近日,由工業和信息化部新聞宣傳中心指導,騰訊安全、騰訊研究院、中國信息安全聯合三十余位業內專家共同編制的《數字安全免疫力建設指南》(以下簡稱指南)正式發布。圍繞“發展驅動”的安全范式,指南從理念認知、范式重建、量化評估、關鍵模塊以及實踐案例等方面,為企業構建數字安全免疫力提供了指引和參考。
四大核心:構建“發展驅動”新范式
指南指出,“安全是發展的前提,發展是安全的保障”。當前,網絡與安全密不可分,共同構成了國家數字經濟發展的基礎設施,也成為企業創新與發展的基石。企業的數字化發展與安全建設,亟待破除安全的“成本中心”思維,用發展的眼光看待安全,建立發展與安全融合的“發展驅動”范式。
騰訊集團高級執行副總裁、云與智慧產業事業群CEO湯道生表示,數字化的快速發展,帶來不可忽視的安全問題。企業的安全建設思維,需要從傳統的邊界防護與事件驅動,向異常行為監測、威脅情報與數據驅動轉變,建立一套合規、可擴展、自適應的數字安全免疫系統。
數字安全免疫力正是“發展驅動”的探索。2023年6月,騰訊安全聯合IDC提出“數字安全免疫力”新框架,希望以企業客戶真實場景、真實痛點、真實需求為研究對象,為企業創建一套以數據與業務為中心,統籌發展與安全的方法論、工具集。
本次發布的《數字安全免疫力建設指南》是免疫力框架落地的具體實操路徑。在具體內涵上,指南介紹了數字安全免疫力的四大核心:以企業運作為最終目的,取代傳統將“安全”作為第一視角的建設思路,基于企業現狀、預算水平提升安全有效性,而非“絕對安全”。提前規劃主動預案,基于企業業務的發展目標,提前為未來可能發生的威脅做好準備并做好安全規劃。綜合協調安全資源,實現內部安全產品以及外部安全資源的協同。最后通過足夠高的安全水位、自迭代能力以及非交互式驗證的技術實現安全無感知。
數世咨詢創始人李少鵬從安全技術變遷解讀了數字安全免疫力的內涵。他表示,安全已經從傳統的計算機安全、信息安全、網絡安全演進到了如今的數字安全,風險已不再局限于圍繞數字化資產的攻防對抗,數字安全免疫力的思路并非直接將“安全”作為第一視角,而是圍繞企業運作中面臨的風險展開。
六大模塊:精確度量安全水平
不同規模、行業、數字化程度企業遭遇的個性化安全挑戰不一而同,同時伴隨著外部威脅和市場環境的快速變化,企業需要動態掌握自身的安全水位。指南對此提出了“精確安全度量”――運用安全評測工具動態評估自身水位。例如騰訊安全研發的數字安全免疫力測評工具,通過填寫調研問卷的方式,可讓企業掌握全局的安全建設短板。同時,評估的報告也會將企業與行業平均水平對比,讓企業更直觀了解差距。
此外,指南還建議企業從“等?!睂嶋H價值、安全人員能力、AI技術影響等維度動態評估更新。例如,關注以AIGC為代表的新興技術安全。在AIGC的助力下,防御成本將大幅度下降,防御體系的自我決策和反應能力都會指數級提升,核心思路也將從攻防驅動轉為風險驅動,大量低級網絡攻擊手段將快速失效。
在持續完善“數字安全免疫力”框架的同時,指南更關注企業實踐。根據數據安全、業務安全、邊界安全、端點安全、應用開發安全與安全運營管理六大模塊對應的具體場景為企業推薦對應的建設意見與工具建議,為處于數字化轉型期的企業提供實戰指引。
在數據安全方面,數字安全免疫力建設指南提出數據分類、分級是數據安全建設的關鍵。同時要建立數據安全防護基線、建立統一化運營體系;業務安全方面,指南提出缺乏安全能力護航的業務可能成為黑灰產的“提款機”,人機識別、風控引擎、內容安全、業務安全合規等是必要的投入。
隨著云計算和數字化轉型,企業邊界模糊,需重新定義邊界為IT環境“入口”的集合。企業應重視端點安全,統一協同邊界和端點安全產品,構建新安全護城河,提高應對未知風險和移動辦公威脅的能力。
在應用開發安全中,需要將安全建設也植入到開發團隊當中,并結合風險點部署安全工具,而且要確保開發團隊能熟練使用安全工具;安全運營管理則需要發揮出“中心指揮部”的戰略價值,串聯起不同的安全產品、資源,建議引入SOC、威脅情報、攻擊面管理等技術提升安全運營效率。
免疫力實踐:護航企業數字安全
研討會上,來自多個行業的企業代表、安全負責人分享了自身數字安全免疫力的建設實踐。
作為數字安全免疫力框架模型的提出者,騰訊自身就是長期的踐行者。在過去20多年的發展過程中,騰訊安全護航自身海量用戶和業務場景,就遵循著彈性、自適應、可擴展的安全建設思路。
據騰訊安全副總裁、云鼎實驗室負責人董志強介紹,騰訊云目前打造了以默認安全、底層可信、縱深防御為特點的高安全等級架構,讓企業在云上能天然具備更高的安全水位。
“商業的未來就是和AI深度綁定”,據悅商科技CEO、寶龍商業首席創新官吳弼川介紹,悅商運營管理系統依托騰訊云自研金融級AI-天御決策操作系統,構建了智能化的大數據風控模型,保障用戶在商業運營全業務場景數據合規互聯互通,簡化了80%的運營流程。
在醫療健康領域,腦動極光CISO、OWASP分會負責人張坤建議重點關注遠程醫療、健康傳感、臨床研究、器械維護等八大場景的數據安全。腦動極光通過建設數據安全基礎能力、建立事件快速響應能力、加強數據安全風險感知三大舉措,提升了醫療數據的安全免疫力。
本次發布會上,指南還對2024年九大關鍵安全趨勢做了研判,覆蓋數據要素、工業互聯網安全、威脅情報等領域和技術,為企業構建免疫力提供前瞻式趨勢參考。
工業和信息化部新聞宣傳中心(人民郵電報社)總編輯王保平在會議上表示,希望專家智慧的沉淀,能夠切實成為企業安全建設的“指南針”和“設計圖”,幫助企業打造面向未來、適應發展的數字安全免疫力體系,共同為網絡強國、數字中國的高質量發展貢獻力量。