《北向文集 面向2021》 09期 都江堰论坛 | 张智南-合规升级下的安全增值和增量

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议，历届北向峰会的行业趋势探索以及战略性指导意义，使其成为安全行业别具一格的风向标。

面向2021，北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块，深入研讨了安全行业战略发展之路。嘶吼作为会议承办方，全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容，嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》，文集将以连载的方式在“嘶吼专业版”独家发布，向大家分期呈现，每日更新，敬请关注！

09期 都江堰论坛

合规升级下的安全增值和增量

合规升级下安全增值与增量

监管层面来看，国家越来越多从法律法规、标准规范层面对我们做要求。例如《网络安全法》、等级保护2.0系列标准、《数据安全法》征求意见稿等。特别是今年公安部发布的1960号文，公安部领导在多个场合多次宣贯“四新要求”：新目标、新举措、新理念、新高度。其中的“三化六防”更是公安部力推的重点内容。这就说明国家监管部门对我们的要求基于合规，但又高于合规。

合规升级对网络安全创新提出要求

网络安全要创新，四个方面值得注意：一是安全监管实战化。从近几年工作实践和监管单位公开发布的讲话来看，攻防演练趋于常态化，规模不断扩大。分享一下某省公安厅攻防演练大会公布的数据：去年全省演练范围扩大了50%，而攻击成功率反而下降了40%。从监管的角度，攻防演练效果取得了巨大的进展。二是安全创新被认可。在宣贯1960号文时，公安部领导强调要采用人工智能、大数据分析等新技术，提出部署第二代蜜罐等新产品，这些产品和技术没有写到等级保护2.0标准里，但显然已经得到认可。三是第三方服务提升防护。也同样是在公安部领导的讲话里，专门提到“网络安全保险”，这也是一种得到监管单位认可的模式创新。对于网安人才不足、能力匮乏的单位，领导在讲话里也提出了可以采用迁移上云或购买安全服务的方案，这也是一种模式创新。四是当前的防护体系还存在不少问题。部分安全防护体系还是存在短板，工控安全这个方向“上冷下热”等。

网络安全北向增值和增量方向

增值方向一：数据安全。在纵深防御体系中，数据是安全保护的核心。无论是甲方还是乙方都很重视，但真正落地的很少。国家层面，数据安全法即将正式推出，行业层面如全国金融标准化技术委员会发布的《个人金融信息保护技术规范》，人民银行发布的《金融数据安全 数据安全分级指南》行业标准，工业和信息化部发布的《工业数据分类分级指南（试行）》都是数据安全方向的标准规范。可以说已经形成了从数据分级分类到数据安全运营的方法论体系，但是实际做起来问题非常大。实现数据安全最核心的是找到数据在哪里，在业务系统中是如何动态流动。但基础工作数据分级分类相当繁琐，目前只能通过业务部门手工进行。业内有创业公司、互联网大厂在做这方面的创新，发布了一些有用的工具，但通用性不强，存在行业壁垒。提供自动化的工具，全面提高数据分级分类的效率，是我认为目前数据安全建设最值得关注的方向。

增值方向二：工业控制安全。工业控制安全我刚才提过现在是“上冷下热”。一方面，不同工控系统采用的协议完全不一样，很多情况下需要给安全设备做定制才能支持具体的项目。另一方面，工控系统对数据延迟具有高敏感性，实时性要求高。在很多情况下，需要把网关型安全设备改造成旁路模式，还只能在实验环境下进行测试。因此虽然工业和信息化部做了很多工控安全的示范项目，但依然推行较慢，很多问题仍然亟待通过技术攻关解决。

增量方向：网络安全保险。当前网络安全行业的主要推动力还是合规。网络安全等级保护重点保护的还是国家安全。网络安全保险更多的是从价格方面去量化风险的，但国家安全又怎么能用金钱去衡量呢？所以在定损和理赔方面就会存在困难。这就需要进一步创新生成可执行的最佳实践。将来也许可以写到等级保护3.0的标准里。

合规不是束缚，创新引领发展

合规只是当前阶段网络安全的最佳实践，以法律法规、标准规范的方式进行推广，而不是对创新的束缚。从当前监管单位的公开讲话分析，还是希望安全企业做出更多的创新，通过技术创新来更加有效的解决问题。安全创新可能就是未来的合规标准，也许是等级保护3.0，也许是网络安全法修订条款，从而带动合规进一步升级。合规和创新二者螺旋发展、相互促进，为业务正常有序运营持续保驾护航。在监管层面，更关注通用安全需求的满足，实现网络和信息系统的安全风险整体可控。但是新技术的大量应用带来了新的安全风险，需要研发新的安全技术去提升安全保障能力和效率，这也给安全产业界带来了新的机会！

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布