以“安全護航 合規推動”為主題的 2022 SCIC 網絡安全合規創新峰會已圓滿落幕，受到與會領導、專家及業界同仁的熱切關注與討論。今天與大家分享的是來自嘉誠信息副總經理李憶平《以合規為基礎、技術創新為驅動的數字世界》的專題演講！敬請收看！

嘉賓介紹

嘉誠信息副總經理 李憶平

嘉賓簡介：從事網絡安全工作近20年，曾為多個國家部委、省市級單位擔任安全咨詢顧問，兩次獲得全國網絡安全等級保護測評工作“先進個人”榮譽，是中國網絡安全合規創新實踐者。國家網絡安全等級測評高級測評師、安全架構師、社會工程學專家，高級經濟師、數據安全推進計劃（DSI）數安智庫專家。中關村可信計算產業聯盟理事、吉林省密碼協會副會長、吉林省互聯網協會副理事長。

●核心觀點●

01.安全合規建設發展趨勢

2022年，國內和國際局勢日益嚴峻，網絡安全事件頻發，諸如漏洞利用、數據泄漏、APT攻擊等層出不窮，有組織、有預謀的網絡攻擊形勢愈加明顯。

網絡安全關乎著政治安全、軍事安全和國家安全。從1999年開始，國家陸續出臺了一系列法律法規和標準規范，來保障我國網絡信息安全。

從2017年《中華人民共和國網絡安全法》，以及后來陸續頒布的《信息安全技術網絡安全等級保護基本要求》《中華人民共和國密碼法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》等，都代表著我國網絡信息安全法律體系逐漸完善。

02.安全合規創新應用

合規建設是網絡安全的基礎推動力，而在為客戶進行安全服務時，服務商是否在漏洞檢測和修復的維度給予了客戶更多的支持？

基于中國信息安全測評中心《2022上半年網絡安全漏洞態勢觀察》，我們發現安全漏洞主要呈現以下三大態勢：

1、漏洞增長創新高。據統計，漏洞總量環比增長達到 12%，超高危漏洞占比超過 50%。

2、軟件漏洞被利用頻率高。2022 年上半年新增漏洞中跨站腳本、緩沖區錯誤、 SQL 注入、輸入驗證錯誤、代碼問題等五種類型的漏洞數量最多。

3、開源軟件漏洞風險增高。97%代碼中存在開源軟件漏洞，81%代碼庫中包含至少一個公開開源軟件漏洞，49%代碼庫中包含至少一個高風險漏洞。

在此形勢下，供應鏈安全的重要性愈發凸顯，而合規建設始于供應鏈安全。

供應鏈安全合規管理依托于供應鏈安全法律法規落實，通過供應鏈安全治理，確保整個生命周期的安全；其中包含上下游供應鏈的開發安全、交付安全和運行安全。

因此，回歸到整個供應鏈的安全漏洞分析與管理層面，應該包含檢測發現、分析研判、響應處置和情報預警，最終建成針對安全漏洞的持續檢測和閉環跟蹤完整體系。

03.下一代安全運營

下一代安全運營體系圍繞業務資產出發，包含人員、技術、流程三大模塊，呈現出安全工具智能化、安全流程自動化、安全服務標準化三大特征。

同時，數據安全運營體系是下一代安全運營發展的重要方向。數據安全運營包含數據資源安全運營、數據安全策略運營、數據安全風險運營、數據安全事件運營，圍繞數據進行資產盤點、分類分級、安全評估、安全防護等落地執行策略，從而實現數據安全治理閉環。

網絡安全有三種主要推動力：法律法規政策驅動、安全事件推動和行業需求推動（金融、能源行業等）。

很多用戶年年都會使用安全測評服務，但其實還未將測評服務產生的數據、報告和行為等數字化。數字化的安全合規，需要通過對漏洞特征、合規數據、整改數據等安全大數據進行挖掘、清洗和分析，最終會形成包含資產態勢、漏洞態勢和數據態勢等在內的全方位安全合規態勢分析。

04.安全合規助力數字中國

數字應用不能沒有安全屬性，安全并非孤立存在的。

在信息系統設計、建設和驗收中，其實就應該融入思考等保合規、密碼合規、數據安全、風險評估以及關基安全等因素，這就要求其建設商、運營商等須自帶“安全屬性”，相互聯動、相互支持和相互配合，才能幫助客戶落實安全問題。

應切實地將等保合規、密碼合規、關鍵基礎設施保護和數據安全深度融入到智慧城市、智慧政務、智慧醫療等數字應用場景中，以安全合規為基礎，以技術創新為驅動，助力數字中國。