近日,由工業(yè)和信息化部新聞宣傳中心指導(dǎo),騰訊安全、騰訊研究院、中國信息安全聯(lián)合三十余位業(yè)內(nèi)專家共同編制的《數(shù)字安全免疫力建設(shè)指南》(以下簡稱指南)正式發(fā)布。圍繞“發(fā)展驅(qū)動”的安全范式,指南從理念認(rèn)知、范式重建、量化評估、關(guān)鍵模塊以及實踐案例等方面,為企業(yè)構(gòu)建數(shù)字安全免疫力提供了指引和參考。
四大核心:構(gòu)建“發(fā)展驅(qū)動”新范式
指南指出,“安全是發(fā)展的前提,發(fā)展是安全的保障”。當(dāng)前,網(wǎng)絡(luò)與安全密不可分,共同構(gòu)成了國家數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)設(shè)施,也成為企業(yè)創(chuàng)新與發(fā)展的基石。企業(yè)的數(shù)字化發(fā)展與安全建設(shè),亟待破除安全的“成本中心”思維,用發(fā)展的眼光看待安全,建立發(fā)展與安全融合的“發(fā)展驅(qū)動”范式。
騰訊集團高級執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示,數(shù)字化的快速發(fā)展,帶來不可忽視的安全問題。企業(yè)的安全建設(shè)思維,需要從傳統(tǒng)的邊界防護與事件驅(qū)動,向異常行為監(jiān)測、威脅情報與數(shù)據(jù)驅(qū)動轉(zhuǎn)變,建立一套合規(guī)、可擴展、自適應(yīng)的數(shù)字安全免疫系統(tǒng)。
數(shù)字安全免疫力正是“發(fā)展驅(qū)動”的探索。2023年6月,騰訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架,希望以企業(yè)客戶真實場景、真實痛點、真實需求為研究對象,為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務(wù)為中心,統(tǒng)籌發(fā)展與安全的方法論、工具集。
本次發(fā)布的《數(shù)字安全免疫力建設(shè)指南》是免疫力框架落地的具體實操路徑。在具體內(nèi)涵上,指南介紹了數(shù)字安全免疫力的四大核心:以企業(yè)運作為最終目的,取代傳統(tǒng)將“安全”作為第一視角的建設(shè)思路,基于企業(yè)現(xiàn)狀、預(yù)算水平提升安全有效性,而非“絕對安全”。提前規(guī)劃主動預(yù)案,基于企業(yè)業(yè)務(wù)的發(fā)展目標(biāo),提前為未來可能發(fā)生的威脅做好準(zhǔn)備并做好安全規(guī)劃。綜合協(xié)調(diào)安全資源,實現(xiàn)內(nèi)部安全產(chǎn)品以及外部安全資源的協(xié)同。最后通過足夠高的安全水位、自迭代能力以及非交互式驗證的技術(shù)實現(xiàn)安全無感知。
數(shù)世咨詢創(chuàng)始人李少鵬從安全技術(shù)變遷解讀了數(shù)字安全免疫力的內(nèi)涵。他表示,安全已經(jīng)從傳統(tǒng)的計算機安全、信息安全、網(wǎng)絡(luò)安全演進到了如今的數(shù)字安全,風(fēng)險已不再局限于圍繞數(shù)字化資產(chǎn)的攻防對抗,數(shù)字安全免疫力的思路并非直接將“安全”作為第一視角,而是圍繞企業(yè)運作中面臨的風(fēng)險展開。
六大模塊:精確度量安全水平
不同規(guī)模、行業(yè)、數(shù)字化程度企業(yè)遭遇的個性化安全挑戰(zhàn)不一而同,同時伴隨著外部威脅和市場環(huán)境的快速變化,企業(yè)需要動態(tài)掌握自身的安全水位。指南對此提出了“精確安全度量”――運用安全評測工具動態(tài)評估自身水位。例如騰訊安全研發(fā)的數(shù)字安全免疫力測評工具,通過填寫調(diào)研問卷的方式,可讓企業(yè)掌握全局的安全建設(shè)短板。同時,評估的報告也會將企業(yè)與行業(yè)平均水平對比,讓企業(yè)更直觀了解差距。
此外,指南還建議企業(yè)從“等?!睂嶋H價值、安全人員能力、AI技術(shù)影響等維度動態(tài)評估更新。例如,關(guān)注以AIGC為代表的新興技術(shù)安全。在AIGC的助力下,防御成本將大幅度下降,防御體系的自我決策和反應(yīng)能力都會指數(shù)級提升,核心思路也將從攻防驅(qū)動轉(zhuǎn)為風(fēng)險驅(qū)動,大量低級網(wǎng)絡(luò)攻擊手段將快速失效。
在持續(xù)完善“數(shù)字安全免疫力”框架的同時,指南更關(guān)注企業(yè)實踐。根據(jù)數(shù)據(jù)安全、業(yè)務(wù)安全、邊界安全、端點安全、應(yīng)用開發(fā)安全與安全運營管理六大模塊對應(yīng)的具體場景為企業(yè)推薦對應(yīng)的建設(shè)意見與工具建議,為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實戰(zhàn)指引。
在數(shù)據(jù)安全方面,數(shù)字安全免疫力建設(shè)指南提出數(shù)據(jù)分類、分級是數(shù)據(jù)安全建設(shè)的關(guān)鍵。同時要建立數(shù)據(jù)安全防護基線、建立統(tǒng)一化運營體系;業(yè)務(wù)安全方面,指南提出缺乏安全能力護航的業(yè)務(wù)可能成為黑灰產(chǎn)的“提款機”,人機識別、風(fēng)控引擎、內(nèi)容安全、業(yè)務(wù)安全合規(guī)等是必要的投入。
隨著云計算和數(shù)字化轉(zhuǎn)型,企業(yè)邊界模糊,需重新定義邊界為IT環(huán)境“入口”的集合。企業(yè)應(yīng)重視端點安全,統(tǒng)一協(xié)同邊界和端點安全產(chǎn)品,構(gòu)建新安全護城河,提高應(yīng)對未知風(fēng)險和移動辦公威脅的能力。
在應(yīng)用開發(fā)安全中,需要將安全建設(shè)也植入到開發(fā)團隊當(dāng)中,并結(jié)合風(fēng)險點部署安全工具,而且要確保開發(fā)團隊能熟練使用安全工具;安全運營管理則需要發(fā)揮出“中心指揮部”的戰(zhàn)略價值,串聯(lián)起不同的安全產(chǎn)品、資源,建議引入SOC、威脅情報、攻擊面管理等技術(shù)提升安全運營效率。
免疫力實踐:護航企業(yè)數(shù)字安全
研討會上,來自多個行業(yè)的企業(yè)代表、安全負(fù)責(zé)人分享了自身數(shù)字安全免疫力的建設(shè)實踐。
作為數(shù)字安全免疫力框架模型的提出者,騰訊自身就是長期的踐行者。在過去20多年的發(fā)展過程中,騰訊安全護航自身海量用戶和業(yè)務(wù)場景,就遵循著彈性、自適應(yīng)、可擴展的安全建設(shè)思路。
據(jù)騰訊安全副總裁、云鼎實驗室負(fù)責(zé)人董志強介紹,騰訊云目前打造了以默認(rèn)安全、底層可信、縱深防御為特點的高安全等級架構(gòu),讓企業(yè)在云上能天然具備更高的安全水位。
“商業(yè)的未來就是和AI深度綁定”,據(jù)悅商科技CEO、寶龍商業(yè)首席創(chuàng)新官吳弼川介紹,悅商運營管理系統(tǒng)依托騰訊云自研金融級AI-天御決策操作系統(tǒng),構(gòu)建了智能化的大數(shù)據(jù)風(fēng)控模型,保障用戶在商業(yè)運營全業(yè)務(wù)場景數(shù)據(jù)合規(guī)互聯(lián)互通,簡化了80%的運營流程。
在醫(yī)療健康領(lǐng)域,腦動極光CISO、OWASP分會負(fù)責(zé)人張坤建議重點關(guān)注遠(yuǎn)程醫(yī)療、健康傳感、臨床研究、器械維護等八大場景的數(shù)據(jù)安全。腦動極光通過建設(shè)數(shù)據(jù)安全基礎(chǔ)能力、建立事件快速響應(yīng)能力、加強數(shù)據(jù)安全風(fēng)險感知三大舉措,提升了醫(yī)療數(shù)據(jù)的安全免疫力。
本次發(fā)布會上,指南還對2024年九大關(guān)鍵安全趨勢做了研判,覆蓋數(shù)據(jù)要素、工業(yè)互聯(lián)網(wǎng)安全、威脅情報等領(lǐng)域和技術(shù),為企業(yè)構(gòu)建免疫力提供前瞻式趨勢參考。
工業(yè)和信息化部新聞宣傳中心(人民郵電報社)總編輯王保平在會議上表示,希望專家智慧的沉淀,能夠切實成為企業(yè)安全建設(shè)的“指南針”和“設(shè)計圖”,幫助企業(yè)打造面向未來、適應(yīng)發(fā)展的數(shù)字安全免疫力體系,共同為網(wǎng)絡(luò)強國、數(shù)字中國的高質(zhì)量發(fā)展貢獻(xiàn)力量。