數字經濟被譽為第四次工業革命的“鑰匙”,已經成為全球經濟複蘇的新引擎,成為國家發展新征程的助推器和國家級戰略。《“十四五”數字經濟發展規劃》指出:2025年數字經濟将進入全面擴充期,2035年數字經濟将進入繁榮成熟期。
數字經濟的發展離不開健全的數字經濟治理體系和可靠的數字經濟安全體系。為了助力數字經濟安全發展,國際雲安全聯盟大中華區聯合各界安全精英經過一年的精心打磨,于2022年3月11日正式釋出數字安全架構。該架構涵蓋了數字安全的定義、REE( Regulation, Execution,Evaluation)數字安全架構、數字身份架構和元安全架構。具體内容如下:
數字安全的定義Definition of Digital Security
數字安全是指在數字時代與數字化相關的一切安全要素、行為和狀态的集合,既包括保障數字經濟的安全性,也包括将數字技術用于安全領域。數字安全以數字身份為核心,以元安全為基礎底座,涵蓋了資訊安全、網絡安全、資料安全、隐私保護等領域或場景,并可擴充(如元宇宙安全)。除此之外,數字安全還包括利用數字技術保障數字基礎設施的實體安全。雖然數字安全更偏重數字經濟與數字技術,但是它與偏重國家網絡主權的網絡空間安全(Cybersecurity)在法律、标準、技術上也是相通的。數字安全的定義如圖1所示:
圖1 數字安全的定義
網絡安全(Cyber Security): 保障網絡系統的硬體、軟體的安全,負責人是CSO、CTO等。
資訊安全(Information Security): 保障一切有價值資訊的安全,負責人是CISO、CIO等。
資料安全(Data Security): 保障資料全生命周期的安全與合規,負責人是CDO、CIO、CISO、CSO等。
隐私保護(Privacy Protection): 保護使用者的隐私與個人資訊,負責人是CPO、DPO等。
元宇宙安全(Metaverse Security):保障通過數字化形态承載的虛實相生、虛實相融的平行宇宙的安全,也是未來數字安全的主要擴充領域。
數字身份(Digital Identity):作為連接配接安全與業務的基座,提供所有的人、數字人、物、裝置等的數字辨別、認證、通路全生命周期管理。
元安全(Meta Security): 元安全是下一代網際網路原生安全,包括雲計算、大資料、AI、5G/6G、IoT、區塊鍊、量子計算等新興技術所涉及的系統的原生安全,它是數字安全的底座,需要硬體信任根的支援。
REE數字安全架構REE Digital Security Framework
REE數字安全架構共分為規則層、執行層、評價層三層,詳情如圖2所示:
圖2 REE數字安全架構
規則層(Regulation Layer):規則層是數字安全架構的戰略指引,主要包含數字安全法律、數字安全治理、數字安全标準等内容。這一層需要解決數字安全法律、法規、規章、政策、監管、标準等問題,為組織的數字安全建設與合規治理提供政策指導。
執行層(Execution Layer)執行層涵蓋了規則層落地所需的一切資源/工具及使用這些資源/工具的具體行動,主要包括執行數字安全技術、數字安全方案/産品、數字安全服務、數字安全教育等内容。這一層需要解決數字安全技術的研究與進步、數字安全方案/産品的研發與應用、數字安全服務的開展(如安全咨詢、安全營運等)、數字安全人才的培育等方面的問題,是組織實作數字安全目标的核心。
評價層(Evaluation Layer ):評價層針對組織的數字安全成熟度進行評估、驗證及考核,主要包含數字安全獎項、數字安全排行、數字安全認證、數字安全案例等内容。這一層需要通過安全認證/審計/測評等方式對組織的數字安全能力進行持續評估,進而促進持續改進和提升,實作從規則、執行、評價到改進的安全閉環。除此以外通過數字安全獎項、數字安全排行榜/象限及數字安全優秀案例分享的方式進行相關的市場宣傳和引導,進而促進數字安全産業的發展。
數字身份架構Digital Identity Framework
數字身份是連接配接安全與業務的基座,提供所有的人、數字人、物、裝置等的數字辨別、認證、通路全生命周期管理,詳情如圖3(參考國際身份安全聯盟)所示:
圖3數字身份架構
當元宇宙興起之時,數字身份更是連接配接現實世界和虛拟世界的辨別和橋梁。
元安全架構Meta Security Framework
元安全是指下一代網際網路原生安全,包括雲計算、大資料、AI、5G/6G、IoT、區塊鍊、量子計算等新興技術所涉及的系統的原生安全,是數字安全的地基,需要硬體信任根的支援。元安全的特點包括安全與産品融合,具有硬體可信根,零代理不需安裝,比對可信計算環境,核心軟體可形式化驗證,主動檢測動态防禦(防勒索能力,防病毒能力,防APT能力,防DDOS能力等),可信啟動與安全度量等。元安全架構如圖4所示:
圖4元安全架構
無處不在的可信AI:通過可信AI實作安全監控、入侵檢測、态勢感覺、惡意代碼檢測、代碼審計、漏洞挖掘、通路控制、業務風控、反欺詐、黑灰産識别、内容識别等安全能力
雲原生安全:雲基礎設施及雲平台的原生的安全能力,包括但不限于容器,無伺服器Serverless(FaaS函數即服務),微服務,CI/CD,DevOps等的安全性。
區塊鍊原生安全:包括資料層、網絡層、共識層安全(即區塊鍊可信基礎設施),激勵層、合約層、應用層安全,以及分布式數字身份等。
無線通信(5G/6G)原生安全:通過身份認證安全、接入控制安全、通信安全、軟體定義安全、資料加密等關鍵技術建構安全的5G/6G網絡,實作“主動免疫,彈性自治,虛拟共生,泛在協同”的願景。
物聯網原生安全:從雲、管、端三個層面保障物聯網平台/應用、網絡和終端裝置的安全性。
量子原生安全:建構量子通信和量子計算的安全免疫系統,用量子安全應對未來的量子計算攻擊,保障後量子世界的安全。
數字經濟發展所需要的任何基礎設施和基礎技術(包括傳統技術和新興技術)都應具備原生安全能力,不過這對相關軟硬體産業鍊和供應鍊的各環節都提出了更高的要求。