深度参与安全规范编制工作
我司作为唯一全部参与等保2.0三个部分（基本、测评、安全设计）标准起草单位的安全厂商，深度参与相关规 范的编制工作。
深度参与安全规范编制工作
需求分析-媒体行业安全建设现状
融媒体等平台快速发展，大量引入 云计算、大数据的等新技术，原本 薄弱的安全基础更显不足。
业务网络的快扩展，资产不清、风险难 于管理等问题逐步暴露出来，同时在安 全管理、运维尚未构成相应的体系
需求分析-安全合规需求
《国家信息化领导小组关于加强信息安全保障工作的意见》中办发〔2003〕27号 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号 《中华人民共和国网络安全法》第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。 《》（发改高技[2015]996号） 《关于推动传统媒体和新兴媒体融合发展的指导意见》 《关于加强县级融媒体中心建设的意见》2018年11月14日，中央全面深化改革委员会第五次会议审议通过了《关于加强县级融媒体中心建设的意见》
安全防护理念从传统 “网络/系统” 转向了以“人/数据”为中心！
Google-BeyondCorp零信任架构实践
Google BeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全 架构。通过将访问权限控制措施从网络边界转移到具体的设备， BeyondCorp让员 工可以更安全地在任何地点工作，而不必借助于传统的VPN 。
《县级融媒体中心网络安全规范》 《县级融媒体中心网络安全规范》 《县级融媒体中心监测监管规范 》 《县级融媒体中心省级技术平台规范要求》 《广播电视相关信息系统 安全等级保护基本要求 》GD/J 038—2011 《广播电视相关信息系统安全等级保护测评要求》GD/J 044—2012 《广播电视相关信息系统安全等级保护定级指南》GD/J 037—2011
零信任概念
网络内外部始终存在威胁。 信任与位置无关，默认不信任从任何人/设备/系统发起的访问。 任何设备、人员和网络流访问业务都要经过身份验证和授权。 策略必须是动态的，并且需要尽可能多的（上下文）数据用以计算（安全鉴别和评估）。
传统安全架构VS零信任架构
对比项 定义
部署位置 主要技术手段 访问控制模型 执行控制策略 控制细粒度
信息泄露事件层出不穷
• 外部黑客攻击泄露 • 内部人员非法泄露 • 第三方运维人员非法泄露 • 黑色产业链泄露
关键基础设施频遭破坏
• 2017年“永恒之蓝”勒索病毒事 件。
• 2018年华住酒店5亿个人信息泄露 事件。
• 2019年委内瑞拉电力系统遭受网 络攻击停电事件。
计算虚拟化
Clo云u计d算OS
网络虚拟化
存储虚拟化
云计算
大数据
物联网
攻击手段发展带来的安全变化
传统安全信任级别与“位置”强关联 默认内网是安全的，内部员工天生拥有“特权凭
证”，可以“随心所欲” 攻击者把获取“凭证”及对应“特权”作为首要
目标 传统防外的安全防护手段很难分辨内部攻击者的
敌我身份 根据Verizon报告分析指出，2018年重大数据
泄露中被盗身份是主要突破口，81%的相关安全 事件都源于被盗、默认或弱口令。
安全观念的变革
被动防御
动态防护
主动防御 安全可信 动态感知 全面审计
安全观念的变革
防外
修内
• 以传统边界围、堵、防方 式，跟随攻击者而动，无 法知己知彼，被动防御。
• 以人/数据为中心，知彼先知己， 基于身份进行动态防护，实现主 动防御。
CONTENTS 目录
新的安全形势 行业应用实践
信息技术发展带来的安全威胁挑战
新技术带来的安全挑战
• 网络安全边界泛化 • 虚拟化安全问题 • 海量数据安全存储问题 • 万物互联物联网安全问题
攻击手法不断升级
• DDOS攻击、病毒、木马 • APT攻击：Oday攻击、鱼叉
钓鱼攻击、社会工程等 • 拖库、撞库、洗库 • 网络诈骗、盗刷、黑色产业 • 大规模国家级网络攻击
用户终端与应用系统之间，应用系统与数据服务之间等
防火墙、IPS、AV等。
身份访问与管理（IAM）、PKI/PMI、可信技术等。
ACL、DAC、MAC、RBAC 静态策略
基于角色粗放授权，细颗粒度低 中
ABAC(基于属性的访问控制） 动态策略
精细化最小授权，细颗粒度高 高
CONTENTS 目录
新的安全形势 行业应用实践
安全意识欠缺
业务人员安全意识较为薄弱，原有封闭性 技术体系深入人心，对敏感数据、个人信 息等关注较少。
融媒体中心总体安全框架设计
设计规范化 建设集约化 行业驱动化 平台集成化
安全运维 体系
安全运维 管理规范
安全运维 管理制度
安全运维 管理人员
安全管·理制度
安全平台
融媒体中心安全解决方案架构
安全管理体系
安全性
传统安全架构
基于边界构筑网络安全架构，某种程度上假设、或 默认了内网是安全的，通过防火墙等手段对网络出 口进行重重防护，忽略了内网的安全。
各网络/系统出口等
零信任架构
默认情况下不应该信任网络内部和外部的任何人/设备/系统， 以身份为中心，重构安全边界，基于动态的认证和授权重 构访问控制的信任基础。
安全运维审计
安全管理机构
安全建设管理
安全运维管理
安全技术体系
安全管理平台
态势感平台
攻防演练平台
安全管理人员
安全计算 环境
PKI/PMI 统一身份认证
漏洞扫描
Web应用安全 防护
网页防篡改
应用安全审计
数据库安全
数据防泄漏
数据备份 与恢复
可信验证 文档加密 云安全资源池
终端准入控制 终端安全管理 终端病毒防范
终端安全管理 日志审计
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010 《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240-2008 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 《信息安全技术 网络安全等级保护安全设计要求》GB/T25070-2019 《信息安全技术 信息系统安全等级保护测评要求》GB/T28448-2019