TZISIA 01-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架

ICS35.240L70/84團(tuán) 體 標(biāo) 準(zhǔn)T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù) 框架Autonomousandinnovativecybersecuritytechnology——Framework2024-06-05發(fā)布 2024-06-05實(shí)施中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟發(fā)布目 次前言 I引言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2概述 3安全工作特點(diǎn) 3安全目標(biāo) 3框架結(jié)構(gòu) 3通用要求 4自身安全防御 5基礎(chǔ)硬件安全 5基礎(chǔ)軟件安全 5應(yīng)用軟件安全 6云計(jì)算平臺(tái)安全 6專業(yè)安全防護(hù) 7通信網(wǎng)絡(luò)安全防護(hù) 7區(qū)域邊界安全防護(hù) 7計(jì)算環(huán)境安全防護(hù) 7網(wǎng)絡(luò)安全運(yùn)營 7安全風(fēng)險(xiǎn)管控 7風(fēng)險(xiǎn)降低 7備份與恢復(fù) 7響應(yīng)與處置 7風(fēng)險(xiǎn)轉(zhuǎn)移 8網(wǎng)絡(luò)安全保險(xiǎn) 8其他風(fēng)險(xiǎn)轉(zhuǎn)移方式 8框架模塊間的協(xié)同關(guān)系 9內(nèi)置安全機(jī)制 9內(nèi)生安全機(jī)制 10網(wǎng)絡(luò)彈性保障 10參考文獻(xiàn) 11IT/ZISIA01-2024T/ZISIA01-2024PAGE\*ROMANPAGE\*ROMANII前 言GB/T1.1-20201請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。引 言T/ZISIA01-2024T/ZISIA01-2024PAGEPAGE10自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架范圍規(guī)范性引用文件GB/T20272信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T24363信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范GB/T25069信息安全技術(shù)術(shù)語GB/T29765信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評(píng)價(jià)方法GB/T29828-2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T30283信息安全技術(shù)信息安全服務(wù)分類與代碼GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T36630.1信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)第1部分：總則GB/T36957信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)要求GB/T38645信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T43269信息安全技術(shù)網(wǎng)絡(luò)安全應(yīng)急能力評(píng)估準(zhǔn)則GB/T43696網(wǎng)絡(luò)安全技術(shù)零信任參考體系架構(gòu)GB/T43698網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求GM/T0002SM4分組密碼算法GM/T0003SM2橢圓曲線公鑰密碼算法GM/T0004SM3密碼雜湊算法GM/T0005隨機(jī)性檢測規(guī)范T/ZISIA02-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求T/ZISIA03-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求T/ZISIA04-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。自主創(chuàng)新型autonomousandinnovative信息技術(shù)產(chǎn)品的核心技術(shù)由國內(nèi)生產(chǎn)廠商自主掌握，供應(yīng)鏈不受其他國家實(shí)體的控制，且符合信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)標(biāo)準(zhǔn)的屬性。安全可控controllabilityforsecurity信息技術(shù)產(chǎn)品具備的保證其應(yīng)用數(shù)據(jù)支配權(quán)、產(chǎn)品控制權(quán)、產(chǎn)品選擇權(quán)等不受損害的屬性。[來源:GB/T36630.1-2018,3.2]攻擊面管理attacksurfacemanagement持續(xù)發(fā)現(xiàn)、分析、監(jiān)控和評(píng)估內(nèi)部和外部所有資產(chǎn)以發(fā)現(xiàn)潛在暴露面、攻擊向量和數(shù)字風(fēng)險(xiǎn)，并進(jìn)行優(yōu)先排序、響應(yīng)處置的過程。自主創(chuàng)新型網(wǎng)絡(luò)autonomousandinnovativecybersystem網(wǎng)絡(luò)彈性cyberresilience系統(tǒng)能夠預(yù)測、抵御、恢復(fù)、適應(yīng)對(duì)抗條件、壓力、攻擊或者破壞的能力。內(nèi)置安全build-insecurity自主創(chuàng)新型的信息技術(shù)產(chǎn)品通過自身架構(gòu)、功能模塊和運(yùn)行機(jī)制設(shè)計(jì)而形成的安全防護(hù)機(jī)制。網(wǎng)絡(luò)安全保險(xiǎn)cybersecurityinsurance財(cái)產(chǎn)保險(xiǎn)的一種，承保因發(fā)生網(wǎng)絡(luò)安全事件所造成的經(jīng)濟(jì)損失以及需承擔(dān)的法定賠償責(zé)任。注：網(wǎng)絡(luò)安全保險(xiǎn)屬于廣義的財(cái)產(chǎn)保險(xiǎn)范疇，數(shù)字資產(chǎn)等無形資產(chǎn)可作為該險(xiǎn)種的保險(xiǎn)標(biāo)的。內(nèi)生安全intrinsicsecurity自主創(chuàng)新型的網(wǎng)絡(luò)安全產(chǎn)品與其他自主創(chuàng)新型的信息技術(shù)產(chǎn)品通過數(shù)據(jù)共享、功能協(xié)同而形成的安全防護(hù)機(jī)制?？尚庞?jì)算trustedcomputing縮略語ARP：地址解析協(xié)議（AddressResolutionProtocol）CPU：中央處理器(CentralProcessingUnit)I/O：輸入/輸出(Input/Output)LSM：Linux安全模塊(LinuxSecurityModule)SDK：軟件開發(fā)工具包(SoftwareDevelopmentKit)TCM：可信密碼模塊(TrustedCryptographyModule)TSB：可信軟件基(TrustedSoftwareBase)TPCM：可信平臺(tái)控制模塊(TrustedPlatformControlModule)概述安全工作特點(diǎn)自主創(chuàng)新型網(wǎng)絡(luò)一般應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施，安全防護(hù)要求高；自主創(chuàng)新型產(chǎn)品還沒有經(jīng)過大范圍、長時(shí)間的應(yīng)用驗(yàn)證，潛在的安全漏洞多；自主創(chuàng)新型安全產(chǎn)品可以與其他自主創(chuàng)新型信息技術(shù)產(chǎn)品進(jìn)行信息交互，實(shí)現(xiàn)安全能力協(xié)同；網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)可以了解自主創(chuàng)新型信息技術(shù)產(chǎn)品的特點(diǎn)，從而實(shí)施針對(duì)性的技術(shù)服務(wù)；安全目標(biāo)自主創(chuàng)新型網(wǎng)絡(luò)安全的目標(biāo)包括：基于自主創(chuàng)新型信息技術(shù)產(chǎn)品構(gòu)建，消除產(chǎn)品存在“后門”、供應(yīng)鏈不可控等安全風(fēng)險(xiǎn)；通過計(jì)算與安全深度融合、產(chǎn)品與服務(wù)結(jié)合、安全能力協(xié)同等措施，提升網(wǎng)絡(luò)安全防護(hù)能力；框架結(jié)構(gòu)自主創(chuàng)新型網(wǎng)絡(luò)安全框架表示自主創(chuàng)新型網(wǎng)絡(luò)安全體系的結(jié)構(gòu)及其相互關(guān)系，包括自身安全防御、專業(yè)安全防護(hù)、安全風(fēng)險(xiǎn)管控三個(gè)部分，如下圖所示。階段實(shí)現(xiàn)的安全防御機(jī)制構(gòu)成，包括基礎(chǔ)硬件安全、基礎(chǔ)軟件安全、應(yīng)用軟件安全以及云計(jì)算平臺(tái)安全等要求；脅，保障自主創(chuàng)新型網(wǎng)絡(luò)不被入侵或破壞，主要包括通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境三個(gè)層面的安全防護(hù)，以及安全運(yùn)營；自主創(chuàng)新型網(wǎng)絡(luò)安全框架自主創(chuàng)新型網(wǎng)絡(luò)安全框架中各安全要素應(yīng)能夠進(jìn)行協(xié)同，在應(yīng)對(duì)網(wǎng)絡(luò)威脅的實(shí)踐中發(fā)揮整體作用，實(shí)現(xiàn)縱深防御，保障網(wǎng)絡(luò)彈性。自身安全防御各要素應(yīng)實(shí)現(xiàn)能力協(xié)同，降低或消除網(wǎng)絡(luò)安全威脅帶來的風(fēng)險(xiǎn)，實(shí)現(xiàn)內(nèi)置安全；專業(yè)安全防護(hù)機(jī)制應(yīng)與自身安全防御機(jī)制相互配合，識(shí)別網(wǎng)絡(luò)安全威脅、阻斷網(wǎng)絡(luò)攻擊行為、消除網(wǎng)絡(luò)威脅載體等，實(shí)現(xiàn)內(nèi)生安全；通用要求對(duì)自主創(chuàng)新型網(wǎng)絡(luò)及其組成部分的通用要求包括：自主創(chuàng)新型網(wǎng)絡(luò)的安全體系應(yīng)與業(yè)務(wù)體系同步規(guī)劃、同步建設(shè)、同步運(yùn)營；應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)的基本安全要求，在整體上至少應(yīng)符合GB/T22239中第三級(jí)的要求；c）應(yīng)根據(jù)T/ZISIA03-2024要求，建立安全的計(jì)算基礎(chǔ)環(huán)境；應(yīng)基于國產(chǎn)化軟硬件產(chǎn)品構(gòu)建；應(yīng)使用國產(chǎn)密碼算法執(zhí)行加解密功能，在整體上應(yīng)符合GB/T39786-2021中第三級(jí)的要求；應(yīng)保障自主創(chuàng)新型網(wǎng)絡(luò)核心產(chǎn)品的供應(yīng)鏈安全，根據(jù)GB/T43698要求開展軟件供應(yīng)鏈安全監(jiān)測和風(fēng)險(xiǎn)評(píng)估；宜基于網(wǎng)絡(luò)靶場對(duì)自主創(chuàng)新型信息技術(shù)產(chǎn)品進(jìn)行安全性測試和自主可控能力測試；宜按照GB/T43696要求建立零信任架構(gòu)，對(duì)自主創(chuàng)新型網(wǎng)絡(luò)的應(yīng)用進(jìn)行身份鑒別和訪問控制；i）宜對(duì)每項(xiàng)行為記錄日志；各部分安全能力宜對(duì)外提供調(diào)用接口或其他協(xié)同方式；自身安全防御基礎(chǔ)硬件安全基礎(chǔ)硬件包括但不限于CPU、內(nèi)存、固件、I/O設(shè)備、固態(tài)硬盤等產(chǎn)品，它們提供了計(jì)算平臺(tái)運(yùn)行所需的基本計(jì)算和運(yùn)行能力。常見基礎(chǔ)硬件的安全能力要求包括但不限于：CPU安全機(jī)制：支持安全可信啟動(dòng)，啟動(dòng)流程應(yīng)符合T/ZISIA02-2024所規(guī)定的要求。內(nèi)存安全機(jī)制：支持內(nèi)存劃分成安全域和默認(rèn)域，且非安全請(qǐng)求不能訪問安全域內(nèi)存；支持內(nèi)存加密。固件安全機(jī)制：支持固件內(nèi)容校驗(yàn)；支持固件版本檢查；支持固件備份。I/O設(shè)備安全機(jī)制：支持I/O設(shè)備安全屬性；I/O設(shè)備設(shè)置成安全設(shè)備時(shí)，只有安全訪問請(qǐng)求才可以訪問該設(shè)備。基礎(chǔ)軟件安全常見基礎(chǔ)軟件的安全能力要求包括但不限于：操作系統(tǒng)自有安全機(jī)制：應(yīng)符合安全可靠測評(píng)要求；應(yīng)滿足GB/T20272第三級(jí)以上要求；應(yīng)內(nèi)置國家電子認(rèn)證根CA的根證書；在硬件支持的前提下，應(yīng)支持CPU內(nèi)置安全功能；應(yīng)支持防止ARP欺騙攻擊；應(yīng)支持GM/T0002、GM/T0003和GM/T0004中規(guī)定的密碼算法；應(yīng)支持隨機(jī)數(shù)生成，隨機(jī)數(shù)質(zhì)量通過GM/T0005中的符合性測試；應(yīng)提供LSM統(tǒng)一訪問控制安全框架；宜支持靜態(tài)文件度量和動(dòng)態(tài)內(nèi)存度量，保障特定文件及內(nèi)存中運(yùn)行程序的完整性；宜支持機(jī)密計(jì)算框架，提供機(jī)密計(jì)算SDK，能接入一種以上可信執(zhí)行環(huán)境；宜支持內(nèi)核完整性保護(hù)，保障內(nèi)核不被非授權(quán)改變；宜提供內(nèi)核模塊加載黑名單機(jī)制；宜支持系統(tǒng)管理員、安全管理員、審計(jì)管理員分權(quán)管理。中間件安全機(jī)制：應(yīng)符合GB/T22239中第三級(jí)的安全通用要求中安全計(jì)算環(huán)境的基本要求；GB/T20273-2019中規(guī)定的要求。應(yīng)用軟件安全應(yīng)用軟件的安全能力要求包括但不限于：應(yīng)符合GB/T35273標(biāo)準(zhǔn)規(guī)定的個(gè)人信息安全的基本要求；應(yīng)符合GB/T22239中第三級(jí)的安全通用要求中安全計(jì)算環(huán)境的基本要求與其他關(guān)于應(yīng)用軟件安全的基本要求；應(yīng)用軟件應(yīng)只能訪問其需要的資源，并限制對(duì)系統(tǒng)關(guān)鍵部分的訪問；對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，并使用安全的傳輸協(xié)議，保護(hù)數(shù)據(jù)在傳輸和存儲(chǔ)過程中的安全性；對(duì)用戶輸入進(jìn)行嚴(yán)格驗(yàn)證和過濾，以防止惡意輸入導(dǎo)致的安全漏洞；記錄用戶操作、系統(tǒng)事件和安全相關(guān)信息，以便進(jìn)行安全審計(jì)和故障排查；確保應(yīng)用軟件能夠及時(shí)接收并應(yīng)用安全更新，以保持應(yīng)用軟件的安全性；及時(shí)修復(fù)發(fā)現(xiàn)的安全漏洞，通過更新版本或補(bǔ)丁來提高應(yīng)用軟件的安全性。云計(jì)算平臺(tái)安全云計(jì)算平臺(tái)安全能力要求包括但不限于以下內(nèi)容：云計(jì)算平臺(tái)符合自主創(chuàng)新型要求，包括但不限于以下內(nèi)容：云平臺(tái)管理軟件為自主研發(fā)，核心模塊具備自主知識(shí)產(chǎn)權(quán)；宿主機(jī)、虛擬機(jī)以及云平臺(tái)操作系統(tǒng)均運(yùn)行國產(chǎn)操作系統(tǒng)，或具備自主知識(shí)產(chǎn)權(quán)；云平臺(tái)所使用的服務(wù)器和運(yùn)維終端應(yīng)為國產(chǎn)化產(chǎn)品。具備容器鏡像安全能力，在容器構(gòu)建和部署階段，采用密碼學(xué)、可信計(jì)算、容器集群等技術(shù)，實(shí)現(xiàn)容器鏡像簽名驗(yàn)簽、容器鏡像部署的準(zhǔn)入控制、可信容器部署異常告警，防止軟件和硬件的供應(yīng)鏈攻擊；通過云安全中心對(duì)云上安全事件進(jìn)行統(tǒng)一的管理和處置，同時(shí)利用云上大數(shù)據(jù)和AI的能力進(jìn)行高級(jí)威脅分析，識(shí)別未知攻擊和安全風(fēng)險(xiǎn)；的安全防護(hù)；對(duì)敏感數(shù)據(jù)進(jìn)行完整性和保密性的加密保護(hù)，并設(shè)置訪問控制和審計(jì)機(jī)制，記錄數(shù)據(jù)的使用和操作，防止數(shù)據(jù)泄露；具備可視化能力展示云平臺(tái)的全局?jǐn)?shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢；GB/T22239中第三級(jí)的安全通用要求與云計(jì)算安全擴(kuò)展要求。專業(yè)安全防護(hù)通信網(wǎng)絡(luò)安全防護(hù)區(qū)域邊界安全防護(hù)計(jì)算環(huán)境安全防護(hù)應(yīng)對(duì)自主創(chuàng)新型網(wǎng)絡(luò)區(qū)域邊界內(nèi)部的計(jì)算設(shè)備，實(shí)施身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范等控制措施，應(yīng)符合GB/T22239中第三級(jí)關(guān)于安全計(jì)算環(huán)境的要求。網(wǎng)絡(luò)安全運(yùn)營自主創(chuàng)新型網(wǎng)絡(luò)安全運(yùn)營的要求包括：GB/T22239中第三級(jí)關(guān)于安全管理中心的要求；自主創(chuàng)新型網(wǎng)絡(luò)安全運(yùn)維工作應(yīng)符合GB/T22239中第三級(jí)關(guān)于安全運(yùn)維管理的要求；GB/T30283宜開展攻擊面管理（ASM）能力建設(shè)，重點(diǎn)關(guān)注資產(chǎn)識(shí)別、攻擊面識(shí)別、風(fēng)險(xiǎn)分析、收斂和驗(yàn)證以及持續(xù)監(jiān)控能力。安全風(fēng)險(xiǎn)管控風(fēng)險(xiǎn)降低備份與恢復(fù)備份與恢復(fù)的要求包括：應(yīng)對(duì)自主創(chuàng)新型網(wǎng)絡(luò)、業(yè)務(wù)、業(yè)務(wù)系統(tǒng)及數(shù)據(jù)等資產(chǎn)建立完善的備份與恢復(fù)機(jī)制；備份與恢復(fù)的規(guī)劃應(yīng)根據(jù)GB/T20988-2007進(jìn)行需求的確定與策略的制定；備份與恢復(fù)的實(shí)施應(yīng)符合GB/T22239中第三級(jí)關(guān)于備份和恢復(fù)管理的要求；對(duì)于采購的備份與恢復(fù)服務(wù)，服務(wù)提供方應(yīng)符合GB/T36957-2018中規(guī)定的關(guān)于災(zāi)難恢復(fù)服務(wù)的要求；GB/T29765-2021中規(guī)定的備份與恢復(fù)產(chǎn)品技術(shù)要求；宜基于云災(zāi)備平臺(tái)對(duì)存儲(chǔ)在云計(jì)算平臺(tái)上的業(yè)務(wù)數(shù)據(jù)和關(guān)鍵應(yīng)用系統(tǒng)進(jìn)行備份和恢復(fù)。響應(yīng)與處置響應(yīng)與處置的要求包括：安全應(yīng)急響應(yīng)計(jì)劃的制定應(yīng)符合GB/T24363-2009中的規(guī)范，以及GB/T22239中第三級(jí)關(guān)于應(yīng)急預(yù)案管理的要求；網(wǎng)絡(luò)安全事件應(yīng)急演練應(yīng)參考GB/T38645-2020中給出的指南開展。應(yīng)根據(jù)法律法規(guī)、政策監(jiān)管要求，依據(jù)GB/T43269-2023中的評(píng)估準(zhǔn)則建立相應(yīng)等級(jí)的網(wǎng)絡(luò)安全應(yīng)急能力；在響應(yīng)與處置安全事件過程中應(yīng)實(shí)施的措施包括但不限于：審計(jì)核查：對(duì)安全事件開展復(fù)盤分析，通過日志分析推演攻擊路徑，發(fā)現(xiàn)攻擊遺留痕跡；風(fēng)險(xiǎn)轉(zhuǎn)移網(wǎng)絡(luò)安全保險(xiǎn)失為量化單位，評(píng)估出不同威脅場景下的經(jīng)濟(jì)損失情況，為保險(xiǎn)核保提供直接參考依據(jù)。評(píng)估內(nèi)容包括但不限于：評(píng)估網(wǎng)絡(luò)資產(chǎn)分布情況；評(píng)估安全脆弱性情況；評(píng)估安全控制措施實(shí)施情況；評(píng)估資產(chǎn)及其相關(guān)業(yè)務(wù)的貨幣化價(jià)值；評(píng)估業(yè)務(wù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)偏好，決策安全風(fēng)險(xiǎn)控制體系的關(guān)注點(diǎn)；處置評(píng)估過程中識(shí)別的風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)水平。開展日常網(wǎng)絡(luò)安全運(yùn)營工作外，可采用第三方服務(wù)方的保險(xiǎn)期間安全服務(wù)，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控，包括但不限于以下內(nèi)容：定期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測；釣魚郵件演練；遠(yuǎn)程滲透測試。險(xiǎn)人應(yīng)及時(shí)向保險(xiǎn)人報(bào)案，配合開展安全事件鑒定與損失分析工作，為保險(xiǎn)理賠提供直接參考依據(jù)，包括但不限于以下內(nèi)容：安全事件鑒定。對(duì)所發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行分析、還原及技術(shù)評(píng)估；其他風(fēng)險(xiǎn)轉(zhuǎn)移方式除網(wǎng)絡(luò)安全保險(xiǎn)外，自主創(chuàng)新型網(wǎng)絡(luò)運(yùn)營單位可通過以下方式實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移：安全服務(wù)提供商等。通過外包，可以將網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)的責(zé)任轉(zhuǎn)移給轉(zhuǎn)移團(tuán)隊(duì)，同時(shí)獲得更好的專業(yè)安全保障；和風(fēng)險(xiǎn)轉(zhuǎn)移給對(duì)方。例如，在合同中約定對(duì)方承擔(dān)數(shù)據(jù)泄露或供應(yīng)鏈安全漏洞造成的損失責(zé)任；分散和多元化。通過在多個(gè)地理位置、多個(gè)供應(yīng)商、多個(gè)信息系統(tǒng)之間分散關(guān)鍵業(yè)務(wù)與數(shù)據(jù)，明確網(wǎng)絡(luò)安全責(zé)任的分擔(dān)，通過多方共同承擔(dān)風(fēng)險(xiǎn)，達(dá)到分散并轉(zhuǎn)移自身風(fēng)險(xiǎn)的目的?？蚣苣K間的協(xié)同關(guān)系內(nèi)置安全機(jī)制操作系統(tǒng)與CPU、應(yīng)用軟件的安全能力協(xié)同操作系統(tǒng)支持CPU硬件密碼運(yùn)算與隨機(jī)數(shù)生成等功能，提供標(biāo)準(zhǔn)接口供應(yīng)用程序調(diào)用；操作系統(tǒng)采用簽名驗(yàn)證等方式確保應(yīng)用軟件的來源可靠性；操作系統(tǒng)提供統(tǒng)一的系統(tǒng)安全SDK接口，包括但不限于LSM安全模塊接口、密碼基礎(chǔ)設(shè)施接口、安全管控類接口、安全