《數字安全免疫力建設指南》發佈，提出企業安全4大核心6大模組建設路徑

2024年1月17日,《數字安全免疫力建設指南》發佈暨行業實踐研討會在海南三亞舉行。指南由工業和資訊化部新聞宣傳中心(人民郵電報社)指導,騰訊安全、騰訊研究院、中國資訊安全聯合三十余位業內專家、學者、企業領袖共同編制,圍繞“發展驅動”的安全範式,從理念認知、範式重建、量化評估、關鍵模組以及實踐案例等方面,為企業構建數字安全免疫力提供指引和參考。

工業和資訊化部新聞宣傳中心(人民郵電報社)總編輯王保平在會議上指出,希望專家智慧的沉澱,能夠切實成為企業安全建設的“指南針”和“設計圖”,幫助企業打造面向未來、適應發展的數字安全免疫力體系,共同為網路強國、數字中國的高品質發展貢獻力量。

騰訊集團高級執行副總裁、雲與智慧産業事業群CEO湯道生表示,數字化的快速發展,帶來不可忽視的安全問題。企業的安全建設思維,需要從傳統的邊界防護與事件驅動,向異常行為監測、威脅情報與數據驅動轉變,建立一套合規、可擴展、自適應的數字安全免疫系統。騰訊願和社會各界一起,為企業在數字化時代的安全建設提供可借鑒的實踐指引,著眼于未來健康可持續發展,築牢安全底座。

(圖:《數字安全免疫力建設指南》正式發佈)

四大核心,構建“發展驅動”新範式

指南指出:“安全是發展的前提,發展是安全的保障”。當前,網路與安全密不可分,共同構成了國家數字經濟發展的基礎設施,也成為企業創新與發展的基石。企業的數字化發展與安全建設,亟待破除“成本中心”思維,用發展的眼光看待安全,建立發展與安全融合的“發展驅動”範式。

數字安全免疫力正是“發展驅動”的探索與實踐。2023年6月,騰訊安全聯合IDC提出“數字安全免疫力”新框架,希望以企業客戶真實場景、真實痛點、真實需求為研究對象,為企業創建一套以數據與業務為中心,統籌發展與安全的方法論、工具集。

本次《數字安全免疫力建設指南》是免疫力框架落地的具體實操路徑。在具體內涵上,指南擴展了數字安全免疫力的四大核心:以企業運作為最終目的,取代傳統將“安全”作為第一視角的建設思路,基於企業現狀、預算水準提升安全有效性,而非盲目強調“絕對安全”。

報告建議,企業應提前規劃主動預案,基於企業業務的發展目標,為未來可能發生的威脅做好準備,實現預判、響應和處置聯動。綜合協調安全資源,實現內部安全産品以及外部安全資源的協同,最後通過足夠高的安全水位、自迭代能力以及非互動式驗證的技術實現安全無感知。

六大模組,精確度量安全水準

不同規模、行業、數字化程度企業遭遇的個性化安全挑戰不一而同,同時伴隨著外部威脅和市場環境的快速變化,企業需要動態掌握自身的安全水位。指南對此提出了“精確安全度量”——運用安全評測工具動態評估自身水位。例如騰訊安全研發的數字安全免疫力測評工具,通過填寫調研問卷的方式,可讓企業掌握全局的安全建設短板。同時,評估的報告也會將企業與行業平均水準對比,讓企業更直觀了解差距。

此外,指南還建議企業從“等保”實際價值、安全人員能力、AI技術影響等維度動態評估更新。例如,關注以AIGC為代表的新興技術安全。在AIGC的助力下,防禦成本將大幅度下降,防禦體系的自我決策和反應能力都會指數級提升,核心思路也將從攻防驅動轉為風險驅動,大量低級網路攻擊手段將快速失效。

在持續完善“數字安全免疫力”框架的同時,指南更關注企業實踐。根據數據安全、業務安全、邊界安全、端點安全、應用開發安全與安全運營管理六大模組對應的具體場景為企業推薦對應的建設意見與工具建議,為處於數字化轉型期的企業提供實戰指引。

在數據安全方面,數字安全免疫力建設指南提出數據分類、分級是數據安全建設的關鍵。同時要建立數據安全防護基線、建立統一化運營體系;業務安全方面,缺乏安全能力護航的業務可能成為黑灰産的“提款機”,人機識別、風控引擎、內容安全、業務安全合規等是必要的投入。

隨著雲計算和數字化轉型,企業安全邊界模糊,需重新定義邊界為IT環境“入口”的集合。企業應重視端點安全,統一協同邊界和端點安全産品,構建新安全護城河,提高應對未知風險和移動辦公威脅的能力。

在應用開發安全中,需要將安全建設也植入到開發團隊當中,並結合風險點部署安全工具,而且要確保開發團隊能熟練使用安全工具;安全運營管理則需要發揮出“中心指揮部”的戰略價值,串聯起不同的安全産品、資源,建議引入SOC、威脅情報、攻擊面管理等技術提升安全運營效率。

各行業數字安全免疫力實踐涌現,護航企業健康發展

研討會上,來自多個行業的專家、學者、企業領袖以及安全負責人分享了自身數字安全免疫力的建設實踐。作為數字安全免疫力框架模型的提出者,騰訊自身就是長期的踐行者。在過去20多年的發展過程中,騰訊安全護航自身海量用戶和業務場景,就遵循著彈性、自適應、可擴展的安全建設思路。據騰訊安全副總裁、雲鼎實驗室負責人董志強介紹,騰訊雲目前打造了以默認安全、底層可信、縱深防禦為特點的高安全等級架構,讓企業在雲上能天然具備更高的安全水位。

數世諮詢創始人李少鵬從安全技術變遷解讀了免疫力範式的內涵。他表示,安全已經從傳統的電腦安全、資訊安全、網路安全演進到了如今的數字安全,風險已不再局限于圍繞數字化資産的攻防對抗,數字安全免疫力的思路並非直接將“安全”作為第一視角,而是圍繞企業運作中面臨的風險展開。

“商業的未來就是和AI深度綁定”,據悅商科技CEO、寶龍商業首席創新官吳弼川介紹,悅商運營管理系統依託騰訊雲自研金融級AI-天禦決策作業系統,構建了智慧化的大數據風控模型,保障用戶在商業運營全業務場景數據合規互聯互通,簡化了80%的運營流程。

在醫療健康領域,腦動極光CISO、OWASP分會負責人張坤建議重點關注遠端醫療、健康傳感、臨床研究、器械維護等八大場景的數據安全。腦動極光通過建設數據安全基礎能力、建立事件快速響應能力、加強數據安全風險感知三大舉措,提升了醫療數據的安全免疫力。

在金融行業,孚臨科技CEO唐科偉認為,風控和智慧決策正在形成以PaaS作為基礎設施,融合數據形成MaaS服務,構建場景SaaS平臺的趨勢。孚臨科技聯合騰訊雲天禦打造的MaaS服務,助力某城商行的小微貸款業務建立了更加動態和全面的風控體系,實現安全放款30多億,不良率同比大幅降低,服務超萬家企業。

本次發佈會上,指南還對2024年九大關鍵安全趨勢做了研判,覆蓋數據要素x、工業網際網路安全、威脅情報等領域和技術,為企業構建免疫力提供前瞻式趨勢參考。