关注 | 新发布《数字安全免疫力建设指南》提出企业安全4大核心6大模块建设路径
2024-1-19 17:57:36 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

1月17日,《数字安全免疫力建设指南》发布会暨行业实践研讨会在海南省三亚市举行。该指南围绕“发展驱动”的安全范式,从理念认知、范式重建、量化评估、关键模块以及实践案例等方面,为企业构建数字安全免疫力提供指引和参考。

《数字安全免疫力建设指南》发布仪式现场

四大核心,构建“发展驱动”新范式

指南指出,网络与安全密不可分,共同构成了国家数字经济发展的基础设施,也成为企业创新与发展的基石。企业的数字化发展与安全建设,亟待破除安全的“成本中心”思维,用发展的眼光看待安全,建立发展与安全融合的“发展驱动”范式。
指南提出了数字安全免疫力的四大核心:一是以企业运作为最终目的,取代传统将“安全”作为第一视角的建设思路,基于企业现状、预算水平提升安全有效性,而非“绝对安全”。二是提前规划主动预案,基于企业业务的发展目标,提前为未来可能发生的威胁做好准备并做好安全规划。三是综合协调安全资源,实现内部安全产品以及外部安全资源的协同。四是通过足够高的安全水位、自迭代能力以及非交互式验证的技术,实现安全无感知。
数字安全免疫力正是对“发展驱动”的探索。2023年6月,腾讯安全联合IDC提出“数字安全免疫力”框架,以企业客户真实场景、真实痛点、真实需求为研究对象,为企业创建一套以数据与业务为中心,统筹发展与安全的方法论、工具集。指南的发布就是免疫力框架落地的具体实操路径。

六大模块,精确度量安全水平

不同规模、行业、数字化程度企业遭遇的个性化安全挑战不一而同,同时伴随外部威胁和市场环境的快速变化,企业需要动态掌握自身的安全水位。对此,指南提出了“精确安全度量”——运用安全评测工具动态评估自身水位。例如,利用数字安全免疫力测评工具,通过填写调研问卷的方式,可以让企业掌握全局的安全建设短板。同时,评估报告也会将企业与行业平均水平对比,让企业更直观了解差距。
立足企业实践,指南提出数据安全、业务安全、边界安全、端点安全、应用开发安全与安全运营管理等六大模块对应的具体场景,为企业推荐对应的建设意见与工具建议,为处于数字化转型期的企业提供实战指引。
在数据安全方面,指南提出,数据分类、分级是数据安全建设的关键,同时要建立数据安全防护基线、建立统一化运营体系。在业务安全方面,指南提出,缺乏安全能力护航的业务可能成为黑灰产的“提款机”,人机识别、风控引擎、内容安全、业务安全合规等是必要的投入。在端点安全方面,指南提出,统一协同边界和端点安全产品,构建新安全护城河,提高应对未知风险和移动办公威胁的能力。在应用开发安全方面,指南提出,需要将安全建设也植入到开发团队当中,并结合风险点部署安全工具,而且要确保开发团队能熟练使用安全工具;安全运营管理则需要发挥“中心指挥部”的战略价值,串联起不同的安全产品、资源,建议引入SOC、威胁情报、攻击面管理等技术提升安全运营效率。
指南还建议企业从“等保”实际价值、安全人员能力、AI技术影响等维度动态评估更新。例如,关注以AIGC为代表的新兴技术安全。在AIGC助力下,防御成本将大幅度下降,防御体系的自我决策和反应能力都会指数级提升,核心思路也将从攻防驱动转为风险驱动,大量低级网络攻击手段将快速失效。

该指南由工业和信息化部新闻宣传中心(人民邮电报社)指导,腾讯安全、腾讯研究院、《中国信息安全》杂志社联合三十余位业内专家、学者、企业领袖共同编制。

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664203461&idx=4&sn=f5c3e1f0c39b1e5098c52a1ef32e366f&chksm=8b59863cbc2e0f2aa95f3c05684abd4f3062c9ac305e74d81a58ebbadea5ff7b4071c0a6c5c3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh