1月17日�����,《數(shù)字安全免疫力建設(shè)指南》發(fā)布暨行業(yè)實(shí)踐研討會(huì)在海南三亞舉行。指南由工業(yè)和信息化部新聞宣傳中心(人民郵電報(bào)社)指導(dǎo)���,騰訊安全、騰訊研究院����、中國信息安全聯(lián)合三十余位業(yè)內(nèi)專家��、學(xué)者�����、企業(yè)領(lǐng)袖共同編制����,圍繞“發(fā)展驅(qū)動(dòng)”的安全范式,從理念認(rèn)知���、范式重建����、量化評(píng)估�、關(guān)鍵模塊以及實(shí)踐案例等方面�,為企業(yè)構(gòu)建數(shù)字安全免疫力提供指引和參考。
(圖:《數(shù)字安全免疫力建設(shè)指南》在海南三亞正式發(fā)布)
工業(yè)和信息化部新聞宣傳中心(人民郵電報(bào)社)總編輯王保平在會(huì)議上表示�����,希望專家智慧的沉淀,能夠切實(shí)成為企業(yè)安全建設(shè)的“指南針”和“設(shè)計(jì)圖”��,幫助企業(yè)打造面向未來���、適應(yīng)發(fā)展的數(shù)字安全免疫力體系��,共同為網(wǎng)絡(luò)強(qiáng)國����、數(shù)字中國的高質(zhì)量發(fā)展貢獻(xiàn)力量。
騰訊集團(tuán)高級(jí)執(zhí)行副總裁�、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示�,數(shù)字化的快速發(fā)展,帶來不可忽視的安全問題�。企業(yè)的安全建設(shè)思維�,需要從傳統(tǒng)的邊界防護(hù)與事件驅(qū)動(dòng)��,向異常行為監(jiān)測(cè)���、威脅情報(bào)與數(shù)據(jù)驅(qū)動(dòng)轉(zhuǎn)變,建立一套合規(guī)�、可擴(kuò)展、自適應(yīng)的數(shù)字安全免疫系統(tǒng)���。騰訊愿和社會(huì)各界一起,為企業(yè)在數(shù)字化時(shí)代的安全建設(shè)提供可借鑒的實(shí)踐指引�,著眼于未來健康可持續(xù)發(fā)展,筑牢安全底座�����。
四大核心����,構(gòu)建“發(fā)展驅(qū)動(dòng)”新范式
指南指出��,“安全是發(fā)展的前提�,發(fā)展是安全的保障”。當(dāng)前���,網(wǎng)絡(luò)與安全密不可分���,共同構(gòu)成了國家數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施,也成為企業(yè)創(chuàng)新與發(fā)展的基石���。企業(yè)的數(shù)字化發(fā)展與安全建設(shè)��,亟待破除安全的“成本中心”思維�,用發(fā)展的眼光看待安全�,建立發(fā)展與安全融合的“發(fā)展驅(qū)動(dòng)”范式。
數(shù)字安全免疫力正是“發(fā)展驅(qū)動(dòng)”的探索�。2023年6月,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架,希望以企業(yè)客戶真實(shí)場(chǎng)景���、真實(shí)痛點(diǎn)、真實(shí)需求為研究對(duì)象���,為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務(wù)為中心,統(tǒng)籌發(fā)展與安全的方法論�、工具集���。
本次發(fā)布的《數(shù)字安全免疫力建設(shè)指南》是免疫力框架落地的具體實(shí)操路徑����。在具體內(nèi)涵上���,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運(yùn)作為最終目的,取代傳統(tǒng)將“安全”作為第一視角的建設(shè)思路����,基于企業(yè)現(xiàn)狀、預(yù)算水平提升安全有效性�����,而非“絕對(duì)安全”�。提前規(guī)劃主動(dòng)預(yù)案�,基于企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)��,提前為未來可能發(fā)生的威脅做好準(zhǔn)備并做好安全規(guī)劃��。綜合協(xié)調(diào)安全資源���,實(shí)現(xiàn)內(nèi)部安全產(chǎn)品以及外部安全資源的協(xié)同���,最后通過足夠高的安全水位、自迭代能力以及非交互式驗(yàn)證的技術(shù)實(shí)現(xiàn)安全無感知��。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術(shù)變遷解讀了免疫力的內(nèi)涵����。他表示����,安全已經(jīng)從傳統(tǒng)的計(jì)算機(jī)安全���、信息安全����、網(wǎng)絡(luò)安全演進(jìn)到了如今的數(shù)字安全�����,風(fēng)險(xiǎn)已不再局限于圍繞數(shù)字化資產(chǎn)的攻防對(duì)抗,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角,而是圍繞企業(yè)運(yùn)作中面臨的風(fēng)險(xiǎn)展開����。
六大模塊��,精確度量安全水平
不同規(guī)模�、行業(yè)����、數(shù)字化程度企業(yè)遭遇的個(gè)性化安全挑戰(zhàn)不一而同�,同時(shí)伴隨著外部威脅和市場(chǎng)環(huán)境的快速變化�,企業(yè)需要?jiǎng)討B(tài)掌握自身的安全水位��。指南對(duì)此提出了“精確安全度量”——運(yùn)用安全評(píng)測(cè)工具動(dòng)態(tài)評(píng)估自身水位����。例如騰訊安全研發(fā)的數(shù)字安全免疫力測(cè)評(píng)工具����,通過填寫調(diào)研問卷的方式�����,可讓企業(yè)掌握全局的安全建設(shè)短板。同時(shí)�,評(píng)估的報(bào)告也會(huì)將企業(yè)與行業(yè)平均水平對(duì)比���,讓企業(yè)更直觀了解差距。
此外���,指南還建議企業(yè)從“等保”實(shí)際價(jià)值����、安全人員能力���、AI技術(shù)影響等維度動(dòng)態(tài)評(píng)估更新。例如��,關(guān)注以AIGC為代表的新興技術(shù)安全�。在AIGC的助力下����,防御成本將大幅度下降��,防御體系的自我決策和反應(yīng)能力都會(huì)指數(shù)級(jí)提升�,核心思路也將從攻防驅(qū)動(dòng)轉(zhuǎn)為風(fēng)險(xiǎn)驅(qū)動(dòng)����,大量低級(jí)網(wǎng)絡(luò)攻擊手段將快速失效���。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時(shí)����,指南更關(guān)注企業(yè)實(shí)踐�。根據(jù)數(shù)據(jù)安全����、業(yè)務(wù)安全���、邊界安全�、端點(diǎn)安全、應(yīng)用開發(fā)安全與安全運(yùn)營管理六大模塊對(duì)應(yīng)的具體場(chǎng)景為企業(yè)推薦對(duì)應(yīng)的建設(shè)意見與工具建議�,為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實(shí)戰(zhàn)指引�。
在數(shù)據(jù)安全方面����,數(shù)字安全免疫力建設(shè)指南提出數(shù)據(jù)分類��、分級(jí)是數(shù)據(jù)安全建設(shè)的關(guān)鍵�����。同時(shí)要建立數(shù)據(jù)安全防護(hù)基線����、建立統(tǒng)一化運(yùn)營體系�;業(yè)務(wù)安全方面�����,指南提出缺乏安全能力護(hù)航的業(yè)務(wù)可能成為黑灰產(chǎn)的“提款機(jī)”����,人機(jī)識(shí)別�����、風(fēng)控引擎、內(nèi)容安全�����、業(yè)務(wù)安全合規(guī)等是必要的投入��。
隨著云計(jì)算和數(shù)字化轉(zhuǎn)型���,企業(yè)邊界模糊���,需重新定義邊界為IT環(huán)境“入口”的集合。企業(yè)應(yīng)重視端點(diǎn)安全���,統(tǒng)一協(xié)同邊界和端點(diǎn)安全產(chǎn)品,構(gòu)建新安全護(hù)城河�,提高應(yīng)對(duì)未知風(fēng)險(xiǎn)和移動(dòng)辦公威脅的能力。
在應(yīng)用開發(fā)安全中���,需要將安全建設(shè)也植入到開發(fā)團(tuán)隊(duì)當(dāng)中����,并結(jié)合風(fēng)險(xiǎn)點(diǎn)部署安全工具,而且要確保開發(fā)團(tuán)隊(duì)能熟練使用安全工具�;安全運(yùn)營管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價(jià)值��,串聯(lián)起不同的安全產(chǎn)品���、資源�����,建議引入SOC、威脅情報(bào)�、攻擊面管理等技術(shù)提升安全運(yùn)營效率�。
各行業(yè)數(shù)字安全免疫力實(shí)踐涌現(xiàn)���,護(hù)航企業(yè)健康發(fā)展
研討會(huì)上��,來自多個(gè)行業(yè)的企業(yè)領(lǐng)袖����、安全負(fù)責(zé)人分享了自身數(shù)字安全免疫力的建設(shè)實(shí)踐���。作為數(shù)字安全免疫力框架模型的提出者,騰訊自身就是長期的踐行者�����。在過去20多年的發(fā)展過程中���,騰訊安全護(hù)航自身海量用戶和業(yè)務(wù)場(chǎng)景,就遵循著彈性����、自適應(yīng)���、可擴(kuò)展的安全建設(shè)思路。據(jù)騰訊安全副總裁�、云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)介紹�,騰訊云目前打造了以默認(rèn)安全���、底層可信����、縱深防御為特點(diǎn)的高安全等級(jí)架構(gòu)�,讓企業(yè)在云上能天然具備更高的安全水位���。
“商業(yè)的未來就是和AI深度綁定”,據(jù)悅商科技CEO����、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹�����,悅商運(yùn)營管理系統(tǒng)依托騰訊云自研金融級(jí)AI-天御決策操作系統(tǒng),構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型�,保障用戶在商業(yè)運(yùn)營全業(yè)務(wù)場(chǎng)景數(shù)據(jù)合規(guī)互聯(lián)互通��,簡(jiǎn)化了80%的運(yùn)營流程���。
在醫(yī)療健康領(lǐng)域,腦動(dòng)極光CISO��、OWASP分會(huì)負(fù)責(zé)人張坤建議重點(diǎn)關(guān)注遠(yuǎn)程醫(yī)療��、健康傳感、臨床研究�、器械維護(hù)等八大場(chǎng)景的數(shù)據(jù)安全��。腦動(dòng)極光通過建設(shè)數(shù)據(jù)安全基礎(chǔ)能力���、建立事件快速響應(yīng)能力、加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)感知三大舉措��,提升了醫(yī)療數(shù)據(jù)的安全免疫力���。
在金融行業(yè),孚臨科技CEO唐科偉認(rèn)為�����,風(fēng)控和智能決策正在形成以PaaS作為基礎(chǔ)設(shè)施��,融合數(shù)據(jù)形成MaaS服務(wù)����,構(gòu)建場(chǎng)景SaaS平臺(tái)的趨勢(shì)���。孚臨科技聯(lián)合騰訊云天御打造的MaaS服務(wù),助力某城商行的小微貸款業(yè)務(wù)建立了更加動(dòng)態(tài)和全面的風(fēng)控體系��,實(shí)現(xiàn)安全放款30多億����,不良率同比大幅降低��,服務(wù)超萬家企業(yè)。
本次發(fā)布會(huì)上��,指南還對(duì)2024年九大關(guān)鍵安全趨勢(shì)做了研判,覆蓋數(shù)據(jù)要素x����、工業(yè)互聯(lián)網(wǎng)安全、威脅情報(bào)等領(lǐng)域和技術(shù)��,為企業(yè)構(gòu)建免疫力提供前瞻式趨勢(shì)參考���。
識(shí)別下圖二維碼下載《數(shù)字安全免疫力建設(shè)指南》
