶體驗(yàn)(TCO

、

用

戶)和

驗(yàn)以及降低企業(yè)IT運(yùn)維成本。

體

驗(yàn)企業(yè)

和

生安全

效

產(chǎn)風(fēng)險

率

我國數(shù)據(jù)安全法律體系

國家法律是開展數(shù)據(jù)安全保護(hù)的依據(jù)

??2020年4月9日,印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體

國家層面新高,數(shù)據(jù)安全治理■數(shù)據(jù)安全有法

制機(jī)制的意見》，明確提出“加快培育數(shù)據(jù)要素市場”，包括推進(jìn)度?底索■可依

政府?dāng)?shù)據(jù)開放共享，提升社會數(shù)據(jù)資源價值，加強(qiáng)數(shù)據(jù)資源整合和安

全保護(hù)。

國內(nèi)各行業(yè)數(shù)據(jù)安全監(jiān)管要求

《中國人民銀行網(wǎng)絡(luò)數(shù)據(jù)安全管《金融科技（FinTech）發(fā)展規(guī)劃《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)《關(guān)于開展金融科技應(yīng)用風(fēng)險專

金融理指南》＜20192021年）＞范》項(xiàng)摸掉工作的通知》

行業(yè)

《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安

南》全規(guī)范》

電信《電信和互聯(lián)網(wǎng)用戶個人信息?！蛾P(guān)于做好2020年電信和互聯(lián)網(wǎng)行《2021年基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級防范》

護(hù)規(guī)定》（24號令）業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》全標(biāo)準(zhǔn)貫標(biāo)工作方案的通知》

業(yè)

行

《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)《電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識

《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)....

范》別指南》體系建設(shè)指南＞

能源

《電力行業(yè)網(wǎng)絡(luò)與信息安全管理（中華人民共和國能源法（征求意見（《國資監(jiān)管數(shù)據(jù)管理暫行辦法》....

行業(yè)辦法》稿）》

《政務(wù)信息資源共享管理哲行辦《關(guān)于政務(wù)信息系統(tǒng)整合共享實(shí)《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第《關(guān)于加強(qiáng)數(shù)字政府建設(shè)

法》施方案的通知》十四個五年規(guī)劃和年遠(yuǎn)景目標(biāo)綱要》

9手2035的指導(dǎo)意見》

《信息安全技術(shù)政務(wù)信息共享

《政務(wù)數(shù)據(jù)安全管理指南》《河南省政務(wù)數(shù)據(jù)安全管理暫行辦法》

數(shù)據(jù)安全技術(shù)要求》.....

云中需要保護(hù)的數(shù)據(jù)類型

基于法律或者其他方面的原因，由云服務(wù)客戶所控制的一類數(shù)據(jù)對

象.這些數(shù)據(jù)對象包括輸入到云服務(wù)的數(shù)據(jù)，成云服務(wù)客戶通過已

發(fā)布的云服務(wù)接口執(zhí)行云服務(wù)所產(chǎn)生的數(shù)據(jù)。

由云服務(wù)客戶和云服務(wù)交互所產(chǎn)生的云服務(wù)提供者控制的一類數(shù)據(jù)對

象。包括：口志數(shù)據(jù)、授權(quán)用戶數(shù)以及授權(quán)用戶的身份、配置數(shù)據(jù)和

定制化數(shù)據(jù)。其中，日志數(shù)據(jù)記錄了誰在什么時間使用了服務(wù)，使用

S云服務(wù)衍生數(shù)據(jù)——了什么功能和數(shù)據(jù)等。

由公服務(wù)提供者控制，與公服務(wù)運(yùn)營相關(guān)的類數(shù)據(jù)對象.包括但

不限制于資源的配置,和使用信息，云服務(wù)特定的虛擬機(jī)信息，存儲

和網(wǎng)絡(luò)資源配置信息、數(shù)據(jù)中心的整體配置和使用信息、物理和虛

茴云服務(wù)提供者數(shù)據(jù)擬機(jī)資源的故障率和運(yùn)營成本等。

YD/T4060-2022《云計算安全責(zé)任共擔(dān)模型》

云計算場景下的8類數(shù)據(jù)安全責(zé)任

數(shù)據(jù)存

安全審儲安全

數(shù)據(jù)傳

查和取

輸安全

證

云中數(shù)

數(shù)據(jù)安數(shù)據(jù)訪

全合規(guī)據(jù)安全問安全

責(zé)任

數(shù)據(jù)安數(shù)據(jù)遷

全管理移安全

數(shù)據(jù)銷

毀安全

YD/T4060-2022《云計算安全責(zé)任共擔(dān)模型》

建立“以數(shù)據(jù)為中心”的安全體系

安

全

赧

務(wù)

數(shù)據(jù)安全保障體系的四個維度

決策層

（高級管理人員及數(shù)據(jù)安全官）

管理層

（數(shù)據(jù)安全管理團(tuán)隊(duì)）

執(zhí)行層監(jiān)督層

（審計部門

（數(shù)據(jù)安全運(yùn)營、技術(shù)團(tuán)隊(duì)）

、人員）

參與層

（員工及合作伙伴）

對數(shù)據(jù)全生命周期安全防護(hù)技術(shù)

進(jìn)

數(shù)

行

大?摳■個留,話--、

據(jù)二

約1?????(?可

?etfWrt?

vf4?if?。生?一

安?安gt

束