近日�����,由工業(yè)和信息化部新聞宣傳中心指導,騰訊安全�����、騰訊研究院�����、中國信息安全聯(lián)合三十余位業(yè)內專家共同編制的《數(shù)字安全免疫力建設指南》(以下簡稱指南)正式發(fā)布。圍繞“發(fā)展驅動”的安全范式�����,指南從理念認知���、范式重建�、量化評估��、關鍵模塊以及實踐案例等方面,為企業(yè)構建數(shù)字安全免疫力提供了指引和參考����。
四大核心:構建“發(fā)展驅動”新范式
指南指出����,“安全是發(fā)展的前提�,發(fā)展是安全的保障”。當前�,網絡與安全密不可分,共同構成了國家數(shù)字經濟發(fā)展的基礎設施��,也成為企業(yè)創(chuàng)新與發(fā)展的基石�。企業(yè)的數(shù)字化發(fā)展與安全建設����,亟待破除安全的“成本中心”思維�,用發(fā)展的眼光看待安全��,建立發(fā)展與安全融合的“發(fā)展驅動”范式�。
騰訊集團高級執(zhí)行副總裁��、云與智慧產業(yè)事業(yè)群CEO湯道生表示���,數(shù)字化的快速發(fā)展�����,帶來不可忽視的安全問題�。企業(yè)的安全建設思維,需要從傳統(tǒng)的邊界防護與事件驅動����,向異常行為監(jiān)測���、威脅情報與數(shù)據驅動轉變�,建立一套合規(guī)����、可擴展�����、自適應的數(shù)字安全免疫系統(tǒng)����。
數(shù)字安全免疫力正是“發(fā)展驅動”的探索�����。2023年6月,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架��,希望以企業(yè)客戶真實場景��、真實痛點���、真實需求為研究對象,為企業(yè)創(chuàng)建一套以數(shù)據與業(yè)務為中心�����,統(tǒng)籌發(fā)展與安全的方法論�����、工具集。
本次發(fā)布的《數(shù)字安全免疫力建設指南》是免疫力框架落地的具體實操路徑��。在具體內涵上���,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運作為最終目的�����,取代傳統(tǒng)將“安全”作為第一視角的建設思路����,基于企業(yè)現(xiàn)狀、預算水平提升安全有效性����,而非“絕對安全”�����。提前規(guī)劃主動預案����,基于企業(yè)業(yè)務的發(fā)展目標���,提前為未來可能發(fā)生的威脅做好準備并做好安全規(guī)劃。綜合協(xié)調安全資源�,實現(xiàn)內部安全產品以及外部安全資源的協(xié)同���。最后通過足夠高的安全水位���、自迭代能力以及非交互式驗證的技術實現(xiàn)安全無感知�。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術變遷解讀了數(shù)字安全免疫力的內涵��。他表示�,安全已經從傳統(tǒng)的計算機安全����、信息安全��、網絡安全演進到了如今的數(shù)字安全���,風險已不再局限于圍繞數(shù)字化資產的攻防對抗,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角���,而是圍繞企業(yè)運作中面臨的風險展開。
六大模塊:精確度量安全水平
不同規(guī)模�、行業(yè)��、數(shù)字化程度企業(yè)遭遇的個性化安全挑戰(zhàn)不一而同���,同時伴隨著外部威脅和市場環(huán)境的快速變化,企業(yè)需要動態(tài)掌握自身的安全水位��。指南對此提出了“精確安全度量”――運用安全評測工具動態(tài)評估自身水位�����。例如騰訊安全研發(fā)的數(shù)字安全免疫力測評工具�����,通過填寫調研問卷的方式,可讓企業(yè)掌握全局的安全建設短板�����。同時��,評估的報告也會將企業(yè)與行業(yè)平均水平對比,讓企業(yè)更直觀了解差距�����。
此外�����,指南還建議企業(yè)從“等?����!睂嶋H價值、安全人員能力�����、AI技術影響等維度動態(tài)評估更新。例如��,關注以AIGC為代表的新興技術安全����。在AIGC的助力下�,防御成本將大幅度下降��,防御體系的自我決策和反應能力都會指數(shù)級提升,核心思路也將從攻防驅動轉為風險驅動����,大量低級網絡攻擊手段將快速失效��。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時,指南更關注企業(yè)實踐����。根據數(shù)據安全�、業(yè)務安全���、邊界安全��、端點安全、應用開發(fā)安全與安全運營管理六大模塊對應的具體場景為企業(yè)推薦對應的建設意見與工具建議�����,為處于數(shù)字化轉型期的企業(yè)提供實戰(zhàn)指引�����。
在數(shù)據安全方面,數(shù)字安全免疫力建設指南提出數(shù)據分類��、分級是數(shù)據安全建設的關鍵。同時要建立數(shù)據安全防護基線��、建立統(tǒng)一化運營體系�;業(yè)務安全方面�����,指南提出缺乏安全能力護航的業(yè)務可能成為黑灰產的“提款機”,人機識別��、風控引擎��、內容安全�����、業(yè)務安全合規(guī)等是必要的投入�����。
隨著云計算和數(shù)字化轉型,企業(yè)邊界模糊��,需重新定義邊界為IT環(huán)境“入口”的集合���。企業(yè)應重視端點安全���,統(tǒng)一協(xié)同邊界和端點安全產品,構建新安全護城河��,提高應對未知風險和移動辦公威脅的能力�。
在應用開發(fā)安全中���,需要將安全建設也植入到開發(fā)團隊當中,并結合風險點部署安全工具�,而且要確保開發(fā)團隊能熟練使用安全工具���;安全運營管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價值,串聯(lián)起不同的安全產品��、資源���,建議引入SOC、威脅情報�、攻擊面管理等技術提升安全運營效率���。
免疫力實踐:護航企業(yè)數(shù)字安全
研討會上,來自多個行業(yè)的企業(yè)代表���、安全負責人分享了自身數(shù)字安全免疫力的建設實踐。
作為數(shù)字安全免疫力框架模型的提出者����,騰訊自身就是長期的踐行者�����。在過去20多年的發(fā)展過程中���,騰訊安全護航自身海量用戶和業(yè)務場景��,就遵循著彈性����、自適應��、可擴展的安全建設思路。
據騰訊安全副總裁��、云鼎實驗室負責人董志強介紹���,騰訊云目前打造了以默認安全、底層可信�、縱深防御為特點的高安全等級架構�����,讓企業(yè)在云上能天然具備更高的安全水位��。
“商業(yè)的未來就是和AI深度綁定”,據悅商科技CEO�����、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹����,悅商運營管理系統(tǒng)依托騰訊云自研金融級AI-天御決策操作系統(tǒng),構建了智能化的大數(shù)據風控模型��,保障用戶在商業(yè)運營全業(yè)務場景數(shù)據合規(guī)互聯(lián)互通,簡化了80%的運營流程��。
在醫(yī)療健康領域����,腦動極光CISO��、OWASP分會負責人張坤建議重點關注遠程醫(yī)療�����、健康傳感、臨床研究�、器械維護等八大場景的數(shù)據安全��。腦動極光通過建設數(shù)據安全基礎能力�����、建立事件快速響應能力、加強數(shù)據安全風險感知三大舉措��,提升了醫(yī)療數(shù)據的安全免疫力���。
本次發(fā)布會上�����,指南還對2024年九大關鍵安全趨勢做了研判���,覆蓋數(shù)據要素����、工業(yè)互聯(lián)網安全��、威脅情報等領域和技術,為企業(yè)構建免疫力提供前瞻式趨勢參考�����。
工業(yè)和信息化部新聞宣傳中心(人民郵電報社)總編輯王保平在會議上表示,希望專家智慧的沉淀����,能夠切實成為企業(yè)安全建設的“指南針”和“設計圖”,幫助企業(yè)打造面向未來����、適應發(fā)展的數(shù)字安全免疫力體系��,共同為網絡強國、數(shù)字中國的高質量發(fā)展貢獻力量��。
