用发展理念重构安全价值原点：数字安全免疫力引领新安全范式

企业安全正面临着新的挑战。首先，信息安全环境风浪转为颠覆风暴。地缘政治、灰黑产、新技术带来的新挑战几乎对所有的企业和行业都会造成影响，特别是和国际接轨的企业。此外，信息安全的合规压力在世界范围内逐渐增强，企业需要具备更加强大的安全能力。

其次，数字化业务时代来临，企业数字化转型进入深水期。2022年，全球各行业领先企业已经有14%进入数字化业务，其收入的30%-40%来源于数字化相关的产品和服务，而这一比例在2025年将达到42%-45%。这意味着未来企业数字化将会无处不在，安全作为企业数字化转型的主要保障和助力，势必同数字化一起快速发展。

最后是技术大变革，IT行业每隔10-15年就会迎来一次技术大变革，近几年火热的AIGC、量子计算、元宇宙等等都证明了当下的技术环境已经迎来变革期。同时，犯罪分子和黑客已经在利用这些新技术强化攻击，因此，企业需要提升安全能力，以适应技术变革所带来的安全环境和挑战。

但是，企业的安全建设仍然是基于旧的安全建设“惯性”，一个是对外部威胁缺乏足够的关注和响应，另一方面，安全的价值原点仍然是“合规”，没有意识到核心业务和数据资产的防护才是核心目的。在此背景下，6月13日，腾讯安全联合IDC等多家机构在北京举办数字安全免疫力研讨论坛，并发布“数字安全免疫力”模型框架，提出用免疫的思维应对新时期下安全建设与企业发展难以协同的挑战。

在此次论坛中，腾讯安全公布了此前与安在新媒体联合发布的“2023企业数据安全水平抽样调查报告”（下称报告），对超过1500名CSO发起企业数字安全线上、线下抽样调查。此次报告旨在围绕企业安全管理者和建设者最核心的痛点展开，揭示企业数字安全建设的诉求，推动企业更加积极建设企业数字安全免疫力。此次报告的调研对象是1500+CSO、CISO等企业安全部门、业务负责人以及CIO、CTO、CEO等企业决策层。

此次报告针对企业总体安全能力、安全与发展的关系以及数字安全建设免疫力方面总结了包括企业安全投入失调、安全建设理念滞后等多条结论。在这些结论中，最令人在意的有以下三点：

首先是企业安全总体水位低于预期。报告指出，至今仍有11.3%的企业安全能力“基本空白”，不同行业安全成熟度差异巨大。报告显示，在贸易、物流、医疗等行业，安全部署不充分的企业超50%，而智能网联、车联网、互联网、政府、金融等行业的安全能力相对成熟。此外，安全投入低于5%预算的企业比例超过70%。诚然，相对于贸易、交通等行业，智能网联、互联网、金融等行业的数字化步伐更快，程度更深，对于安全的需求也相对较高。但在宏观政策背景及数字经济时代的当下，仍然有11.3%的企业在安全能力方面“基本空白”，造成这一现象的原因是什么？

其次是安全与发展存在断层。报告指出，超过一半的受访者认为，企业核心数据信息泄露是企业数字安全最大危害，其次是业务中断。当下，越来越多的数据承载着企业的核心资产，而数据的流动属性及非结构属性导致传统的安全防御体系无法完全奏效。同时，业务中断会使企业面临直接的经济损失及品牌失灵等隐性损失，使企业业务发展带来较大威胁。由于造成业务中断的原因包括非人为的硬件故障、自然灾害以及人为的配置错误、勒索攻击、数据泄露等等，因此，对企业的整体安全能力要求更高。

此外，报告还指出，由于安全价值认知存在错位，当下的企业安全战略以被动防御为主。这导致企业在面对新技术、新应用所带来的新安全威胁时，很难及时有效地进行针对性的防御，同时，被动防御无法防护网络内部的攻击，在应急响应方面也会稍显滞后。对此，如何进一步推动安全与发展的联系？

最后，报告指出，部分企业尝试通过自研建立安全体系但总体效果不理想，17.4%企业没有条件、8.9%企业“投了白投”;27.7%企业效果欠佳，35%的企业研发效率低。与合作伙伴联合开发或经成熟厂商定制产品与服务更受企业青睐，联合开发企业占比38.3%，定制开发占比37.3%。

出于成本压力，企业可能会采用自研的方式建立安全体系。但由于人力资源的短缺、技术能力的不成熟以及数据、应用场景的匮乏等原因，自研安全体系得不到全方位的验证，无法达到最佳效果，造成“先天免疫力”欠佳。同时，由于安全厂商市场的逐渐成熟，企业往往采用联合开发等方式提升“获得性免疫力”。但是，部分实践证明，单靠采购安全产品等外力很难持续性地提升企业的整体安全能力。

对此，安在特别参与了此次数字安全免疫力研讨论坛，并就上述问题在会后群访环节与腾讯集团副总裁、腾讯安全总裁丁珂、腾讯安全策略发展中心经理吕一平、IDC中国副总裁武连峰、天融信科技集团副总裁刘斯宇等安全专家进行了深入讨论。

武连峰认为，从2022年年底，数字化转型发展已经到了一个临界点，从业务的数字化转向了数字的业务化，数据变的越来越重要，相关的安全也会变的更为重要。从价值和激发机制的角度来说，传统理念相比，数字安全免疫力更加强调前置投入，把安全融入到企业的方方面面。

目前，企业安全建设已经进入了新的阶段。除了合规、事件、攻防驱动之外，发展驱动已然成为企业安全建设的普遍共识，企业需从被动安全转变为主动防御，以数据资产和业务资产为目标，建设一套全新的安全范式和框架。

丁珂表示，当前企业普遍存在安全与发展断层的问题，其中一个很重要的表现是企业安全预算投入不足。国际上对于安全预算有一个基准线，针对数字安全预算投入要占企业数字化整体投入的5%，关基、重要部门要占到10%。然而，根据报告显示，70%的企业低于国际基准线，甚至有10%的企业低于1%。武连峰表示，当下对中国企业IT投入占营收比例普遍在1%以下，而中国企业的平均安全投入占IT投入的1.7%。

如此低的预算势必会对企业总体安全能力带来影响，同时，由于不同行业对安全需求的差异导致部分企业甚至几乎没有安全能力。在网络安全的宏观背景下，这些企业将面临着更严格的监管要求和更大的安全挑战。

另一方面，由于企业安全和发展存在断层，企业业务数字化越深入，安全的保障能力就越微弱。丁珂表示，部分企业的安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段，而造成这一原因的底层逻辑是数字化时代的安全建设驱动力发生了根本变化。

对此，丁珂解释道，在企业数字化刚刚起步阶段，企业只需要达到静态安全就能够满足当时的安全需求，因此，大多数企业都会采用最保守的安全防御策略。但随着数字化阶段的不断深入，物联网、大数据和云计算被广泛使用，供应链越来越复杂，企业安全面临的风险极速扩张，同时，由于监管和法规的逐渐完善，企业安全建设迎来攻防、事件、合规等综合因素驱动的新阶段。

而现在，企业进入“数智化”时代，企业成为数字产业化的一部分，同时也是产业数字化的推动者。在这个过程中，数字化业务成为组织中枢，数据成为核心资产，企业安全需要从“被动安全”转变为“主动防御”，企业安全建设的驱动力也从过去的攻防、事件、合规变成现在的发展驱动。

在此次论坛上，腾讯安全对当前企业发展的安全新范式下一个定义，那就是“数字安全免疫力”。对此，吕一平表示，首先，免疫力指的是企业和业务需要将外部的安全能力转换为自身的安全能力，建设“数字安全免疫力”能够帮助企业在“数智化”时代建立安全思维，提高安全意识。其次，免疫力还代表着全局视角，数字化贯穿了企业全生命周期和业务单元中，单点的防护措施已经无法保障企业安全。面因此，安全不再只是CSO所关注的重点，而是要提升到CEO的高度，从顶层视角规划安全建设，推动安全和业务的融合和发展。最后，免疫力能够帮助企业聚焦安全在合规成本日趋增长的今天，企业需要对自身业务和安全架构进行梳理，优先解决核心、重要、敏感的安全风险，“数字安全免疫力”模型可以作为参考，帮助企业进一步梳理自身安全问题和能力，推动企业的安全建设。

在此次论坛上，腾讯安全还发布了数字安全免疫力模型。据丁珂介绍，这一“洋葱状”的模型分为三层纵深，包括2个免疫堡垒，1个免疫中枢和3道免疫屏障。2个免疫堡垒指的是企业应当以数据和业务为核心建立数据安全治理和业务风险控制两大纵深防御体系，1个免疫中枢指的是企业应该以人为核心建立常态化的安全运营管理体系，支持“中枢系统”运转，3道免疫屏障指的是企业应该规避传统软硬件安全的桎梏，通过平台思维和插件思维，将端点安全、边界安全和应用开发安全作为3道屏障保护企业数据和业务。

此外，数字安全免疫力模型还经历了大量的安全场景实践，腾讯安全自身就是数字安全免疫力理念的践行者，在经历10亿级用户、海量业务场景、全球十余万员工以及百万客户云平台的验证下，数字安全免疫力模型得到了充分的应用和迭代。同时，腾讯安全覆盖了80%以上的金融行业客户、90%以上的头部能源企业，在众多客户的助力下，数字安全免疫力模型最终实现了以“发展驱动”为理念，重构数字时代的安全新范式。

数据和业务成为企业核心资产，企业势必要在安全防护上也革新理念，重新排兵布阵。从大的趋势来看，数字化业务将会覆盖几乎所有行业，绝大多数企业都将或被动或主动的拥抱数字化，因此，越早进入数字化、越早获得安全免疫力，企业将会在未来的竞争中更具优势。

对此，腾讯安全以“数字安全免疫力”为各个行业提供了参考和学习的范本，期待腾讯安全的进一步发展，为更多产业和用户提供更先进的安全理念和视角。