近日,由工業(yè)和信息化部新聞宣傳中心指導(dǎo),騰訊安全����、騰訊研究院、中國(guó)信息安全聯(lián)合三十余位業(yè)內(nèi)專家共同編制的《數(shù)字安全免疫力建設(shè)指南》(以下簡(jiǎn)稱指南)正式發(fā)布��。圍繞“發(fā)展驅(qū)動(dòng)”的安全范式�,指南從理念認(rèn)知����、范式重建、量化評(píng)估�、關(guān)鍵模塊以及實(shí)踐案例等方面,為企業(yè)構(gòu)建數(shù)字安全免疫力提供了指引和參考�����。
四大核心:構(gòu)建“發(fā)展驅(qū)動(dòng)”新范式
指南指出����,“安全是發(fā)展的前提,發(fā)展是安全的保障”�。當(dāng)前�,網(wǎng)絡(luò)與安全密不可分��,共同構(gòu)成了國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施����,也成為企業(yè)創(chuàng)新與發(fā)展的基石。企業(yè)的數(shù)字化發(fā)展與安全建設(shè)���,亟待破除安全的“成本中心”思維����,用發(fā)展的眼光看待安全�,建立發(fā)展與安全融合的“發(fā)展驅(qū)動(dòng)”范式。
騰訊集團(tuán)高級(jí)執(zhí)行副總裁�����、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示����,數(shù)字化的快速發(fā)展,帶來(lái)不可忽視的安全問(wèn)題��。企業(yè)的安全建設(shè)思維���,需要從傳統(tǒng)的邊界防護(hù)與事件驅(qū)動(dòng)�,向異常行為監(jiān)測(cè)、威脅情報(bào)與數(shù)據(jù)驅(qū)動(dòng)轉(zhuǎn)變�����,建立一套合規(guī)��、可擴(kuò)展����、自適應(yīng)的數(shù)字安全免疫系統(tǒng)���。
數(shù)字安全免疫力正是“發(fā)展驅(qū)動(dòng)”的探索�����。2023年6月�����,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架���,希望以企業(yè)客戶真實(shí)場(chǎng)景��、真實(shí)痛點(diǎn)��、真實(shí)需求為研究對(duì)象�����,為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務(wù)為中心����,統(tǒng)籌發(fā)展與安全的方法論���、工具集��。
本次發(fā)布的《數(shù)字安全免疫力建設(shè)指南》是免疫力框架落地的具體實(shí)操路徑�。在具體內(nèi)涵上�����,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運(yùn)作為最終目的��,取代傳統(tǒng)將“安全”作為第一視角的建設(shè)思路�,基于企業(yè)現(xiàn)狀、預(yù)算水平提升安全有效性,而非“絕對(duì)安全”����。提前規(guī)劃主動(dòng)預(yù)案,基于企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)�,提前為未來(lái)可能發(fā)生的威脅做好準(zhǔn)備并做好安全規(guī)劃。綜合協(xié)調(diào)安全資源�����,實(shí)現(xiàn)內(nèi)部安全產(chǎn)品以及外部安全資源的協(xié)同���。最后通過(guò)足夠高的安全水位、自迭代能力以及非交互式驗(yàn)證的技術(shù)實(shí)現(xiàn)安全無(wú)感知�。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術(shù)變遷解讀了數(shù)字安全免疫力的內(nèi)涵。他表示�����,安全已經(jīng)從傳統(tǒng)的計(jì)算機(jī)安全���、信息安全��、網(wǎng)絡(luò)安全演進(jìn)到了如今的數(shù)字安全���,風(fēng)險(xiǎn)已不再局限于圍繞數(shù)字化資產(chǎn)的攻防對(duì)抗����,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角��,而是圍繞企業(yè)運(yùn)作中面臨的風(fēng)險(xiǎn)展開(kāi)�。
六大模塊:精確度量安全水平
不同規(guī)模、行業(yè)��、數(shù)字化程度企業(yè)遭遇的個(gè)性化安全挑戰(zhàn)不一而同�,同時(shí)伴隨著外部威脅和市場(chǎng)環(huán)境的快速變化,企業(yè)需要?jiǎng)討B(tài)掌握自身的安全水位�。指南對(duì)此提出了“精確安全度量”――運(yùn)用安全評(píng)測(cè)工具動(dòng)態(tài)評(píng)估自身水位。例如騰訊安全研發(fā)的數(shù)字安全免疫力測(cè)評(píng)工具���,通過(guò)填寫(xiě)調(diào)研問(wèn)卷的方式��,可讓企業(yè)掌握全局的安全建設(shè)短板�。同時(shí)���,評(píng)估的報(bào)告也會(huì)將企業(yè)與行業(yè)平均水平對(duì)比��,讓企業(yè)更直觀了解差距���。
此外�,指南還建議企業(yè)從“等?����!睂?shí)際價(jià)值�����、安全人員能力�����、AI技術(shù)影響等維度動(dòng)態(tài)評(píng)估更新����。例如���,關(guān)注以AIGC為代表的新興技術(shù)安全�。在AIGC的助力下�����,防御成本將大幅度下降,防御體系的自我決策和反應(yīng)能力都會(huì)指數(shù)級(jí)提升���,核心思路也將從攻防驅(qū)動(dòng)轉(zhuǎn)為風(fēng)險(xiǎn)驅(qū)動(dòng)�,大量低級(jí)網(wǎng)絡(luò)攻擊手段將快速失效����。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時(shí),指南更關(guān)注企業(yè)實(shí)踐�。根據(jù)數(shù)據(jù)安全、業(yè)務(wù)安全��、邊界安全���、端點(diǎn)安全�、應(yīng)用開(kāi)發(fā)安全與安全運(yùn)營(yíng)管理六大模塊對(duì)應(yīng)的具體場(chǎng)景為企業(yè)推薦對(duì)應(yīng)的建設(shè)意見(jiàn)與工具建議�,為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實(shí)戰(zhàn)指引。
在數(shù)據(jù)安全方面�,數(shù)字安全免疫力建設(shè)指南提出數(shù)據(jù)分類、分級(jí)是數(shù)據(jù)安全建設(shè)的關(guān)鍵�。同時(shí)要建立數(shù)據(jù)安全防護(hù)基線、建立統(tǒng)一化運(yùn)營(yíng)體系�;業(yè)務(wù)安全方面,指南提出缺乏安全能力護(hù)航的業(yè)務(wù)可能成為黑灰產(chǎn)的“提款機(jī)”����,人機(jī)識(shí)別�����、風(fēng)控引擎���、內(nèi)容安全、業(yè)務(wù)安全合規(guī)等是必要的投入����。
隨著云計(jì)算和數(shù)字化轉(zhuǎn)型,企業(yè)邊界模糊�,需重新定義邊界為IT環(huán)境“入口”的集合。企業(yè)應(yīng)重視端點(diǎn)安全���,統(tǒng)一協(xié)同邊界和端點(diǎn)安全產(chǎn)品���,構(gòu)建新安全護(hù)城河���,提高應(yīng)對(duì)未知風(fēng)險(xiǎn)和移動(dòng)辦公威脅的能力�。
在應(yīng)用開(kāi)發(fā)安全中�,需要將安全建設(shè)也植入到開(kāi)發(fā)團(tuán)隊(duì)當(dāng)中��,并結(jié)合風(fēng)險(xiǎn)點(diǎn)部署安全工具���,而且要確保開(kāi)發(fā)團(tuán)隊(duì)能熟練使用安全工具;安全運(yùn)營(yíng)管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價(jià)值����,串聯(lián)起不同的安全產(chǎn)品、資源����,建議引入SOC、威脅情報(bào)���、攻擊面管理等技術(shù)提升安全運(yùn)營(yíng)效率�����。
免疫力實(shí)踐:護(hù)航企業(yè)數(shù)字安全
研討會(huì)上�����,來(lái)自多個(gè)行業(yè)的企業(yè)代表��、安全負(fù)責(zé)人分享了自身數(shù)字安全免疫力的建設(shè)實(shí)踐�。
作為數(shù)字安全免疫力框架模型的提出者,騰訊自身就是長(zhǎng)期的踐行者�����。在過(guò)去20多年的發(fā)展過(guò)程中����,騰訊安全護(hù)航自身海量用戶和業(yè)務(wù)場(chǎng)景,就遵循著彈性�、自適應(yīng)、可擴(kuò)展的安全建設(shè)思路���。
據(jù)騰訊安全副總裁�、云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)介紹��,騰訊云目前打造了以默認(rèn)安全����、底層可信、縱深防御為特點(diǎn)的高安全等級(jí)架構(gòu)�����,讓企業(yè)在云上能天然具備更高的安全水位����。
“商業(yè)的未來(lái)就是和AI深度綁定”,據(jù)悅商科技CEO��、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹�,悅商運(yùn)營(yíng)管理系統(tǒng)依托騰訊云自研金融級(jí)AI-天御決策操作系統(tǒng),構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型��,保障用戶在商業(yè)運(yùn)營(yíng)全業(yè)務(wù)場(chǎng)景數(shù)據(jù)合規(guī)互聯(lián)互通�,簡(jiǎn)化了80%的運(yùn)營(yíng)流程。
在醫(yī)療健康領(lǐng)域���,腦動(dòng)極光CISO��、OWASP分會(huì)負(fù)責(zé)人張坤建議重點(diǎn)關(guān)注遠(yuǎn)程醫(yī)療�����、健康傳感����、臨床研究�����、器械維護(hù)等八大場(chǎng)景的數(shù)據(jù)安全。腦動(dòng)極光通過(guò)建設(shè)數(shù)據(jù)安全基礎(chǔ)能力���、建立事件快速響應(yīng)能力�����、加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)感知三大舉措��,提升了醫(yī)療數(shù)據(jù)的安全免疫力�。
本次發(fā)布會(huì)上��,指南還對(duì)2024年九大關(guān)鍵安全趨勢(shì)做了研判����,覆蓋數(shù)據(jù)要素、工業(yè)互聯(lián)網(wǎng)安全�����、威脅情報(bào)等領(lǐng)域和技術(shù)�����,為企業(yè)構(gòu)建免疫力提供前瞻式趨勢(shì)參考。
工業(yè)和信息化部新聞宣傳中心(人民郵電報(bào)社)總編輯王保平在會(huì)議上表示����,希望專家智慧的沉淀�,能夠切實(shí)成為企業(yè)安全建設(shè)的“指南針”和“設(shè)計(jì)圖”,幫助企業(yè)打造面向未來(lái)���、適應(yīng)發(fā)展的數(shù)字安全免疫力體系�����,共同為網(wǎng)絡(luò)強(qiáng)國(guó)�����、數(shù)字中國(guó)的高質(zhì)量發(fā)展貢獻(xiàn)力量��。
