《数世咨询:数字时代:基于行业最佳实践《主责数据保护与流动安全监管框架》研究背景与思考(2023)(47页).pdf》由会员分享,可在线阅读,更多相关《数世咨询:数字时代:基于行业最佳实践《主责数据保护与流动安全监管框架》研究背景与思考(2023)(47页).pdf(47页珍藏版)》请在三个皮匠报告上搜索。
1、1/21数字时代:基于行业最佳实践主责数据保护与流动安全监管框架研究背景与思考PCSA 数世咨询 CIO时代/安全学院数说安全安全村 FreeBuf 中国信息协会 信息安全专业委员会联合出品聚合中国关键安全能力,赋能数字智能时代数十位产业、行业安全专家智慧结晶2/21研究背景与思考研究背景明天的思考框架的视角今天的工作3/21案例一:数字化&数据安全的同步(规划、建设、运行)数字化改革快速推进中的回头看一年多来,某省大数据局在数字化改革方面整体布局,基础平台快速建成、数据要素全面汇聚,数据业务迭代创新,取得了显著成绩。主动静下来,全面反思,以统筹发展和安全两件大事,补上数据安全的短板和缺项,有
2、效防范各类风险.4/21框架需回应数据安全的新定位问题服从服务数据安全的业务定位+“以用为主”的保障定位安全从业者的自我洗脑传统政务管理办公自动化政务信息化电子政务互联网+电子政务国家政务服务传统业务安全主机安全信息安全保密网络边界安全网络生态安全数据业务安全纸质时代计算机时代信息系统时代网络化时代互联网时代大数据时代5/21案例二:公共运营平台的数据安全责任主体对数据泄露安全责任的反思某公共服务平台数据批量泄露并在黑市贩卖,产生不良社会影响。其数据和业务系统已统一迁移部署在公有云平台,平台建设符合规定。想单独加密本单位的数据有难度,到底该找谁解决,谁来承担责任?6/21框架需关注数据安全主体
3、责任问题数据所有者数据提供者数据使用者数据监管者数据运营者数据消费者数据服务商产品加工者安全管理者数据持有者数据产权数据持有权加工使用权产品经营权监督管理责任 督导和协调各地区、各部门的数据工作,推动数据共享、开放和安全。制定和执行数据安全和数据保护政策,防范数据泄露、滥用和侵害。国际数据交流与合作,推进国际数据标准化和共享机制的建立。业务部门:数据采集、业务授权、辖区服务;安全部门:等保建设、安全监控、风险评估;运维部门:业务需求、资源规划、运行维护;数据部门:平台规划、资源共享、数据应用;云服务商:等保要求、客户需求、云化服务。角色众多、主责不明国家数据局成立数据20条等保F保密码安全商密
4、保护关基安全行业规范个人信息保护数据安全法数字化转型一体化职能定位共享、开放和安全7/21案例三:行业实践检验的重要性与必要性对数据安全使用的反思某部门按规定提供婚姻状况查询服务,同步实施数据安全保护内部人员可控单票查询(防批量下载和蚂蚁搬家);输入身份证号和声明婚姻状况,只反馈Y/N(原始数据不出域);输入两个人的身份证号查询夫妻关系,之反馈Y/N(数据可用不可见).完整方案最终还是遇到“意想不到”的“应用场景”.(人的因素是数据安全的核心要素)8/21框架需解决数据安全方案架构及实效验证问题主机安全信息安全保密物理边界安全网络安全生态综合业务安全数据安全解决方案实践检验,切莫本末倒置数据准
5、入安全数权分类责任确权数源分类采集许可数据分类通道准入数据存储安全存储数据分级防护原始数据分区存储应用数据脱敏汇聚数据使用安全实验数据应用创新内服数据使用接口外服业务应用接口数据准出安全数据产品审核标识产品数据准出交付实体数据监管销毁持续验证持续完善切实有效的监督管理定位9/21什么是数据安全以数据要素有主、有价、有责为前提,以保护数据自身价值和所有者权益为目的,针对数据特性(无形性、易复制性、衍生性和无损性等)所采取的一系列措施。为什么做能够使主责方获得一种可持续状态:避免直接或间接的风险与损失(代价驱动),符合国家法律法规的基本要求(合规驱动),其合法权力及收益受到保护(利益驱动)安全责任
6、主责(产权数据)、同责(源数据)、从责(数据产品)、免责(公开数据)做什么主责数据保护与流动安全监管框架等怎么做行业最佳实践、试点示范工程来验证等对数据安全的再认识案例集小结10/21研究背景与思考研究背景明天的思考框架的视角今天的工作11/21框架的核心视角中观层面行业有需求,做标注无成熟解决方案,不细化微观层面需求明确,责任清晰,完整描述宏观层面方向性要求,不提及法律法规要求,做标注框架编写原则数源层汇聚层流通层场景数据安全治理资源效益治理数据质量治理资产权益治理实体安全治理运营安全治理价值安全治理基础层智慧城市数据库、文件数据数据接口标 识 证 明 技 术大数据组件web业务系统区块链服
7、务数字政府智能制造智慧交通智慧医疗产权登记中心权益证明链交易证明链可信价值链数 据 资 产 证 明数 字 可 信资源目录实体底账资产证明共享交换流通交易采集存储12/21三横的流通体系数源层汇聚层流通层场景数据安全治理资源效益治理数据质量治理资产权益治理实体安全治理运营安全治理价值安全治理基础层智慧城市数据库、文件数据数据接口标 识 证 明 技 术大数据组件web业务系统区块链服务数字政府智能制造智慧交通智慧医疗产权登记中心权益证明链交易证明链可信价值链数 据 资 产 证 明数 字 可 信资源目录实体底账资产证明共享交换流通交易采集存储数据内部共享单 位 自 控资源行业汇聚行 业 自 律价值跨
8、界流通国 家 监 管行业自循环的自律机制(行业数据)实施应用与数据分离,运营与授权分离等单位内循环的自控机制(自有数据)实施数据等级化保护,分类分级,重点保护,适度保护等(适用于政府、企业等组织)社会大循环的监管机制(公共数据)实施数据可信流通体系,一标双链等13/21三纵的治理体系数源层汇聚层流通层场景数据安全治理资源效益治理数据质量治理资产权益治理实体安全治理运营安全治理价值安全治理基础层智慧城市数据库、文件数据数据接口标 识 证 明 技 术大数据组件web业务系统区块链服务数字政府智能制造智慧交通智慧医疗产权登记中心权益证明链交易证明链可信价值链数 据 资 产 证 明数 字 可 信资源目
9、录实体底账资产证明共享交换流通交易采集存储安全治理方面实体安全是基础,抓数据底账运营安全是关键,抓数据目录价值安全是突破,抓权益保护数据安全治理方面数据标识是基础,抓数据确权流通证明是关键,抓流动监管产权证明是突破,抓一数一源数据治理方面数源治理是基础,抓全生命周期质量共享治理是关键,抓共享交换效益流通治理是突破,抓交易与分配14/21研究背景与思考研究背景明天的思考框架的视角今天的工作15/21今天的工作目标统一数据战略数据安全战略IT战略数据治理开放目标数据安全治理价值目标安全治理管控目标能力支撑能力支撑充分开发利用杜绝无序滥用责任落实数据权属授权规则数据底账分类分级数据角色安全基线出境专
10、项数据交易部门协同组织分工部门分工角色设定岗位配置人员配备管理办法实施细则工作流程激励机制工作目标责任边界权利义务考核指标要求数字化目标指标化策略参数化效果可视化运营一体人员分层响应数据安全监测风险协同研判事件联合处置数据防泄漏访问控制API接口数据流动数据管理员系统管理员安全管理员IT基础设施管理员数据服务停止数据篡改误操作/恶意行为数据泄露安全策略核查数据违规阻断数据恢复服务最小授权数据安全策略策略配置管理策略变更管理策略执行审计策略效果评估数据战略、数据安全战略和IT战略是组织战略的组成部分;数据治理的目标是开放安全治理的目标是管控数据安全治理的目标价值与平衡;数据安全治理依托于数据治理
11、与安全治理实现,着重数据安全要求与策略的细化落实;(图中不予表述)组织战略执行过程督导任务目标督导工作效益督导工作机制绩效管理安全要求16/21今天的工作:做好规划,落实已明确的环节与细节资源标识与数据底账策略管控与分类分级实体数据与安全保护生命周期与流动监管战略规划监督管理保障机制持续保护17/21研究背景与思考研究背景明天的思考框架的视角今天的工作18/21数据时代安全的表现昨天的观点(2019年)数据价值的演进趋势数据安全模式的发展趋势 互联网发展初期 核心特征:无主、无价、主动公开 网络应用和大数据的逐渐发展 核心特征:有主、有价、有偿交换 国家提出:建立公共信息资源开放目录,积极推进
12、公共信息资源开放共享 核心特征:数据资源大量汇集,数据成为企业价值主体 数据具备投资属性,并可能成为垄断生产要素,出现新的数据应用模式 以边界保护为核心 本阶段的数据安全服务称为基础安全服务 以区域控制为标识,不区分不同资产的价值差异 以保护数据所有者权益为核心 以数据资产所有者为服务目标,以数据资产分级分类为基础,构建重点保护、适度保护的服务体系 以数据安全与交易托管为主要模式 在数据资产所有者(个人、企业、政府)和数据资产使用者之间形成的一套第三方数据资产权益保护服务数据安全智能化数据资源阶段数据资产阶段数据资本阶段保安阶段保镖阶段数据银行阶段2019年(第十四届)中国电子政务论坛数据的资
13、产属性:有主、有价、有偿交换数据的运营模式:数据银行的信贷方式数据的交易方式:数据信托与交易托管模式数据的安全服务:第三方数据资产权益保护服务19/21今天的思考权益流转替代数据流转(“权动数不动”降低保护成本)关注公共数据空间建设及社会化授权运营合法自证替代违规取证(“守法便利”降低监管成本)关注数据产权相关法律出台及社会化公信服务硅化创新替代人工智能(新技术安全是数据安全的长期课题)关注算法安全、数字伦理、工控安全及国家智慧监管体系建设20/21数据暨世界 应用暨生活 安全暨社会 世界只要还有未被数据化的物质和意识,大数据就有可开拓的市场;人类只要还有未被云化的生产、生活方式,互联网应用就
14、有创新的动力;社会只要还有未被完整描述和转化的人与人、人与物的关系,信息安全就有发展的方向。关注物联网关注物联网关注人工智能关注人工智能关注数据二十条关注数据二十条结束语:共同关注数据安全,共赴数据新时代与数据安全界的同仁共勉刘涤西数字时代:基于行业最佳实践主责数据保护与流动安全监管框架研究过程和解读PCSA 数世咨询 CIO时代/安全学院数说安全安全村 FreeBuf 中国信息协会 信息安全专业委员会联合出品聚合中国关键安全能力,赋能数字智能时代数十位产业、行业安全专家智慧结晶历年来,研究团队成员参与数十个行业、用户单位的数据安全顶层规划设计、安全建设、安全运营,体会安全工作持续演进(不断满
15、足监管要求、顺应产业新变化、积累大量案例经验)。自2019年月持续围绕数据安全领域开展专题研究,涵盖安全技术、安全管理、安全运营、安全监管等多个方面,逐年积淀形成拟发布的基于行业最佳实践的主责数据保护与流动安全监管框架。逐年积淀发布基于行业最佳实践的安全保护框架数据安全研究:治理、监管、管理、技术、运营关键点发布三化六防挂图作战解决方案数据安全研究:数据流动安全监管研究、试点完成发布年度红蓝攻防全景图系列数据安全研究:主体责任数据安全保护要素研究承担重大课题:调研多方、行业、产业、开展试点研究涉及多领域,数据安全作为其中重要部分2019年2020年2021年2022年研究过程:四年历程数据治理
16、、数据安全治理、安全治理数据安全研究:主责数据保护与流动安全监管2023年年限研究成果2019年2020年2021年2022年.明确数据治理、数据安全治理、安全治理边界、三权协同 首次提出:主责、同责、守责数据保护 首次提出:流动监管理念,全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体 首次提出:数据资源、资产、流动、交易四大阶段 首次提出:数据角色(所有者、运营者、使用者、监管者、提供者)首次提出:治理、监管、管理、技术、运营看管监控一体化 形成CII数据流动安全监管强化要求标准草案 首次提出:事前督导、事中监管、事后审计2023年成果发布:数字时代:基于行业最佳实践主责数据保护
17、与流动安全监管框架研究过程:红蓝攻防全景推演系列套图(2020年)研究过程:三化六防挂图作战总体架构(2021年)研究过程:行业最佳实践的安全保护框架(2022年)产业研究力量行业实践力量数世咨询数说安全CIO时代/安全学院PCSA安全研究院中国信息协会信息安全专业委员会能源、央企行业金融行业电子政务行业地方大数据局叶红、赵进延、刘涤西等郭峰、李刚、Richard W、付睿辰、孙江波、刘国建等李少鹏、刘宸宇、靳慧超等谭晓生、于江等姚乐、刘晶及CIO学员等6家单位安全专家4家单位安全专家8家单位安全专家6家单位安全专家本次研究,由多家产业研究力量协同多个行业实践力量,对十三五、十四五期间众多数据
18、安全规划、建设、运营和监管的落地实践经验进行深刻总结提炼,共同提出一个基于行业最佳实践的主责数据保护与流动安全监管框架。研究团队PCSA成员单位中孚安全研究院:刘胜平、蔡红、张岳等中电科太极踏实实验室:刘璐 杨明 安静等新华三安全研究院:孙松儿、曹东等美创科技:周杰昂楷科技、FreeBuf安全村其他机构4家单位安全专家Bruce ZHANG等意见征求与采纳情况以数十个行业、用户单位调研为基础,开展专家意见征求工作,为期10天左右。截至目前,共计对能源、央企、金融、交通、电子政务等上百家单位的数百位专家进行意见征求,反馈率达70%以上。其中意见/建议、寄语分别约占35%、35%。经研究团队进一步
19、研讨,约30%的有效建议予以采纳。同时,众多专家给予了寄语和厚望。专家建议反馈情况专家寄语反馈情况聚焦关注点数据使用及开放过程中主体责任的”合规”合法“”静态“”动态“场景下数据安全保护关键点数据治理、网络安全与审计责权边界(三权)数据全生命周期过程中涉及哪些角色(数据所有者、数据提供者、数据运营者、数据使用者、数据监管者等)数据在组织内部、跨组织、行业、区域及跨境之间的流动关注点关注点一:平衡数据开放与安全管控,做到用数不违法数据管理者安全管理者数据安全体系融合:治理层、监管层、管理层、技术层、运营层、数据层目 标 数据安全管理看管监控一体化 数据利用与安全监管平衡发展;数据流动全程可视、状
20、态可察、权益可管、权限可控、流动追溯;现 象盲数据僵数据死数据阶 段 数据管理发展数据资源阶段;数据资产阶段;数据流通阶段;数据交易阶段;数据安全发展数据完整性、保密性、可用性;数据全生命周期防护;数据流动全程安全监管;发 展数字化转型-使命数字化组织的生产、管理产生大量主责数据;主责数据资源不断增长;大量集中汇聚共享交换流动;主责、同责、守责现 状 静态数据底账不清、权属不清、权责不清;动态数据流动前、流动中、流动后,全程不可知、不可控;数据处、安全处责任主体不清晰主责数据?不违法关注点二:三权分立,划清数据管理和安全管理责权利边界责权利的边界:三权分立,明确基础分工与边界,从模糊走向清晰;
21、数据的系统管理员(业务部门、数据部门)数据的安全管理员(安全处)数据的安全审计员(安全监管部门)现 状 数据的安全审计员1、角色与流程合法合规;2、流动前、中和后的审计追溯;3、一体化安全监管;数据的安全管理员1、安全策略制定;2、安全监控;3、安全响应;4、安全预测;5、安全防御;数据的系统管理员1、root权限;2、所有者;3、授权访问者;4、授权访问通道;5、授权访问时间;6、授权访问方式;目 标关注点三:围绕静态数据和动态数据,实现流动安全管控 数据承载方式 数据类别 安全能力如何定义数据资源、数据资产;综合视角 问题分析静态数据落实主责数据安全保护的指导、监督、检查,做好主责数据安全
22、的保卫、保障、保护数据中心数据平台结构化数据非结构化数据数据资产发现.存储终端数据库审计数据防泄漏数据库漏扫数据库防火墙数字水印数据加密数据脱敏数据流量分析数据溯源数据态势感知数据备份动态数据盲数据、僵尸数据、死数据;底账不清、权属不清、责权不清;数据流动前:数据非授权流动、数据流出不合规、数据流出存在安全风险;数据流动中:数据流动过程看不见、管不到,非法使用发现不了;数据流动后:数据流动不可审,数据权益不可控,存在数据泄露风险;流动存在数据泄露风险;数据使用情况不清,谁在访问、谁在用;半结构化数据关注点四:数据流动过程中涉及主要角色数据角色决定数据流动监管的权限需求。通过对数据流动过程中不同
23、角色的权限与职能进行解析,定义五类数据流动角色,实现不同数据角色对数据流动安全监管过程中的不同权限与职能的落地提供有效支撑。数据所有者数据使用者数据提供者数据运营者掌握数据所有权的数据产权所有方;对数据拥有使用和交换需求的数据需求方;对数据进行获取、处理与提供的数据提供方;对数据运营过程的计划、组织、实施和控制,是与数据生产和服务创造密切相关的各项管理工作的承担方;数据安全监管者在数据不同价值阶段,制定数据流动安全策略,对不同数据角色的操作等进行稽核审查;关注点五:数据流动涉及的主要场景国家级XX部门省级XX部门上报/申请查看/下载数据流动省级XX部门数据流动省级XX部门数据流动地市级XX部门
24、地市级XX部门地市级XX部门数据流动数据流动数据流动上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载XX部门/组织XX部门/组织上报/申请查看/下载数据流动XX部门/组织数据流动XX部门/组织数据流动应用应用应用数据流动数据流动数据流动上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载上报/申请查看/下载XX局XX局XX委XX局.数据流动跨应用流动跨部门/组织流动跨层级流动跨行业流动跨区域流动测试环境生产环境跨环境流动数据流动数据流动主要涉及不同行业领域间的跨行业流动;国家、省、市、县(区)等各级部门间的跨层级流
25、动;同级部门/组织间的跨区域流动;行业内部多个司局间或组织内部多个部门间的跨部门流动;组织内部多个应用系统间的跨应用流动;以及组织内部生产环境和测试环境之间的跨环境流动。“1”个主要场景主责数据保护与流动安全监管场景“3”个方面数据治理、数据安全治理、安全治理关键要素“6”个层次治理层、监管层、管理层运营层、技术层、数据层“N”个关联角色数据所有者、数据监管者、数据提供者数据使用者、数据运营者、安全审计员、安全管理员、系统管理员主责数据保护与流动安全监管框架“1-3-6-N”架构“1”个主场景:主责数据保护与流动安全监管场景“1”个主场景主要解决静态数据保护和动态数据流动安全监管的问题。主体责
26、任明红线,守底线数据安全法、数据二十条都明确数字化组织在数据处理过程中对数据安全负有主体责任,需要在明确红线、守住安全底线的前提下,进行数据开发利用、开放共享。事前事中事后监管做好数据流动事前督导、事中监管、事后审计,帮助数字化组织确认清楚在组织内部数据流动过程中的主体责任,解决好数据治理、安全治理的责权不清、动态监管等影响数据合法有序使用的关键点。“3”个方面:数据治理、数据安全治理、安全治理数据治理数据安全治理数据治理、安全治理和数据安全治理三个方面目标不同、边界权责交叉,本框架主要聚焦数据安全治理,需要协同好数据治理和安全治理,明晰边界与责权。数据治理数源可信、权责清晰、激活数据。安全治
27、理合规闭环、实战验证、风险可控。数据安全治理主责明确、流动监管、共享共用。安全治理“6”个层次之一:数据安全治理层数据安全治理层从内部刚需和外部监管出发,与数据治理和安全治理的目标达成统一。战略制定根据数字化组织发展所处不同阶段制定总体战略、目标和策略。现状评估根据数字化组织发展所处不同阶段,开展数据评估、安全评估和数据安全能力成熟度评估。蓝图规划明确现状和目标,开展差距分析、需求分析,进行总体规划,并明确保障机制达成总体规划需要的资源。实施路径根据组织实际情况,落地演进路径、明确行动计划和关键任务。数据管理发展四个阶段数据资源、数据资产、数据流通、数据交易,不同阶段评估和评价方法不同。“6”
28、个层次之二:数据安全监管层数据安全监管层主要解决事前督导、事中监管、事后审计的监督落实问题,实现全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体。事前督导督导数据底账、权属、角色、交易、分级分类、授权规则、安全基线、专项工作等。事中监管监管数据底账、权属、角色、交易、归类定级、操作行为、流动过程、专项工作等。事后审计审计数据底账变更、权属变更、授权变更、交易、分级分类、违规操作、流动追溯、专项工作等。“6”个层次之三:数据安全管理层数据安全管理层主要通过组织、机制和职责等方面提供保障机制。定义机制围绕组织决策治理层定义的数据安全治理目标,做好管理定义,包括管理办法、规范细则、流程表单
29、以及可考核的关键性指标。定义组织明确定义清楚数据所有者、使用者、提供者、监管者,以及系统管理员、安全管理员和安全审计员等不同角色对应的岗位和人员。定义职责明确定义清楚责任边界、权利义务、激励机制等。“6”个层次之四:数据安全运营层数据安全运营层主要解决多方协同的问题,实现看管监控一体化。数据安全监测聚焦数据本身,实现细化到数据库、表、字段的专而深的安全监测,覆盖数据防泄露、数据访问控制、安全登录、数据操作、数据流动、API接口等。分层响应针对数据安全事件,落实数据管理员、系统管理员、安全管理员、IT基础设施管理员等不同角色之间的分层响应。协同研判协同多方人员开展综合分析研判,深度分析数据服务停
30、止、数据篡改,误操作/恶意行为、数据泄露、越权访问、数据勒索、数据违规外发等的根本原因。联合处置基于协同研判分析结果,开展安全策略核查、数据违规阻断、恢复服务/系统/数据、冗余备份、最小授权等联合处置工作。“6”个层次之五:数据安全技术层数据安全技术层主要建立工具能力资源池,实现可扩展的能力使用及调用。基础合规在满足个人信息保护、等级保护、关基保护、数据安全法、密码保护、F级保护、商密保护、行业规范等法律法规、标准规范的基础上,做到从数据采集、数据传输、数据存储、数据处理、数据加工、数据共享、数据交换、数据交易、数据销毁的全生命周期合规。工具能力围绕数据全生命周期构建分类分级、数据标签、密级标
31、识、隔离交换、加密传输、策略矩阵、存储加密、访问控制、隐私保护、数据授权、数据脱敏、零信任、行为授权、操作审计、打刻审计、数据水印、数据防泄漏、介质管控、备份恢复、数据清除、剩余信息保护等数据安全能力。“6”个层次之六:数据层数据层通过对数据的标识证明,使数据成为独立管理对象,其属性可支撑数据共享、交换及交易流通等场景。标识证明是指围绕数据资源目录做数源标识、数据标识、权益标识、流通标识;围绕实体数据底账做好产权证明、权益证明、交易证明。数据层包括结构化数据、半结构化数据、非结构化数据、个人数据、企业数据、公共数据、SM、商密、个人隐私等。“N”个关联角色:多个数据和安全角色 数据所有者数据产
32、权所有方。数据使用者数据需求方。数据提供者对数据进行获取与处理数据供给方。数据运营者对数据运营过程的计划、组织、实施和控制各项管理工作的承担方。数据监管者在数据不同价值阶段,制定数据流动安全策略,对不同数据角色的操作等进行稽核审查方。系统管理员系统的所有者,负责系统的管理和授权。安全管理员网络安全管理者。安全审计员网络安全和数据安全的审计者。附录一:推演过程参照国家数据安全法律法规、标准规范要求,结合多年数据安全实践经验,参考并借鉴国际安全保护框架优秀思路,经历持续的、大量的研讨、评判、推翻、重来、修订的推演过程,形成了主责数据保护与流动安全监管框架。中国信息协会信息安全专业委员会(简称“信安
33、委”)是中国信息协会直属的专业委员会。于1998年10月在中国信息协会指导下筹建并由民政部批准成立,领导机构为主任委员会,聘请何德全、沈昌祥、方滨兴院士为顾问,理事及会员单位成员涵盖了信息安全的各个领域,包括信息安全主管部门、国家重要基础设施单位、信息安全保障机构、军方代表及信息安全龙头企业。中国信息协会信息安全专业委员会PCSA安全能力者联盟/安全研究院【愿景】聚合中国关键安全能力 赋能数字智能时代;【使命】聚焦关基安全、数据安全、资产安全、供应链安全、智能安全等领域,解决行业长期共性顽疾与共性痛点,持续为用户打造安全中枢;【定位】数字安全业务化:数字安全业务场景化、数字安全业务平台化、数字
34、安全业务运营化;【致力于】研究问题与趋势(网络空间安全长期共性问题及未来共性需求)、创新解决与突破(网络空间安全落地共性顽疾及关键技术和模式)、研发服务与平台(网络空间安全整体服务运营及生态共性平台)。数世咨询是国内数字产业第三方调研咨询机构,主营业务为网络安全产业领域的调查研究、资源对接与行业咨询。数说安全数说安全是赛博英杰旗下专注于网络安全垂直领域的智库平台,是中国网络安全行业内最专业且具影响力的研究媒体,以数据为基础,结合科学的方法论进行行业研究和企业分析,提供决策工具和有力资源。CIO时代/安全学院主要从事信息化的培训、咨询及CIO时代网运营,是一个服务于企业信息化和政府信息化的专业平
35、台附录二:研究团队简介安全村Sec-UN安全村,专业安全媒体平台业务品牌为“安全村”专注于网络安全技术,及安全技术衍生的文化服务。愿景:独立思考,协奏成章。FreeBufFreeBuf 国内网络安全行业门户,同时也是爱好者们交流、分享技术的最佳平台。核心团队由来自硅谷、百度、携程、华为、阿里巴巴、盛大、有关部门等资深从业人员和专家组成。附录二:研究团队简介主要从事数字战略、数据安全前瞻研究、技术创新、安全咨询等工作,持续推进产学研合作。中孚信息研究院踏实安全研究院秉承“业务+数据定义安全战略”核心理念,致力于在数字智能时代严谨踏实的专注安全领域的深度研究和研发。新华三安全研究院美创安全研究院作为主动安全的倡导者和领导者,致力于开展在网络安全、云安全、移动IT安全以及大数据安全、工业控制信息安全领域的持续研究。专注于数据安全技术领域研究,聚焦于数据安全防御理念、攻防技术等专业研究。立足产业布局和发展方向、瞄准前沿技术发展趋势、不断自主创新、加速成果转化,持续在数据安全治理领域开展研究。昂楷安全研究院