2026新一代企业网络安全框架解决方案

以新一代企业网络安全框架

助力数字化业务发展

十大工程五大任务注释：企业（Enterprise）是指有明确的任务/目标和边界的组织，使用信息系统来执行该任务，并负责管理自身的风险和性能。从系统论的角度看，Enterprise指某种为特定任务目的建立起来的复杂大型组织机构或复杂组织体。

“企业”与其他词汇组合而形成一系列新的词组，如信息企业、企业服务、企业信息环境和企业架构等。

十大工程、五大任务名称新一代企业网络安全框架 -十大工程、五大任务内生安全框架 -十大工程、五大任务正式名称：简化名称：本次内部培训的目标针对一线会和销售一同递送“十工五任”材料的技术同事，要能够说清楚资料的作用，并发掘两类机会：十四五大行规划机会、短期的解决方案与产品机会；能够与客户进行互动，并进行两类机会的识别，与内部传递；负责解决方案的同事，为识别在十四五大框架下，为公司主力领域的方案开发路径做准备负责集成交付与安全运行的同事，为后续的大型方案的集成落地，进行准备。目前搜集头部客户名单行业：300个左右；区域：1000个规划攒局：大型客户有明确的规划工作目标由战规、解决方案、集成交付，形成完整规划及项目储备库，逐年落实短期方案：客户受到启发，希望仅就其中几个领域快速落地由售前-行销-产品交付，形成眼前项目的落地交付十大工程五大任务全景新一代身份安全重构企业级网络纵深防御数字化终端及办公环境安全面向云的数据中心安全防护面向大数据应用的数据安全防护面向实战化的全局态势感知体系面向资产/漏洞/配置/补丁的系统安全防护工业生产网安全防护内部威胁防控体系密码专项实战化安全运行能力建设应用安全能力支撑安全人员能力支撑物联网安全能力支撑业务安全能力支撑十大工程五大任务培训内容及其结构以网络安全体系规划助力企业数字化业务运营以系统工程方法论为指引开展网络安全体系规划内生安全框架讲解（十大工程、五大任务）第一课第二课第三课对国家网络安全战略的理解对企业数字化转型的理解数字化转型中业务运营安全保障的重要性10+5的必要性、重要性、用法企业安全架构设计实例系统化网络安全体系规划的方法十大工程、五大任务重点专项讲解战略指引方法指导带着问题听后续的内容我们常听见但可能缺乏深入思考的问题体系化指的是什么？顶层设计指的是什么？对安全规划的常见理解有哪几种？用不同的视角看企业的网络安全是什么样子的？三个问题10+5是什么？为什么需要10+5？如何使用10+5？10+5是什么？10+5是新一代企业网络安全体系框架。架构？框架？2者关系？什么是框架：框架（Framework）是整个或部分系统的可重用设计，表现为一组抽象构件及构件实例间交互的方法;另一种定义认为，框架是可被应用开发者定制的应用骨架。前者是从应用方面而后者是从目的方面给出的定义。什么是架构：架构，又名软件架构，是有关软件整体结构与组件的抽象描述，用于指导大型软件系统各个方面的设计。——百度百科架构是一种系统化设计方法（思想），如：EA;框架是一组基于最佳实践、标准的组合，是对架构思想的继承，重点在于可参考、可复用、可裁剪。如：NIST80010+5不是什么？10+5：不是规划交付物。--10+5定位是一套框架，其作用是：给客户借鉴，引导客户做规划。但其本身不是规划交付物（交付物要根据具体需求适配）。不是解决方案。--10+5瞄准十四五，扩大总盘子为目标，可以牵引出落地建设项目，但其本身不是解决方案。不是产品资料--10+5是一个巨型体系的框架，不关注局部某一个产品的特性。但通过规划，可以明确企业未来应该采用哪些安全产品。10+5对企业安全体系建设的意义——用正确的方法，构建安全体系大型机构的信息化、网络安全极其复杂，对于极其复杂的东西，必须以顶层设计思想、结构化的思维、体系化的方法才能做到“化繁为简”。10+5为什么能做大总盘子？在计划型企业的经营模式下，通过规划可以预定3-5年的投资总规模，提早介入并影响规划将起到关键作用。10+5的目的是在十四五这个契机上介入政企的规划工作，帮助企业安全明确目标、方向和任务，然后要（扩）资金、要岗位、要政策，使后期项目建设有足够的资源和政策推动力。论证企业网络安全领域的关键举措，阐述项目的重要意义和作用，制定网络安全建设方向，明确3-5年的投资额度。覆盖范围、能力体系、建设要点。举措：技术工程或管理类机制在规划的范围内，对某一工程的可行性研究。通常对规划以外的不考虑。对可研通过的进性工程设计，开始建设通常其投资额度在规划的范围内微调，总体格局已定今年，是拿下头部客户十四五规划，扩展未来3-5年项目规模的最佳时间。规划可研建设10+5彩页的使用指南能力框架不可缺失的关键能力项目定义的能力范围参考项目目标的能力分解描述整体架构通过系统工程方法设计的整体架构项目规划的目标状态项目可研总体架构的设计依据对投标方案进行架构评判的参考概要设计架构的参照起点实施过程中的按图定位选择解决方案的比对检查概述对项目目标、核心举措及效果作用的高度概括阐述项目的重要意义和必要性从规划到可研的、一贯秉承的项目定义对项目建设范围和主要方向的指引建设要点/实施要点基于系统工程方法设计及分析的工作要点和技术要点项目定义的范围和要点项目可研的技术路线、设计原则、落实要点、重点领域的模式和方法招标必须做到的工作要求，招标关键技术指标设计的方向指引概要设计总体架构的参考起点对运行中需要考虑的要点进行提醒作为选择技术、产品和方案的检查项与IT业务关键聚合点强化项目必要性明确项目的参与方和工作范围指导可研中需要覆盖的工作聚合面评估投标方案的聚合覆盖程度指出建设和运行中需要协同联动的领域选择产品与方案时便于对以上要点的评判参考覆盖面明确项目作用影响范围明确项目定义的范围明确项目部署范围建成系统/平台/交付成果作为项目成果产出作为与业界产品和解决方案的对应参照关键技术热词加强项目技术方向的领先性引导与行业趋势的对标作为扩展了解知识领域的参考目录对接系统明确作用影响系统范围明确集成对接范围工程主要参与方明确项目定义及可研的主要参与方明确工作中需要加强合作系统联动的部门10+5彩页的使用指南理解10+5的工作层级因为规划的本质是推行企业治理的公文，政治正确、方向明确、任务具体、责任清晰最为关键。--在10+5中完全涵盖了这些内容的关键点。10+5，能在规划层定方向、在体系层见全景、在建设层约束关键点。通过10+5帮助企业做规划，论证任务和资源需求的必要性、合理性、可行性，牵引出若干关键工程。顶层设计在战略（治理、管控）层工作，解决方向性体系蓝图在战术层工作，解决体系完整性，演进路线建设方案在执行层工作，解决工程立项审批常见的三种对“规划”的理解10+5是什么？——结论10+5是一组基于最佳实践、标准、研究成果的安全能力集合（框架），它继承了复杂体系设计思想，以体系化、全景化、协同化的方式设计了15个领域的整体架构与关键要点，以可参考、可复用、可裁剪的方式，对企业规划建设网络安全体系提供借鉴。三个问题10+5是什么？为什么需要10+5？如何使用10+5？国家战略背景安全战略数字化转型政企需要10+5我司需要10+5安全战略背景——以“统一谋划”为起点，推进“四个统一”《国家网络空间安全战略》提到“没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。“网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。——摘自：2016年4月19，习近平总书记在网络安全和信息化工作座谈会上的讲话关键点：网络安全是一项专业化、系统化很强的工作，不是靠拼凑几个产品，就能解决安全问题，必须从顶层设计角度，加强安全体系化设计和建设。安全是动态发展的，随着信息技术的变化而演进。因此必须使安全建设和信息化建设强关联，加强安全与信息化发展深度融合。“安全是发展的前提”，安全的价值在于有效保障和促进业务发展，因此须要从安全的视角进行安全性管控，方可确保业务的可持续。法律规范——坚持依法依规，承接国家网络安全战略企业安全体系规划，须落实三个层次的安全要求：承接国家战略，遵循标准规范、满足行业监管要求。以重大项目为抓手、合理调配资源、完善管理机制，使网络安全体系建设工作能够得到充足保障和有力推动《中华人民共和国网络安全法》《网络安全等级保护基本要求》《关键信息基础设施安全保护条例（草案征求意见稿）》......《国家网络空间安全战略》《网络空间国际合作战略》......《ISO27000系列标准》《信息安全技术大数据安全管理指南》

......国家战略法律法规标准规范数字化转型——信息技术与业务运营深度结合、融为一体数字化转型是在信息化极大的降低了政企机构运营成本的基础上，进一步把信息技术与政企机构业务运营、管理流程融合在一起形成了新的业务运营模式，显著提升了业务运营效率和效益。业务业务IT支撑IT支撑客户企业传统业务运营客户企业数字化业务运营传统业务模式新业务模式传统的企业业务运营模式以降低运营成本为主要目的IT技术支撑业务运营网络安全作为后台的安全保障，与业务运营弱相关数字化转型期业务运营保障的新特性：安全保障数字化业务需求，各领域单打独斗不能解决问题安全保障是业务发展的前提，不安全，则无业务安全与业务强关联、深融合、强管控新的企业业务运作模式以提升企业效率、效益为主要目的IT技术和业务运营融合，数据直接参与生产、销售网络安全保障业务运营，与业务强相关数字化转型——新信息技术应用为政企带来巨大的创新红利以物联网、云、大数据、移动应用、5G、智能制造为代表的新技术应用，成为了推进政企业务创新与效益增长的新动力。但与此同时也会引入新风险，暴露面剧增。物联网移动互联网大数据产业快速成熟政府企业迅速数据化智能革命爆发政府决策、移动协同、数字医疗、数字城市、智能制造、数字营销……新基建——数字化基础设施是新型基础设施的核心“新基建”将进一步加快数字化进程！中央经济工作会议把5G、人工智能、工业互联网、物联网等新型基础设施建设列为2020年经济建设的重点任务之一。与传统基建相比，新型基础设施建设内涵更加丰富，涵盖范围更广，更能体现数字经济特征，能够更好推动中国经济转型升级。2019年，在中国宏观经济发展“六稳”的总基调下，新型基础设施建设必将为新一轮经济增长提供强劲动力。构建新基建内生安全体系！“新基建”应以“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”为指引，遵循“三同步”原则，以体系化规划建设网络安全的模式，构建安全与信息化“深度融合、全面覆盖”的内生安全体系，保障数字化业务运营。三个问题10+5是什么？为什么需要10+5？如何使用10+5？国家战略背景政企需要10+5在战略层落实国家要求，应对数字化风险在战术层解决具体的网络安全问题我司需要10+5数字化的战略层风险——数字化是一条不可逆转的必由之路！蒸汽机电力信息化数字化每一次产业革命都使生产力水平发生翻天覆地的变化，产业进化是不可逆的历史洪流。数字化化转型对政企单位的运营模式是颠覆性的、不可逆转的，传统的信息化模式也将无法支撑新经济环境下的业务要求数字化战略层风险——数字化时期，网络安全风险等同于业务运营风险信息技术与业务运营深度结合结合、融为一体，促使网络安全风险更具有实质意义，网络安风险等同于业务运营风险。数字化深远的影响产业变革，形成新的生产方式、产业形态、商业模式，同时也带来新的风险和挑战。物联网、云、大数据、移动应用、5G、智能制造等新技术的应用也引入了更多风险，攻击面呈几何级数增长。生产安全社会安全国家安全震网Stuxnet攻击伊朗核电站

乌克兰电网攻击国家级APT攻击愈演愈烈勒索蠕虫影响多国的政府机构、医疗、公共服务等设施；国内多次大规模数据泄漏；多国银行因SWIFT攻击遭受数亿美元损失；勒索蠕虫使得台积电、车企等制造业停工；符合威胁国家安全、影响国计民生、危害公共利益等上述一条即为关键信息基础设施。一失万无！三个问题10+5是什么？为什么需要10+5？如何使用10+5？国家战略背景政企需要10+5在战略层落实国家要求，应对数字化风险在战术层解决具体的网络安全问题我司需要10+5安全事件举例——勒索攻击从未间断、防不胜防2017年5月，永恒之蓝勒索攻击全球100多国家，利用NSA泄漏的“永恒之蓝”黑客武器传播，可远程攻击Windows的445端口，如果系统没有安装最新的微软补丁，无需用户任何操作，就能感染勒索病毒。2018年8月，GlobeImposter攻击某重要机关，全国范围内多个机构被攻击。2019年1-3月，LockerGoga勒索软件袭击了四家全球化工巨头企业，造成网络和系统中断，受害企业工厂运营受影响损失惨重。2018年2月GlobeImposter攻击医院服务器，通过弱口令爆破后利用3389远程登录，黑客使用自动化攻击脚本，用密码字典暴力破解管理员账号，卸载杀毒软件，植入勒索软件。2017年6月，NotPetya勒索攻击乌克兰和欧洲，该勒索软件通过被感染的财务软件M.E.Doc的软件更新系统传播，NotPetya只通过LAN传播，不通过互联网传播。2018年8月，台积电三大芯片生产工厂感染永恒之蓝勒索病毒，生产线被迫停产。次事故台积电约损失5.84亿元。2018年9月，GlobeImposter多地政府机关被攻击，对外业务无法开展。2020年3月，发现利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，对抗击疫情的医疗工作领域发动APT攻击。2019年3月，据国家网络与信息安全信息通报中心监测，GandCrabV5.2自3月11日开始在中国攻击了上千台政府、企业以及相关科研机构的电脑。2020年2月，境外黑客组织声称，以我国多家视频监控系统作为攻击目标对我国发起网络攻击每一次产业革命都使生产力水平发生翻天覆地的变化，产业进化是不可逆的历史洪流。数字化化转型对政企单位的运营模式是颠覆性的、不可逆转的，传统的信息化模式也将无法支撑新经济环境下的业务要求安全事件举例——数据泄露事件频发，动辄上亿条数据泄露2018.03Facebook公司的8,700万用户数据遭到泄露，并被违规滥用2018.08华住集团旗下酒店1.3亿用户注册资料和开房记录遭泄露2019.032018.09喜达屋酒店顾客预订数据库被黑客入侵，5亿人次个人信息遭泄露新加坡HAS80万+献血者的血型，身份证，体重和其他数据被泄露2020.01微软的Access数据库应用程序存在一个漏洞，可能会导致敏感信息的意外泄露，涉及85000家企业安全事件举例——内部威胁防不胜防泛内部人员不可靠2016年，希拉里竞选团队成员收到黑客发送的一封钓鱼邮件，导致邮箱被成功入侵，大量邮件泄露。被钓鱼2018年，加拿大某汽车供应商的数据库遭攻击，可以轻松访问到合作伙伴近47000份机密文件。供应链2016年，美国国家安全局一家外包商员工在过去20年窃取文件，获得至少5亿页政府档案，包括涉及军事行动的绝密资料。外包商一位军工专家出国期间被境外间谍组织收买，把我国尖端武器的机密透露给了国外情报机关。被收买2018年，某互联网科技公司的一位员工通过使用管理员权限插入代码，盗取该公司100个比特币留后门长期窃取金融交易敏感信息的APT组织—“黄金眼”2004年渗透大量证券基金保险相关的组织机构，对所渗透的网络资产进行长期地秘密控制，读取数据牟利2012和2014年出现了两次攻击高峰主要攻击对象为基金、证券、保险、理财和资产管理等多种类型的境内金融机构2015年10月公司接到某基金网络入侵应急请求发现网络内的核心交易服务器被定时从受控客户端读取数据，还有大量其他计算机系统被木马感染2015年12月通过样本分析，发现该组织分工明确，包括工具开发、免杀及植入人员、操作变现的人员等，其攻击工具有长期的版本升级和功能演化，很有可能为证券机构提供软硬件服务的人员参与。调查后发现该组织伪装成一个合法的软件开发企业，通过恶意程序窃取其他金融机构的敏感交易信息，进而将这些交易信息作为投资情报，赚取非法超额利润安全事件举例——APT攻击从未停歇HW——面对一场“有准备”的防御战，政企IT系统“鲜有”保全攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取该部委目标系统一、目标系统二、某核心业务系统、邮件系统等权限，并通过ITSM运维监控管理平台/堡垒机可以控制数千台内网服务器系统权限。获取覆盖全国的目标系统数十服务器权限，某省通过渗透搭建代理跳板经由互联网>互联网内网>隔离专网获取FP电子底账核心数据库权限、FP查询缓存服务器权限，可实时查询13亿条FP数据；获取某省核心业务查询数据库权限，可实时查询1.7亿数据。发现多个系统存在SQL注入漏洞，通过数据库提权，可以获取该金融机构保险、基金、员工等信息，同时通过代码审计，发现在线客服系统（Live800）存在任意文件上传0day，成功获取服务器权限；发现某寿险系统存在越权，可以越权查看几百万保单信息。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取两个域控制器权限、110多万域内用户权限，同时获取SSO认证系统、DNS系统、账号管理系统、邮件系统、工控端网关产品、Y卡控制、Y卡调度员培训、TR气、网络视频监控等权限、内外网数千台服务器权限。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取官网FMS融媒体制作发布平台权限，同时获取核心数据库、内外网多台服务器权限。部委1部委2某能源企业某金融机构某媒体搭建了与其业务系统数据中心完全一致的模拟环境，进行安全性测试。针对不同的使用场景，共设计了4个测试科目，整个测试历时5天，最终，模拟攻击者突破了所有4个场景的安全防护手段，获取了指定文件或取得了系统控制权。某部“HW2019”奠定最强防守地位参与防守客户的数量业界最多120个防守单位，奇安信参与了50%的单位防守，包括141个防守项目现场，护网防守投入人数为其他友商的总和。奇安信参加的所有防守客户中，100%采用了“天眼”设备进行威胁检测和攻击事件研判分析。头部行业客户防守成绩最佳部委：31家部委单位奇安信为21家提供防守，排名前15的单位有13家奇安信提供防守。央企：33家央企单位奇安信为19家提供防守，排名前15的单位有12家奇安信提供防守。运营商：为移动、联通两家运营商总部提供防守，同时为38家省级运营商单位和部门提供防守。协同防守超七成金融客户27家金融单位，奇安信为19家提供防守，排名前15的单位有11家奇安信提供防守，排名前五的单位有4家奇安信提供防守，并列第一的4家单位有3家由奇安信提供防守。数字化战术层风险——企业网络安全工作中存在的问题缺基础：安全体系基础设施不完备，缺口太大，更谈不上提升。缺广度：安全对信息化环境的覆盖面不全，盲点导致整个安全体系失效。缺深度：与信息化各层次结合程度不高，不深入，两张皮缺钱：资源保障长期不充足。因为不知道在那些地方花钱，以为花够了。规划里面没定义出来要花钱的任务，总盘子小。认为不值得化。数字化转型的行业，都值得，否则一失万无。缺应急：应急能力就绪度低缺条令：安全运行可持续性差。大量隐形工作未显化，不知道干什么事情，没有人干。缺地位（不重视）：未能真正成为业务的一部分。与信息化的距离太远，与业务更远。主要问题缺方法（不懂）：未能像IT一样采用类似EA的方法论指导，缺乏企业级安全架构，安全建设不成体系，形成了局部整改模式。零敲碎打，缺乏管控缺人：因为规划里面没把工作任务显性化出来，企业不知道需要那么多人干嘛？！以为不需要缺技术：广度不足、深度不深，落地不到位。能力不足：识别不出真技术，被忽悠。缺产品落地：需求是否放进了规划中，作为举措？是否有预算保障？（企业会因利而动，在规划期内形成产品方案），本质是缺规划、缺资源。缺协同：用了很多技术，整合不起来，零碎化，发挥不了作用。缺运行：运行不闭环。大量隐性工作，没有纳入运行；应急能力差；部门协同障碍。安全建设从未停止但网络安全问题依然严重数字化战术层风险——企业网络安全工作中存在的问题缺基础：安全体系基础设施不完备，缺口太大，更谈不上提升。缺广度：安全对信息化环境的覆盖面不全，盲点导致整个安全体系失效。缺深度：与信息化各层次结合程度不高，不深入，两张皮缺钱：资源保障长期不充足。因为不知道在那些地方花钱，以为花够了。规划里面没定义出来要花钱的任务，总盘子小。认为不值得化。数字化转型的行业，都值得，否则一失万无。缺应急：应急能力就绪度低缺条令：安全运行可持续性差。大量隐形工作未显化，不知道干什么事情，没有人干。与业务融合度不高：未能真正成为业务的一部分。与信息化的距离太远，与业务更远。主要问题缺方法：未能像IT一样采用类似EA的方法论指导，缺乏企业级安全架构，安全建设不成体系，形成了局部整改模式。零敲碎打，缺乏管控缺人：因为规划里面没把工作任务显性化出来，企业不知道需要那么多人干嘛？！以为不需要缺技术：广度不足、深度不深，落地不到位。能力不足：识别不出真技术，被忽悠。缺产品落地：需求是否放进了规划中，作为举措？是否有预算保障？（企业会因利而动，在规划期内形成产品方案），本质是缺规划、缺资源。缺协同：用了很多技术，整合不起来，零碎化，发挥不了作用。缺运行：运行不闭环。大量隐性工作，没有纳入运行；应急能力差；部门协同障碍。安全建设从未停止但网络安全问题依然严重数字化战术层风险——企业网络安全工作中存在的问题缺基础：安全体系基础设施不完备，缺口太大，更谈不上提升。缺广度：安全对信息化环境的覆盖面不全，盲点导致整个安全体系失效。缺深度：与信息化各层次结合程度不高，不深入，两张皮缺钱：资源保障长期不充足。因为不知道在那些地方花钱，以为花够了。规划里面没定义出来要花钱的任务，总盘子小。认为不值得化。数字化转型的行业，都值得，否则一失万无。缺应急：应急能力就绪度低缺运行：安全运行可持续性差。大量隐形工作未显化，不知道干什么事情，没有人干。缺地位（不重视）：未能真正成为业务的一部分。与信息化的距离太远，与业务更远。主要问题缺方法（不懂）：未能像IT一样采用类似EA的方法论指导，缺乏企业级安全架构，安全建设不成体系，形成了局部整改模式。零敲碎打，缺乏管控缺人：因为规划里面没把工作任务显性化出来，企业不知道需要那么多人干嘛？！以为不需要缺技术能力不足：识别不出真技术，被忽悠。缺产品落地：需求是否放进了规划中，作为举措？是否有预算保障？（企业会因利而动，在规划期内形成产品方案），本质是缺规划、缺钱缺协同：用了很多技术，整合不起来，零碎化，发挥不了作用。缺运行：运行不闭环。大量隐性工作，没有纳入运行；应急能力差；部门协同障碍。在诸多问题中，根源的问题是：网络安全缺乏与EA、ITIL同等层次的、以复杂系统思维引导的规划与建设实践，导致形成了以“局部整改”为主的安全建设模式，致使网络安全体系化缺失、碎片化严重、协同能力差、可弹性恢复能力严重缺失，网络安全防御能力与数字化业务运营的高标准保障要求严重不相匹配。这种局部整改模式，造成惯性的认知，安全就是买盒子。本质上是安全观念、模式被错误的固化了，企业看不见安全全景、不知道如何搞数字化时代的安全。原因分析1——从传统IT向新一代IT转变过程中，企业对网安的要求发生了根本变化自2006年我国推行网络安全等级保护制度以来，政企机构已建成了基础性安防体系，保障了业务的运行；但面对数字化转型，仅以合规为导向的网络安全建设已经难以达到政企数字化业务运营的保障高标准要求，在合规基础上要进一步以实战化、体系化、常态化的思想，构建保障业务运行的新一代网安体系。政府报告中首次提出“智能+”概念20192016政府报告提出大力推进“互联网+政府”2017“数字经济”首次被写入政府工作报告《等保2.0》《关基保护条例》1994国务院发布了“147号令”十三五国家信息化规划：建立统一开放的大数据体系构建现代信息技术体系建设泛在信息基础设施体系《等保1.0》时期传统IT新一代IT系统从以数据业务为核心的，以云计算+物联网+大数据、人工智能、移动互联网等新一代IT技术设施为支撑的新一代信息化和业务系统。《网络安全法》2008数字化转型！原因分析2——网络安全缺乏与信息化EA同等层次的方法论，安全建设缺乏体系化数字化：核心业务运行在IT之上，“新基建”IT变成一种服务，对业务的作用加剧IT体系规划：企业架构（EA）、服务管理、运维管理（ITIL）比较原始的信息化，辅助性的。内生安全：体系化的、内生的、主动的、三同步安全变成能力：可运行的，可与信息化结合的合规需求：分散的、局部的、从旁模式几乎没有、事件应激的信息化发展历程网络安全发展历程企业架构(EnterpriseArchitecture，EA)方法论对信息化发展起到很大的作用，引导规划建设了大规模、体系化、高效整合的业务运营体系;网络安全缺乏与EA同等层次的、以复杂系统思维引导的规划与建设时间，导致形成了以“局部整改”为主的安全建设模式，致使网络安全体系化缺失、碎片化严重、协同能力差，网络安全防御能力与数字化业务运营的高标准保障要求严重不相匹配。企业网络安全普遍问题总结在诸多问题中，根源的问题是：网络安全缺乏与EA、ITIL同等层次的、以复杂系统思维引导的规划与建设实践，导致形成了以“局部整改”为主的安全建设模式，致使网络安全体系化缺失、碎片化严重、协同能力差、可弹性恢复能力严重缺失，网络安全防御能力与数字化业务运营的高标准保障要求严重不相匹配。这种局部整改模式，造成惯性的认知，安全就是买盒子、就是做合规。本质上是安全观念、建设模式被错误的固化了，企业看不见安全全景、不知道如何搞数字化时代的安全。三个问题10+5是什么？为什么需要10+5？如何使用10+5？国家战略背景政企需要10+5我司需要10+5

内生安全理念及其三大特征内生安全定义：网络安全进化到了“内生安全”时代，需要从单一的围墙式的防护，演变为与业务系统融合的多重、多维度防御。因而要从信息化环境中不断生长出自适应、自主和自成长：模式转变将“局部整改”模式转变为体系化规划建设模式秉承理念以“内生安全”建立数字化环境内部无处不在的“免疫力”最佳实践引入“零信任”安全范式，在做好网络边界及网络段防护的基础上，进一步围绕人员和资源做好安全防护明确原则以“三同步”原则，落实安全和信息化的“全面覆盖、深度融合”，建设网络安全基础设施和实战化运行体系三个聚合网络安全与信息化的技术聚合、数据聚合、人才聚合，为信息化环境各层面及运维开发等领域注入“安全基因”。网络安全定位根据“一体两翼、驱动双轮”定位网络安全战略，“关口前移”，以统一谋划为起点，落实“四个统一”。目标：保障业务实现全方位的网络安全防御能力体系，保障数字化业务安全。内生安全方法论内生安全的落地实现需要新机制保障新机制机制保障：将信息化建设与运维工作同网络安全的防护与响应过程结合，达到工作任务事项级别的深度绑定，实现二者的同步规划、同步建设、同步运营。

技术聚合数据聚合人的聚合为信息化发展的各个领域、各个层面注入安全基因，融入多样化的安全防护机制，实现网络安全与信息化的深度结合，并覆盖信息化环境的方方面面，实现全面覆盖、深度结合、实战运行、协同响应。安全数据的驱动，是实现威胁感知、有效运营、协同指挥、快速响应的关键保障；业务访问数据对于业务运转状态、IT风险有着至关重要的作用，二者在安全实践中互为驱动，才能让运营变得有活力。技术聚合、数据聚合归根结蒂还是要靠人的聚合：首先要保证建设运维与防护响应的职责融合；其次IT技能与安全技能要实现融合。懂安全的IT人才、懂IT的安全人才都是当下安全人才市场最为迫切的需求。内生安全需要以“三同步（同步规划、同步建设、同步运行）”为机制保障，以三个聚合（技术聚合、数据聚合、人的聚合）为落地保障。以“内生安全框架-十大工程、五大任务”进行体系规划设计与建设运行落地，从而构建新一代企业（级）网络安全体系。我司对10+5的定位：内生安全框架信息化运维安全技术与信息化技术的聚合内生于信息化技术环境应用开发政企数字化业务十大工程五大任务项目规划能力保障运行安全运行与信息化运行聚合内生于信息化工作环境聚合规划设计建设目标状态内生安全技术体系平台间的运行状态通过10+5，以内生安全思想为指引，形成企业中实实在在的规划举措（建设工程或任务），从上至下一种思想，一以贯之。10+5与内生安全的三个聚合之间的联系通过10+5与国家大工程之间建立联系是信息化、数字化的运营，在国家能力的覆盖。要能够帮助社会公共利益、关系国计民生的关键基础设施、国家安全进行“兜底”保护与全局指挥。国家级大工程配合“新基建”，也要有工程、任务，从而与国家层面所匹配。不能只是简单孤立的项目建设，要构建有模式、有体系、有全景的网络安全能力体系，与国家级工程进行协同、驱动。从而提升中国整体的网络安全水平。企业内部：十大工程、五大任务为什么需要10+5？——结论传统的安全观念、模式、方法已达不到数字化转型的高标准要求。而数字化转型+十四五规划是解决此问题的最佳契机。秉承我司“内生安全”理念，为帮助企业建立数字化环境内部无处不在的“免疫力”，10+5应运而生，其内容覆盖了解决上述所有问题的关键思路。三个问题10+5是什么？为什么需要10+5？如何使用10+5？筛选合适的客户。通过10+5对政企提出关键建议，决策者认可并达成共识。通过10+5对政企提出的关键建议随着“十四五”期间数字化转型深入推进，政企机构网络安全形势将愈发严峻，网络安全能力不仅要达到监管要求，更需要面向实战，保障数字化业务：模式转变——应避免“以偏概全”的传统模式，转而以全覆盖、层次化思路进行规划设计体系化规划、设计和建设——以系统工程方法论来指导网络安全体系的规划、设计和建设工作叠加演进提升——以围绕网络的纵深防御体系为基础，进一步围绕数据确定防御重点实战化运行——将人防技防相融合，围绕人员开展面向实战的安全运行，持续运行保障业务打破“紧平衡”——规划出预置的可扩展的能力，预留出必要的应急资源，应对重大不确定性风险建议1：模式转变——传统安全建设模式达不到数字化业务高标准要求，亟需转变以“一体之两翼、驱动之双轮”作为其信息化和网络安全的战略定位，以“统一谋划”作为落实“四统一”的起点，在做好“关口前移”的基础上，进一步加强网络安全防护运行工作，将“局部整改”模式转变为体系化规划建设模式，以系统工程方法论来指导网络安全体系的规划、设计和建设工作业务战略IT战略功能/机制业务规划…角色/信息应用需求应用架构IT规划数据架构技术架构继承继承企业战略规划信息化架构规划建设方案落地项目1…项目n任务1…任务n业务和IT解决方案指导指导网络安全法律法规政策（安全战略）安全规划安全建设企业战略融入融入融入驱动支撑驱动支撑指导继承安全规划的战略支撑作用安全体系规划是“腰”，起到承上启下的作用，继承企业安全战略思想。安全规划应促进安全要求在信息化建设中得以融合，有效的指导安全建设落地。建议2：体系化规划——继承安全战略，体系化规划安全体系，指导安全建设技术管理运行叠加演进能力结合矩阵概念构想逻辑实现建设项目识别与定义防御体系总体架构高阶逻辑架构（模块）系统级总体架构（子系统）系统设计方案（产品）开发/部署/实施应用系统产品技术职责体系设计部门级组织结构设计实战化运行构想（全景图）详细组织结构设计角色与岗位定义绩效管理设计定岗定编能力培养...人员招聘运行领域识别与定义高阶流程图详细流程图运行衔接接口设计条令化的SOP详细操作指南管理

控制管理政策管理办法技术规范操作规程技术指标技术

控制技术政策配置策略制度管理体系设计制度/控制文档体系合规要求建议2：以复杂的系统工程方法论指导网络安全建设规划工作层专项建设方案建议3：叠加演进提升——安全与信息化分层解构，深度融合，全面覆盖分层解构、异构兼容管理平面与业务平面分离，各自分层解耦，逐层内嵌相应的安全能力。深度结合、全面覆盖云内、云外的安全能力相互结合，依托管理与租户的业务流程平滑演进，覆盖建云、上云、用云、退云的全生命周期环节。应用安全主机安全网络安全云安全管理/安全资源服务虚拟化安全主机安全网络安全设备安全数据安全云平台云租户物理设备层虚拟化层租户网络层物理网络层平台主机层租户主机层租户应用层租户数据层被动防御基础架构安全主动防御威胁情报安全域划分安全域划分Web安全防护数据加密数据备份网络访问控制网络入侵防御数据泄露检测数据安全分析网站安全监测业务行为分析网络威胁检测网络攻击诱捕CWPP主机行为分析威胁情报安全态势感知/安全大数据/APT检测可信计算国产/自主可控硬件国产操作系统虚拟化隔离镜像文件安全SDL开发安全源代码安全日志审计/运维审计配置/系统加固配置加固国产操作系统数据分级分类主机入侵防御恶意代码查杀主机入侵防御恶意代码查杀身份管理及认证/权限管理完整性保护CWPP主机行为分析网络威胁检测网络攻击诱捕组件安全加固资源/组件访问控制虚拟资源运行监控叠加演进的安全能力滑动标尺配置/系统加固网络访问控制网络入侵防御云管理/资源服务层云安全管理安全资源服务分层解构、异构兼容管理平面与业务平面分离，各自分层解耦，逐层内嵌相应的安全能力。深度结合、全面覆盖云内、云外的安全能力相互结合，依托管理与租户的业务流程平滑演进，覆盖建云、上云、用云、退云的全生命周期环节。建议3：叠加演进提升——安全与信息化分层解构，深度融合，全面覆盖建议4：建立实战化运行模式——从配合模式演进为运营模式建议4：建立实战化运行模式——安全思维从配合模式演进为运营模式每个子领域形成小闭环，在子领域内处置解决。设计多个子领域协同的，通过流程打通，形成大闭环。每个闭环，都能定位到组织中的具体负责人或机构。建议5：从抗“疫情”得到启发——预置的可扩展能力，预留应急资源，应对重大不确定性风险充分考虑随时可能突发的网络安全威胁升级情况，须本着“宁可备而不用、备而少用，不可用而不备”的原则，在建设中预置可扩展的能力，在运行中预留出必要的应急资源，确保在面对网络空间重大不确定性风险时数字化运营不会受到重大影响。冠状病毒抗疫网络安全工程规划作为城市的主管，如何能扛到“不崩盘”？留有“备而不用”的资源防止“用而不备”的紧平衡打破“紧平衡”，为对抗可能遇到的威胁层级，输出“有余量”的安全能力–系统/平台/体系工程/运行叠加演进戴口罩、自我隔离、环境消毒、社区管理城市交通管制、发热分诊专门医院：火神山/雷神山、专项收治基础结构安全纵深防御积极防御运行火神山医院急招安全运维志愿者“运行”的重要性复杂系统武汉红会的物资发放–物流问题-理论简单性vs实践复杂性；-处处存在的不确定性系统安全–资产、漏洞、补丁不确定性与非完美数据才需要“数据驱动”网络安全体系咨询规划案例GA大脑安全规划与建设金融行业网络安全咨询规划政府部委安全规划与建设牵头GA部大数据智能化建设的网络安全保障体系规划设计；进行GA部及地方多省市GA态势感知系统的规划设计与建设；进行GA系统安全监测大数据平台的设计与建设；进行GA系统跨网跨域数据交换，及移动警务安全防护的设计与建设。人民银行业务网安全体系规划设计，涵盖云安全、大数据安全、移动安全、身份安全、网络安全完整体系；平安银行安全咨询设计；民生银行安全咨询设计；招商银行态势感知体系设计；深证通金融业安全规划。……国家税务总局十三五网络安全规划；国家应急管理部网络安全规划；财政部安全咨询规划，编制财政部网络安全总体策略、工作方案、管理制度、整体预案；智慧水利网络安全规划；电子政务云安全规划：河南省电子政务云安全监管规划设计、扬州电子政务云安全规划设计、无锡电子政务云安全规划设计。保障能源、电网等央企数字化转型军工领域网络安全与保密南方电网十三五安全规划中石油安全体系规划与主要供应商中石化态势感知及威胁情报安全体系设计广东电网数据安全咨询设计中国邮政集团网络安全规划……HJJ十四五安防体系规划中物院战略合作伙伴，规划与设计核领域相关安全工作船舶某研究院网络安全规划设计航天科工智能协同云安全，及IPv6改造网络安全规划设计……范例一：xx集团——全面覆盖网络安全工作涉及的各领域以《公司“十三五”信息化规划》的网络安全为基础，融合xx系统和竞争类业务的网络安全需求，实现全口径和全覆盖。落实国家、行业网络安全政策要求，强化公司安全管控能力。优化管控机制，明确安全管理任务，提升风险预警及应急处置管理能力。完善健全标准规范支撑体系。研究国家、行业标准规范，借鉴国外先进标准“为我所用”。完善技术防护体系，实现安全技防能力全面覆盖。以安全即服务思想构建安全基础设施，提供通用安全服务能力，有效支撑安全运营。健全安全组织机构。明确组织职责、优化协同机制、完善人员管理、加强人员培养、提升人员安全意识。构建闭环的一体化安全运行体系。以安全预警监测平台为技术载体，实现人员、技术、流程的整合，持续输出安全成效。13245范例一：xx集团——提出管控机制，落地管控能力合规管控攻防对抗备案管理安全审查监测预警安全测评126453由信息部统筹协调，强化技术管控。负责对国家、行业监管部门的对接。监督对信息系统的定级、报备、评测等工作。由信息部统筹协调、建立全面审查机制，依法依规对供应商、安全方案、产品服务进行严格审查。由信息部统筹协调、建立安全评测机制，加强对第三方系统监测，上线运行安全评测，自主可控评测，以及软硬件入网安全检测工作。由信息部统筹协调、落实备案管理制度，覆盖所有硬件、软件、数据、媒体等资产。未备案不得上线，下线必须注销登记。由信息部统筹协调、建立覆盖全量资产的安全监测机制，建立监测、预警、通报、研判、处置、溯源、整改的闭环监测运营体系。由信息部统筹协调、建立网络红蓝对抗体系，红军为攻击队，蓝军为防护队，发现问题协同解决。建立攻防人员档案，约束人员行为。安全督查安全通报89由信息部统筹协调，归口管控网络安全督查机制，在网-省两级建立督查队伍，根据督查要求，执行检查任务。由信息部统筹协调、建立通报机制与流程，集团统筹发布网络安全通报，定期召开网络安全通报会议。安全事件属地负责，及时上报。评价考核10由信息部统筹协调、建立网络安全评价与考核体系，作为公司“大安全”体系组成部分。加强直属单位考核，建立考核指标体系。第三方实行成果导向的考核机制。应急管理由信息部统筹协调、各级负责、协同响应、快速处置的应急管理策略。加强应急预案管理，定期开展应急演练培训。7范例一：xx集团——技术领域技术路线安全运营安全运行监测预警平台安全组织安全运营流程安全防护应用安全云平台安全终端与主机安全移动安全统一密码管理安全即服务基础设施统一身份管理统一认证管理统一授权管理统一安全审计以安全基础设施提供全局性统一安全服务以运行监测预警系统为技术平台载体实现技术人员流程的整合以安全资源可按需弹性方式交付安全能力以安全可信与零信任思想强化对终端与主机及用户、应用的安全认证、管控与防护网络安全技防体系以安全动态演进思想，构建以数据和应用为核心的安全防控能力以“安全即服务”思想，构建统一标准的管控与服务能力以整体协同思想，构建基于数据和流程驱动的闭环安全运营能力网络安全边界安全以纵深防御思想强化网络及边界防护能力数据安全大数据平台安全以数据流动视角构建全周期安全防护能力以构建内生安全思想加强应用本体安全能力统一情报平台安全建设以“三同步”，“关口前移”思想加强系统建设全过程的安全管控范例一：xx集团——细化出具体任务，指导未来立项以新一代网络安全保障体系为基础，分解形成“10+1”举措、44项子任务10+1（1）强化网络安全统一归口管理（2）加强网省两级技术监督体系建设（3）加强网络安全运行技术管控与方案审查（4）加强对大集体企业的网络安全管控统筹规划（5）加强与外部单位的合作与联动（6）设计企业安全架构（7）开展网络安全风险评估（8）开展等级保护专项梳理、防护、测评和备案（9）深化网络安全合规管控（10）落实网络安全责任制研究与建设工作（11）健全国产密码管理体系（12）构建网络安全威胁情报及信息共享能力（13）建立关键信息基础设施安全保护机制（14）开展关键信息基础设施安全防护建设（15）完善电力监控系统安全防护能力（16）制定数据安全保护技术标准体系（17）落实数据安全防护措施应用和推广工作（18）加强个人信息、用户数据安全保护（19）完善及优化一体化安全运行监测预警系统（20）健全网络安全信息共享和通报机制,（21）加强互联网安全管控，建设互联网管控平台（22）完善公司的安全漏洞管理体系（23）构建公司级工业控制网络态势感知体系（24）完成国家级网络安全攻防实战演习（25）完善公司级网络安全信息通报中心建设（26）梳理和完善安全运营工作流程（27）加强网络安全应急响应能力建设（28）加快云计算安全技术防护体系建设（29）开展大数据安全防护技术研究并实施（30）开展移动应用安全防护体系研究（31）开展工控网安全防护技术研究（32）开展物联网安全防护技术研究（33）开展IPV4网络向IPV6网络平滑过渡研究（34）持续跟踪研究网络安全新技术（35）推进IT设备及软件国产化应用（36）推广国产密码技术应用（37）建设安全实验室、攻防靶场、漏洞检测平台（38）加强公司海外整体安全保障能力（39）建立电力企业金融业务网络安全防护体系（40）加强电子商务平台网络安全风险管控（41）开展电力市场交易信息系统安全防护改造（42）建设网络安全红蓝军常态化安全攻防机制（43）完善网络安全认证和评价考核机制（44）加强网络安全人才队伍的梯队能力建设1、加强网络安全统筹协调与顶层设计

(1)-(6)2、落实国家政策法规和标准要求

(7)-(9)3、落实公司网络安全主体责任

(10)4、加强网络安全基础设施建设

(11)-(12)5、强化关键信息基础设施安全保护

(13)-(15)6、完善数据安全与内容安全保护措施(16)-(18)7、提高网络安全运行监测预警及应急处置能力

(19)-(27)8、加强新技术、新业务网络安全

(28)-(34)9、提升网络安全自主可控与自主创新能力

(35)-(37)10、加强竞争性业务领域安全保障(38)-(41)11、加强网络安全人才队伍建设

(42)-(44)重点举措范例一：某央企集团——投资估算xx年至xx年公司网络安全总投资额约xx亿元。其中，xxx系统投资xxx亿元，占比65%；xxxx系统投资xx亿元，占比35%。单位投资金额（万元）xxxx系统管理信息系统总部923028350广东电网471407830广西电网242407230云南电网316256830贵州电网312205530海南电网70004910广州局168404880深圳局102506680超高压46204080调峰调频13209280其他014600合计183485100200编号任务投资额1加强公司网络安全统筹协调与顶层设计24502落实国家政策法规和标准要求149203落实公司网络安全主体责任04加强安全即服务基础设施建设102705强化关键信息基础设施安全保护829906完善数据安全与内容安全保护措施76007提高网络安全运行监测预警及应急处置能力1140908加强新技术、新业务网络安全保障108509支持网络安全自主创新与安全可控3521510加强竞争性业务领域安全保障410011加强网络安全人才队伍建设1200xxxx范例二：某央企集团——全面覆盖网络安全工作涉及的各领域针对xx网络安全需求，设计了12345网络安全框架，含义如下：1目标：构建“环境可信、合规可达、风险可控”的新一代网络安全体系，保障企业网络与信息安全。2平台：建设“态势感知平台”和“安全运行管理平台”，支撑安全运营工作开展。3同步：坚持“三同步”与关口前移，在系统全周期融入安全控制，提升“免疫力”。4方面：从威胁预测、防御、检测、响应四个方面开展安全运营活动，构建可持续、闭环，动态演进的安全机制。5板块：安全治理、安全管理、安全监督、安全运营、安全技术。范例二：某央企集团——网络安全组织、岗位及其职责其它控股公司集团网络安全归口管理部门集团网络安全和信息化委员会及办公室xx事业部总部其它部门其他直属单位审计局集团党组综合管理安全运维安全系统建设安全安全运行决策支持网络安全决策层网络安全管理层网络安全执行层安全管理安全审计主营业务和数据安全网络安全监督层内部协调与外部沟通安全决策开发部门基础平台部门数据管理部门安全运营部门综合管理部门集团xx公司各省分公司中后前范例二：三年规划演进路线（项目计划）序号安全建设任务2020年2021年2022年Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q41安全防护工具建设(技术)

2统一身份认证及授权管理体系建设(技术)

3集团层面安全组织建设(管理)

4信息科技公司安全组织建设(管理)

5安全态势感知平台建设(运行)

6PC终端安全管控平台建设(技术)

7广域网边界安全防护建设(技术)

8数据安全管控平台建设(技术)

9资产安全管理平台建设(技术)

10业务安全审计系统建设(技术)

11安全要求落地平台建设(运行)

12安全运营服务(运行)

13等级保护测评服务(监督)

14寄递类业务安全加固(技术)

15应用安全测试工具建设(技术)

16安全管理制度建设(管理)

17数据安全治理服务(技术)

18漏洞检测工具建设(技术)

19安全运营管理建设(运行)

20软件开发安全咨询服务(技术)

21安全培训服务(管理)

序号安全建设任务2020年2021年2022年Q1Q2Q3Q4Q1Q2Q3Q4Q1Q2Q3Q422安全绩效考核建设(监督)

23等级保护工作管理建设(监督)

24云平台安全建设(技术)

25在线类业务安全加固(技术)

26数据脱敏服务系统建设(技术)

27基础密码服务平台建设(技术)

28应用架构安全加固(技术)

29安全合规审计建设(监督)

30IT外包安全风险管理建设(监督)

31移动生产终端采购(技术)

32移动生产终端安全加固(技术)

33防火墙策略管理平台建设(技术)

34非云主机安全防护建设（技术）

35工控-信息网侧安全加固(技术)

36在线业务风控平台建设(技术)

37大数据平台安全加固建设(技术)

38数据安全能力成熟度测评(技术)

39工控网络安全测评服务(技术)

40工控网络安全加固(技术)

41网点互联网化接入改造建设(技术)

42IPv6推广建设(技术)

43广域网SDN改造建设(技术)范例二：2020年度关键任务项目目标完善网络安全防护设备部署，实现网络基础防护能力的重点覆盖，满足等保合规要求，提升网络纵深防御能力。部署网络行为审计、异常检测、攻击诱捕等设备，补齐网络安全检测措施短板，满足等保合规要求，提升持续检测、主动防御能力。项目范围全国中心生产网、互联网项目主要任务互联网扩容网页防篡改系统互联网扩容Web应用安全防护系统生产网服务器区部署网络入侵防御系统扩容运维堡垒机重要边界部署数据泄露检测系统关键节点部署网络安全审计系统关键节点部署网络流量分析系统部署攻击诱捕系统分工界面执行主体：xx信息科技（北京）有限公司配合开展：建设形式对外招标采购；进度计划启动时间：2020年Q1完成时间：2020年Q4投资额度2000万项目目标推进现有统一身份认证系统的使用，提高覆盖率；建设统一Portal，逐步整合多套身份认证及授权管理系统的能力，提高用户身份及权限管理效率，保证系统访问的安全性。

项目范围全国中心生产网、互联网的部分重要应用系统项目主要任务建立全网统一的权威身份源系统；建设全网统一的身份认证系统；建设全网统一的授权管理系统；建设审计与可视化系统；在部分重要应用系统上推广应用。分工界面执行主体：xx信息科技（北京）有限公司配合开展：业务部门建设形式分期建设；2020年第一期进度计划启动时间：2020年Q1完成时间：2020年Q4投资额度5000万1.安全防护工具建设(技术)2.统一身份认证及授权管理体系（技术）范例三：某部委安全规划——安全能力全面覆盖管理、技术、运营范例四：某部委新安全技术体系构建网络边界接入安全安全运营体系数据集中运营支撑安全共享平台（身份体系、认证、授权、密钥管理）泛终端安全安全防护体系数据安全应用安全态势感知安全运营保障通用安全服务通用安全服务网络和通信安全大数据系统安全物理和环境安全业务安全以保护数据为核心基于零信任架构的纵深防御能力数据驱动的闭环安全运营能力云平台安全可信访问数据交换零信任零信任资源池化的安全服务能力从被动防御向积极防御演进十大工程五大任务全景奇安信根据中央政治局会议对当前经济社会运行提出的工作要求，结合当前政府、央企、金融、运营商等大型机构的网络安全体系规划与建设的普遍性需求，借鉴了国内外众多大型机构运行多年的网络安全最佳实践，以及最新网络安全技术研究成果，提出面向“十四五”期间的网络安全规划“十大工程、五大任务”建议框架，为政企机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。1工程一：新一代身份安全数字化转型驱动了系统集成需求激增，云计算、大数据、移动应用等技术的应用改变了以往身份管理和使用模式，“身份安全”从面向人员实体的身份安全管理演进为对设备、程序、接口等数字身份的安全管理，管理模式也从功能驱动模式转变为数据驱动模式，基于零信任架构的现代身份与访问管理技术为信息系统和网络安全运营奠定了坚实基础。各类机构在数字化转型过程中，传统身份管理与访问控制暴露出的诸多问题对企业信息化发展和网络安全造成了影响，如：大量数字身份（设备、接口、程序）缺乏强认证、权限失控；用户授权机制固定，无法根据所处环境、风险状况动态调整权限策略；访问控制力度过粗、灵活性不足；特权操作缺乏有效管理导致大量危害性操作行为时有发生；云计算、大数据、移动应用等新业务场景未纳入身份管理与访问控制体系；，细颗粒度的功能级、数据级访问控制能力缺失；自动化程度低，大量依赖人工维护，难以适应大规模的复杂场景。作为一个在数字化时代能够保障业务安全有序运转的机构，应立足于信息化和网络安全双基础设施的定位，采用基于零信任架构的技术路线，建设身份管理与访问控制平台。聚合人员、设备、程序等主体的数字身份、认证因子等数据和IT服务资源属性、环境属性、数据资源安全属性等数据，结合访问控制策略数据，形成企业级统一身份数据视图；面向云、大数据平台、应用系统的内部服务与资源，建立基于资源属性的数字身份统一授权管控策略，强化系统运维、权限变更等特权操作管控，实现全场景人机交互、系统间互访的统一授权管理，以及基于