近日����,由工業(yè)和信息化部新聞宣傳中心指導�����,騰訊安全���、騰訊研究院�����、中國信息安全聯(lián)合三十余位業(yè)內(nèi)專家共同編制的《數(shù)字安全免疫力建設(shè)指南》(以下簡稱指南)正式發(fā)布���。圍繞“發(fā)展驅(qū)動”的安全范式���,指南從理念認知��、范式重建����、量化評估、關(guān)鍵模塊以及實踐案例等方面�����,為企業(yè)構(gòu)建數(shù)字安全免疫力提供了指引和參考���。
四大核心:構(gòu)建“發(fā)展驅(qū)動”新范式
指南指出�����,“安全是發(fā)展的前提����,發(fā)展是安全的保障”。當前����,網(wǎng)絡(luò)與安全密不可分,共同構(gòu)成了國家數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)設(shè)施�����,也成為企業(yè)創(chuàng)新與發(fā)展的基石����。企業(yè)的數(shù)字化發(fā)展與安全建設(shè),亟待破除安全的“成本中心”思維����,用發(fā)展的眼光看待安全,建立發(fā)展與安全融合的“發(fā)展驅(qū)動”范式��。
騰訊集團高級執(zhí)行副總裁�、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示,數(shù)字化的快速發(fā)展��,帶來不可忽視的安全問題。企業(yè)的安全建設(shè)思維���,需要從傳統(tǒng)的邊界防護與事件驅(qū)動�,向異常行為監(jiān)測�、威脅情報與數(shù)據(jù)驅(qū)動轉(zhuǎn)變,建立一套合規(guī)�、可擴展、自適應的數(shù)字安全免疫系統(tǒng)����。
數(shù)字安全免疫力正是“發(fā)展驅(qū)動”的探索。2023年6月�,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架�,希望以企業(yè)客戶真實場景、真實痛點���、真實需求為研究對象�����,為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務為中心����,統(tǒng)籌發(fā)展與安全的方法論、工具集����。
本次發(fā)布的《數(shù)字安全免疫力建設(shè)指南》是免疫力框架落地的具體實操路徑。在具體內(nèi)涵上���,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運作為最終目的��,取代傳統(tǒng)將“安全”作為第一視角的建設(shè)思路����,基于企業(yè)現(xiàn)狀��、預算水平提升安全有效性��,而非“絕對安全”��。提前規(guī)劃主動預案�����,基于企業(yè)業(yè)務的發(fā)展目標��,提前為未來可能發(fā)生的威脅做好準備并做好安全規(guī)劃����。綜合協(xié)調(diào)安全資源����,實現(xiàn)內(nèi)部安全產(chǎn)品以及外部安全資源的協(xié)同���。最后通過足夠高的安全水位���、自迭代能力以及非交互式驗證的技術(shù)實現(xiàn)安全無感知。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術(shù)變遷解讀了數(shù)字安全免疫力的內(nèi)涵����。他表示,安全已經(jīng)從傳統(tǒng)的計算機安全���、信息安全��、網(wǎng)絡(luò)安全演進到了如今的數(shù)字安全,風險已不再局限于圍繞數(shù)字化資產(chǎn)的攻防對抗�,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角,而是圍繞企業(yè)運作中面臨的風險展開�����。
六大模塊:精確度量安全水平
不同規(guī)模、行業(yè)�、數(shù)字化程度企業(yè)遭遇的個性化安全挑戰(zhàn)不一而同,同時伴隨著外部威脅和市場環(huán)境的快速變化����,企業(yè)需要動態(tài)掌握自身的安全水位。指南對此提出了“精確安全度量”——運用安全評測工具動態(tài)評估自身水位����。例如騰訊安全研發(fā)的數(shù)字安全免疫力測評工具,通過填寫調(diào)研問卷的方式�����,可讓企業(yè)掌握全局的安全建設(shè)短板���。同時����,評估的報告也會將企業(yè)與行業(yè)平均水平對比����,讓企業(yè)更直觀了解差距。
此外�,指南還建議企業(yè)從“等保”實際價值�����、安全人員能力、AI技術(shù)影響等維度動態(tài)評估更新��。例如����,關(guān)注以AIGC為代表的新興技術(shù)安全。在AIGC的助力下����,防御成本將大幅度下降,防御體系的自我決策和反應能力都會指數(shù)級提升���,核心思路也將從攻防驅(qū)動轉(zhuǎn)為風險驅(qū)動����,大量低級網(wǎng)絡(luò)攻擊手段將快速失效�。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時�,指南更關(guān)注企業(yè)實踐。根據(jù)數(shù)據(jù)安全���、業(yè)務安全����、邊界安全、端點安全�、應用開發(fā)安全與安全運營管理六大模塊對應的具體場景為企業(yè)推薦對應的建設(shè)意見與工具建議,為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實戰(zhàn)指引���。
在數(shù)據(jù)安全方面���,數(shù)字安全免疫力建設(shè)指南提出數(shù)據(jù)分類、分級是數(shù)據(jù)安全建設(shè)的關(guān)鍵���。同時要建立數(shù)據(jù)安全防護基線�、建立統(tǒng)一化運營體系��;業(yè)務安全方面��,指南提出缺乏安全能力護航的業(yè)務可能成為黑灰產(chǎn)的“提款機”��,人機識別���、風控引擎���、內(nèi)容安全����、業(yè)務安全合規(guī)等是必要的投入���。
隨著云計算和數(shù)字化轉(zhuǎn)型�,企業(yè)邊界模糊��,需重新定義邊界為IT環(huán)境“入口”的集合�。企業(yè)應重視端點安全,統(tǒng)一協(xié)同邊界和端點安全產(chǎn)品���,構(gòu)建新安全護城河���,提高應對未知風險和移動辦公威脅的能力。
在應用開發(fā)安全中����,需要將安全建設(shè)也植入到開發(fā)團隊當中,并結(jié)合風險點部署安全工具���,而且要確保開發(fā)團隊能熟練使用安全工具���;安全運營管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價值,串聯(lián)起不同的安全產(chǎn)品���、資源���,建議引入SOC、威脅情報�、攻擊面管理等技術(shù)提升安全運營效率。
免疫力實踐:護航企業(yè)數(shù)字安全
研討會上����,來自多個行業(yè)的企業(yè)代表、安全負責人分享了自身數(shù)字安全免疫力的建設(shè)實踐��。
作為數(shù)字安全免疫力框架模型的提出者���,騰訊自身就是長期的踐行者����。在過去20多年的發(fā)展過程中����,騰訊安全護航自身海量用戶和業(yè)務場景���,就遵循著彈性、自適應�����、可擴展的安全建設(shè)思路����。
據(jù)騰訊安全副總裁、云鼎實驗室負責人董志強介紹��,騰訊云目前打造了以默認安全�����、底層可信�、縱深防御為特點的高安全等級架構(gòu),讓企業(yè)在云上能天然具備更高的安全水位��。
“商業(yè)的未來就是和AI深度綁定”���,據(jù)悅商科技CEO���、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹����,悅商運營管理系統(tǒng)依托騰訊云自研金融級AI-天御決策操作系統(tǒng)�����,構(gòu)建了智能化的大數(shù)據(jù)風控模型�����,保障用戶在商業(yè)運營全業(yè)務場景數(shù)據(jù)合規(guī)互聯(lián)互通����,簡化了80%的運營流程���。
在醫(yī)療健康領(lǐng)域�,腦動極光CISO���、OWASP分會負責人張坤建議重點關(guān)注遠程醫(yī)療��、健康傳感����、臨床研究、器械維護等八大場景的數(shù)據(jù)安全��。腦動極光通過建設(shè)數(shù)據(jù)安全基礎(chǔ)能力�、建立事件快速響應能力、加強數(shù)據(jù)安全風險感知三大舉措��,提升了醫(yī)療數(shù)據(jù)的安全免疫力�。
本次發(fā)布會上,指南還對2024年九大關(guān)鍵安全趨勢做了研判���,覆蓋數(shù)據(jù)要素�����、工業(yè)互聯(lián)網(wǎng)安全�����、威脅情報等領(lǐng)域和技術(shù)����,為企業(yè)構(gòu)建免疫力提供前瞻式趨勢參考��。
工業(yè)和信息化部新聞宣傳中心(人民郵電報社)總編輯王保平在會議上表示,希望專家智慧的沉淀����,能夠切實成為企業(yè)安全建設(shè)的“指南針”和“設(shè)計圖”,幫助企業(yè)打造面向未來�����、適應發(fā)展的數(shù)字安全免疫力體系��,共同為網(wǎng)絡(luò)強國���、數(shù)字中國的高質(zhì)量發(fā)展貢獻力量。(記者 王存福)
轉(zhuǎn)自:經(jīng)濟參考報
【版權(quán)及免責聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力����。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊���,僅代表作者個人觀點��,不代表本網(wǎng)觀點和立場�。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
