邮发代号 2-786
征订热线:010-82341063
相伴数字化转型发展而新生的安全问题是:安全事件层出不穷,安全损失没有上限,数字安全建设面临前所未有的挑战。尽管企业已经普遍开展安全建设,但是面对来自数据、业务等维度的新挑战,企业的安全应对能力也面临新挑战。发展驱动成为行业共识,企业应从传统的、基于攻防和事件的被动安全模式,转变为面向未来部署和企业长远发展的安全模式,构建全面的、基于风险与合规的安全体系——即借鉴人体用于抵御疾病的免疫力系统,构建数字安全免疫力体系,实现从“治已病”转变为“治未病”,建立主动、弹性的数字安全防御体系,更好统筹企业发展与安全。每个人对人的免疫力都有不同程度的认知。从定义上看,数字安全免疫力跟人体免疫力比较相似。
人体免疫系统是身体对抗感染、疾病和外来物质的防御机制。免疫系统对人类的生存至关重要,是人体最重要的系统之一。它可以保护身体免受各种病原体的侵害,细菌、病毒、真菌、寄生虫甚至癌细胞。人体免疫力又包括先天形成部分和后天形成并不断适应的部分。皮肤、胃液、黏膜等属于先天免疫力。每个人在呼吸空气、喝水、吃饭的时候会同时吸入大量细菌,如果没有人体的先天免疫力,人们就没有办法存活。反过来看,面对类似疫情等情况时,需要人体后天形成或者需要通过打疫苗的方式产生免疫力。后面这种情况,更多反映的是适应性免疫力。当入侵者进入身体时,先天免疫系统首先被激活并试图消灭它。如果入侵者没有被消灭,适应性免疫系统就被激活,产生特定的反应攻击入侵者。当免疫系统正常运作时,它可以预防和控制感染和疾病的发生。如果免疫系统功能受损,就会使身体容易受到感染和疾病的侵袭,甚至危及生命。数字安全免疫力是一个企业针对各种数字安全威胁式的防御机制。数字安全免疫力通过建立前瞻性的安全理念,从“治已病”发展为“治未病”,并在面临多维威胁时,可以更加及时地启动体系化的抵抗和防御机制,有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。实际上,可以把企业的免疫力分成两类。企业的先天免疫力更多的是指企业的文化、意识、安全合规等企业基本盘。任何一个企业要生存,就要有企业安全、文化、合规等软性特征,即企业的先天免疫力。企业数字安全免疫力包含先天性免疫力和适应性免疫力两大部分。企业在构建数字安全免疫力时,应从文化与意识、边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理等 7 个维度进行综合思考,形成体系化的能力模型,为企业未来的数智化创新发展保驾护航。今天,企业在建设数字化系统时会有一些基本的安全建设,或者说,企业在进行硬件、软件、操作系统、数据库等相关建设时,这个过程本身已经嵌入了部分安全建设,这也是企业先天免疫力的一种。如果以前很多产品的设计、生产等各个环节没有嵌入安全建设的内容,那么,从发展趋势上看,以前的做法更多体现的可能是适应性。现在的做法就是企业在产品设计生产等环节嵌入安全建设的内容,使其在数字化过程中拥有先天的安全免疫力。因此,结合数字安全免疫力理念,增强企业数字安全免疫力,主要体现在三个方面。
第一,数字业务时代来临。从 2022 年年底开始,数字化时代转型进入数字化业务时代。在这个过程中,企业数字化转型的支出占所有 IT 支出的比例发生了变化。根据 IDC 的数据,2022 年,全球数字化转型支出占总体企业 ICT 支出比例达到48.1%。全球网络安全市场支出巨大,2022 年的规模为 1,955.1 亿美元,并有望在 2026 年增至 2,979.1 亿美元,五年复合增长率(CAGR)达 11.9%。中国网络安全市场也保持高速增长态势,预计,到 2026 年,中国网络安全支出规模预计可到 288.6 亿美元,五年复合增长率将达到 18.8%,增速位列全球第一。图 中国网络安全市场支出预测,2022-2026 ($M)第二,数据变得越来越重要。以前,数字化转型时代更多实现的是数字化;今天,数字化业务时代的核心是数据的业务化,以前是业务的数字化,现在是数据的业务化。在数字业务时代,数据变得更加重要,相关的安全业务也会变得更加重要。同时,可以看到,安全事件层出不穷。以 2023 年上半年为例,2 月,中国有 45 亿条快递数据被泄露;3月,黑客入侵某公司盗取一台服务器的 435G 数据;6 月,发生了 450 多次勒索事件,同上个月相比增加了 90%。第三,监管力度逐渐升级。各国和地区不断加强数据监管力度,例如欧盟发布《通用数据保护条例》(GDPR)等。中国在过去几年出台了多个与网络安全、数据安全以及个人隐私安全相关的法律法规和政策文件。以上三个因素导致今天企业需要增强数字安全免疫力。毫无疑问,增强数字安全免疫力,必须要有投资。IDC 数据显示,中国的 2022 年网络安全市场规模大约 133 亿美金左右,而到 2026 年,这个数字会增长到 288 亿美金左右,每年平均增长 18% 左右,是中国整体 ICT 市场增长率的约 2 倍。即便如此,中国网络安全支出占 ICT 总体支出的比例仍然偏低,2022 年只有 1.7%,而全球占比则是 3.4%,美国占比是 4.6%。如今,企业面临一个复杂多变的时代:宏观环境不可预测,业务模式不断创新,技术发展日新月异。除不断提升现有的安全防护措施和手段外,企业更加需要全方位提升自身的免疫力,从容应对不可预知的突发威胁,并在遭受威胁后能以更快的速度恢复健康运行状态,更好地保障数字化转型。
数字安全免疫力对于维护企业健康高效的发展具有至关重要的作用。数字安全免疫力指企业在面临多维威胁时能更加及时地启动体系化的抵抗和防御机制,能够有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。与人体免疫类似,数字安全免疫力包含两个重要的子系统:先天性数字安全免疫力和适应性数字安全免疫力。基于数字免疫力模型,第一层面通过数字安全免疫力全面提升抗风险能力,构筑企业的数字化韧性;第二层面保障业务运营和创新,提升企业商业竞争力;第三层赋能生态发展,提升企业行业影响。除了适应性免疫能力之外,企业还普遍存在一类获得性的加强免疫能力,即通过外部安全力量的引入,强化企业安全建设的效率,解决短板效应,应对突发的安全困境。各系统彼此协作,共同维持企业安全、高效、稳定地运行。简单说,基于数字免疫力模型,企业要在风险、合规、事件驱动下,从企业资产“心脏”——企业数据和数字业务——出发,构筑多层“免疫屏障”实现韧性生长。安全文化和意识是企业先天性数字安全免疫力,面向具体攻击所形成的防线——数据安全治理、业务风险控制、安全运营与管理、边界安全、端点安全和应用开发安全,是企业适应性数字安全免疫力。与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入企业的战略、管理、运营流程,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,在一定程度上实现自主性地容错、纠错和升级,最终达成以下发展目标。一是全面提升抗风险能力,构筑企业数字化韧性。这包括提高企业的韧性,保证业务的连续性。当攻击发生时,企业能更好地实现联合抵御;在遭受损失时,有效控制范围,更快地恢复稳态。事实上,数字安全免疫力适用企业的全生命周期发展过程,长期的前置投入能够有效降低遭遇重大事件时的破坏性损失。二是保障业务运营和创新,提升企业商业竞争力。强化企业安全体系能赋予企业蓬勃发展的生命力,持续推动业务创新,保障数字化转型向纵深迈进,加快推进数字经济和实体经济深度融合。数字安全免疫力既可以提升企业的弹性,构建轻量、实时、容错纠错能力,又可以通过业务流、数据流、管理流,将企业内部的安全战略、管理、流程与外部的工具、技术、能力打通,减少重复投入。三是赋能生态发展,提升企业行业领导力。通过健全的内外部体制机制,增强企业领导力,提升企业的“头雁”效应;通过安全、完善的数字化能力推动产业链上下游协同发展,促进大中小企业间的融通。数字安全免疫力能够深入行业纵深,应对行业级痛点,例如打通供应链安全治理协同,还可以具备较好的扩展性,按需扩展安全能力和防御边界,最终实现安全无边界。企业在发展自身安全体系、强化安全保障活动时,一般会由四类因素实现单项或组合驱动,包括数字安全免疫力的价值和激发机制的四大驱动力。在此驱动下,企业可能被激发免疫力,以此做好安全预防、抵御风险。一是合规驱动。企业在推动数字化转型的过程中,主动构建动态的合规体系,特别是在数据价值挖掘和转化的过程中,主动做到依法依规,保证企业始终运行在正常的轨道上。二是攻防驱动。企业在面对外部的长期威胁时,通过有组织、可预见的攻防行为,发现薄弱环节,提升企业防护的能力和成效,实现持续性的成长。三是事件驱动。企业因某一严重安全事件遭受了较为严重的损失,由此认识到自身运行存在的巨大安全问题,并进行有针对性地整改和补救。四是发展驱动。企业在面对复杂的市场环境时,主动求新求变,结合业务创新过程,建立完善的安全保障体系,确保业务创新过程的快速推进和风险可控。企业需要构建数字安全免疫力,更好地支持数字经济发展。今天,数字安全建设需要不断向更深处延伸,传统安全范式逐渐失效。放眼世界,国内外企业正积极开发和部署全新的数字安全范式。进入发展驱动时代,建设主动的防御体系成为不少行业、企业的共同选择。
践行数字安全免疫力理念构建企业数字安全体系,三大关键层面挑战关乎未来发展。在战略、组织与人才层面,需要警惕战略认知的局限性、安全价值理解的悖论以及安全人才的匮乏;在技术层面,维护好云化环境、物联网环境、大数据应用体系及旧系统的兼容与安全;在流程和运营层面,把握安全流程的动态变化以及弥补安全运营理念的缺失十分重要。化解这三个挑战构建数字安全免疫力体系是重要路径。但是,这个路径的顺序不完全是按照从前往后的顺序。企业在构建数字安全免疫力时,应从文化与意识、边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理七个维度综合思考,形成体系化的能力模型,为企业未来数智化创新发展保驾护航。基于深化的安全能力,这七大要素可作为企业“健康贴士”,帮助企业全面、稳定、持续地守卫健康。在具体的评价方法上,可以参照回答企业数字安全免疫力自测题的结果,给企业打分,再依据得分的多少调整企业数字安全免疫力建设相关战略和措施。(见下表)表 企业数字安全免疫力自测
针对以上问题,如果回答为“是”的选项超过80%,那么企业的安全建设已经基本具备完整性和前瞻性,可以针对具体缺失项目进行补充和优化。如果回答为“否”或者“不确定”的选项超过一半,那么企业的安全建设成熟度还不够理想,建设良好的企业数字安全免疫体系之路,任重道远。当文化意识到位,边界安全、端点安全、应用开发安全三大基础安全防线齐备,企业免疫系统升级,受益的会是整个安全生态。共商应对企业数据安全风险范式,共谋数字安全免疫之道,共筑企业安全免疫屏障,才能抓住机遇、应对挑战,共创数字化时代美好的未来。(本文刊登于《中国信息安全》杂志2023年第8期)
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664196594&idx=1&sn=338182ee3282571f4b96dde37ead436e&chksm=8b596b0bbc2ee21d0ce7cbfe825754913d8f6e61c1c36c30b274f0c26834a64dcbf6169e70db&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh