《数字安全免疫力建设指南》发布，对产业和用户的价值呈现

围绕“数字经济”和“数据要素”，以企业用户的数据与业务为中心，充分关注企业实践，指导企业数字化时代安全建设，腾讯安全联合IDC先是提出了“数字安全免疫力”框架；而后持续完善，在工业和信息化部新闻宣传中心（人民邮电报社）指导下，与腾讯研究院、中国信息安全一起，联合三十余位业内专家、学者、企业领袖共同编制了《数字安全免疫力建设指南》，并在1月17日于海南三亚举办了发布会暨行业实践研讨会。

（图：《数字安全免疫力建设指南》在海南三亚正式发布）

工业和信息化部新闻宣传中心（人民邮电报社）总编辑王保平在会议上指出，希望专家智慧的沉淀，能够切实成为企业安全建设的“指南针”和“设计图”，帮助企业打造面向未来、适应发展的数字安全免疫力体系，共同为网络强国、数字中国的高质量发展贡献力量。

腾讯集团高级执行副总裁、云与智慧产业事业群CEO汤道生表示，数字化的快速发展，带来不可忽视的安全问题。企业的安全建设思维，需要从传统的边界防护与事件驱动，向异常行为监测、威胁情报与数据驱动转变，建立一套合规、可扩展、自适应的数字安全免疫系统。腾讯愿和社会各界一起，为企业在数字化时代的安全建设提供可借鉴的实践指引，着眼于未来健康可持续发展，筑牢安全底座。

预算、理念、技术，是当前国内安全产业所面临的三个比较突出的问题。那么“数字安全免疫力”框架的提出，以及《指南》的发布，是否可以在产业发展过程中发挥作用，又应该如何更好地进行实践和升级，也是不可回避和需要证明的考验。

中国信息通信研究院安全研究所高工郑威博士认为，“数字安全免疫力”框架的研究具有一定的前瞻性，尤其在当前产业发展需要有所突破的时期，其理念的提出，既符合产业需要，又恰逢其时。

首先，在经济尚未完全复苏的大环境下，安全预算这一“顽疾”不仅无法根治，甚至会进一步加重。企业用户或许会在单一产品的应用、投入上更加谨慎，转而将重心放在整体“安全能力”的建设上。当安全能力使用得当，将安全能力融入日常运营，自然就形成了“数字安全免疫力”。

其次，“成本中心”“救火队员”的意识和理念长期存在，安全的价值依旧难以证明，自然会桎梏其前瞻性和发展。“数字安全免疫力”如果可以将基础的、原生的“身体素质”量化成企业安全建设中包括办公、人员、设备等在内的各个部分，并在此基础上实现复制落地，就能够消除一些“偏见”，甚至产生价值赋能。

最后，过去一年AIGC的飞速发展和应用，让我们对技术发展有了强烈的紧迫感。“数字安全免疫力”的提出和实践，可以加速安全技术的革新，如果在这个过程中积累出一个生态的、可复制的，甚至是属于产业和民族的壁垒、规则，那也许就能够快速拉近国内外安全技术的差距，从更深远和更高的角度为产业发展创造价值。

因此，“数字安全免疫力”当前需要回答三个问题：能不能省钱？能不能作为最佳实践快速赋能？能不能在战略层面为技术发展创新带来价值？

“阿什比定律”认为：任何有效的控制系统都必须与它所控制的系统一样复杂。面对业务和安全这一复杂的系统工程，“数字安全免疫力”需要将复杂的问题简单化、工程化。当然，这个过程需要实际场景与客户的实践应用，反复打磨能力，优化集成生态与产品。

此外，郑威希望数字安全免疫力能够与AI结合，通过“模型的安全+安全的模型”双轨驱动，升级框架逻辑，集合最佳实践，赋能中小企业；将安全打造为差异性能力，服务降本增效，支撑ICT产业供应链与新型工业化安全发展。

因为冯·诺伊曼说过：“生物体最简单的完整模型就是生物体本身，而试图将系统的行为简化为任何形式的描述都会使事情变得更复杂，而不是更简单。”

在郑威看来，现阶段，金融科技和医疗健康可以是“数字安全免疫力”优先且长期开展实践的两个领域。一来金融和健康数据对安全具有更加强烈的需求，二来保障公民生命财产安全，则可以让“数字安全免疫力”进一步普惠产业和社会。从产业生态的角度出发，郑威希望“数字安全免疫力”可以在后续逐步形成团体标准、联盟标准甚至是行业标准，在证明其自身价值的同时，更广泛地推广和落地。

在安全产品内卷竞争谁是“非必需品”，谁是“相对所需品”的当下，让用户接受其理念并简单实用地拥抱，需要“数字安全免疫力”对价值有所证明。而结合用户的反馈，“数字安全免疫力”还应当不断完善迭代，并在这个过程中传递腾讯安全的思想、规划与价值观。

腾讯安全副总裁李滨表示，腾讯安全一直主张“恰当的安全”。因为当前企业的业务变化灵活且剧烈，数据资产不断扩大，攻击来源也更加复杂，传统静态长周期的体系建设一来已呈现疲态，二来会让安全投入变成无底洞。

所以从动态的安全周期和安全建设方法论出发，将网络空间的安全威胁通过指标的方式来划分整体态势、攻击种类、攻击数量以及能力阶梯等方面，量化评估结果；再结合“数字安全免疫力”模型，让企业用户判断出自身防护能力与攻击强度之间的差距，并基于威胁程度和易修复程度，最快速、最低成本地将安全能力提升到“恰当”的水位线。

而在满足“降本增效”以及实用性、可落地的基础上，还将针对企业用户不同的对抗水平需求，结合“数字安全免疫力”模型进一步设计分级对抗方案，实现安全水位的更高提升。

实际上，从模型发布一年多的时间里，腾讯安全持续通过用户侧的调研进行优化迭代。李滨介绍说，2024年内将会发布更加高效的SaaS化自检工具包，让企业用户可以对安全水位进行自检，全面提高检测能力和效率。在此基础上，用户依旧可以遵循“降本增效”的原则以及企业未来的安全建设方针，衡量对自己来说“恰当”的安全水位，以及如何实现这一目标。

在这个过程中，腾讯安全希望将“数字安全免疫力”模型贡献于行业，秉持开放和生态的理念，通过与行业机构、友商等技术和方法论的融合互动，共同将模型完善、优化、落地，进一步形成产业标准。让模型真的帮用户省钱，促安全赋能，助用户成功；也为安全技术创新和产业发展带来价值。

“降本增效”可能依然会是贯穿整个2024年的重要旋律，作为企业的成本中心，安全很难逃脱“缩减”的命运。这意味着企业用户对于安全产品的态度将会变得更加谨慎，“轻资产、重运营”的安全体系在2024年以及未来都会成为企业实现安全的重要标志。

乐信集团CSO刘志诚表示，“数字安全免疫力”首先一定是一个很不错的概念。针对威胁、脆弱性和事件采取控制措施，是企业传统处理安全风险的方式。但其中，漏洞作为典型的脆弱性之一，并非一定要被修复，这就导致了对于脆弱性的存疑，从而使局部影响了整体建设。而控制措施作为一种外部手段，与应用系统之间并无太多关联，导致安全很难转化上升成一种属于企业自身的整体能力。

“免疫力”恰恰强调整体和自身，不借助外部控制措施，也不会过多关注某一个威胁或脆弱性，而是以类比人体全身免疫力角度出发对风险进行响应，其依托的也是属于企业自身、内部的安全能力。因此，“数字安全免疫力”概念的提出对企业用户来说是有意义的。

当然，概念和落地并非一朝一夕，框架体系和理念之间是否绝对匹配也有待商榷，但这是站在不同视角下由不同需求所引申出的不同理解和观点，也很难形成统一。所以刘志诚认为，想要更好地理解“数字安全免疫力”，可以辩证客观地分别从概念、框架以及指南三个方面来解读。

在基础安全之上，框架重点关注了数据安全、业务安全、研发安全以及AI安全等几个新安全领域，涵盖了数字经济发展、数据要素保障的重要方向；相对于传统的网络安全模型、方法论和思维理念，具备很强的先进性，是很有参考价值的“安全”框架。

指南则是遵循框架的逻辑，基于框架在过去一年多积累的行业和企业实践，用户侧反馈后的优化和迭代，进一步通过简单易用的方法，帮助企业用户更快更好地进行安全建设，并给后续实践方向提供一定的启发。

刘志诚坦言，“数字安全免疫力”概念确实带给他较大的启发。他认为现有的企业安全建设方法论不够完备，需要突破和创新，这个过程中也会更加关注“降本增效”。而“免疫力”的概念给他提供了一定的思路，框架中所涵盖的新安全领域同样也是他当前重点关注的方向。

当然，如何厘清免疫力和现有网络架构之间的关系，如何定义、建设自己的免疫力，让概念落地，并在后续安全建设中有所呈现，还需要一定的探索。这个过程需要持续的共建、共议、共助，以期让概念更明确，框架更完善，为企业用户带来更多价值。

指南指出，“安全是发展的前提，发展是安全的保障”。当前，网络与安全密不可分，共同构成了国家数字经济发展的基础设施，也成为企业创新与发展的基石。企业的数字化发展与安全建设，亟待破除安全的“成本中心”思维，用发展的眼光看待安全，建立发展与安全融合的“发展驱动”范式。

数字安全免疫力正是“发展驱动”的探索。2023年6月，腾讯安全联合IDC提出“数字安全免疫力”新框架，希望以企业客户真实场景、真实痛点、真实需求为研究对象，为企业创建一套以数据与业务为中心，统筹发展与安全的方法论、工具集。

本次《数字安全免疫力建设指南》是免疫力框架落地的具体实操路径。在具体内涵上，指南介绍了数字安全免疫力的四大核心：以企业运作为最终目的，取代传统将“安全”作为第一视角的建设思路，基于企业现状、预算水平提升安全有效性，而非“绝对安全”。提前规划主动预案，基于企业业务的发展目标，提前为未来可能发生的威胁做好准备并做好安全规划。综合协调安全资源，实现内部安全产品以及外部安全资源的协同，最后通过足够高的安全水位、自迭代能力以及非交互式验证的技术实现安全无感知。

数世咨询创始人李少鹏从安全技术变迁解读了免疫力的内涵。他表示，安全已经从传统的计算机安全、信息安全、网络安全演进到了如今的数字安全，风险已不再局限于围绕数字化资产的攻防对抗，数字安全免疫力的思路并非直接将“安全”作为第一视角，而是围绕企业运作中面临的风险展开。

不同规模、行业、数字化程度企业遭遇的个性化安全挑战不一而同，同时伴随着外部威胁和市场环境的快速变化，企业需要动态掌握自身的安全水位。指南对此提出了“精确安全度量”——运用安全评测工具动态评估自身水位。例如腾讯安全研发的数字安全免疫力测评工具，通过填写调研问卷的方式，可让企业掌握全局的安全建设短板。同时，评估的报告也会将企业与行业平均水平对比，让企业更直观了解差距。

此外，指南还建议企业从“等保”实际价值、安全人员能力、AI技术影响等维度动态评估更新。例如，关注以AIGC为代表的新兴技术安全。在AIGC的助力下，防御成本将大幅度下降，防御体系的自我决策和反应能力都会指数级提升，核心思路也将从攻防驱动转为风险驱动，大量低级网络攻击手段将快速失效。

在持续完善“数字安全免疫力”框架的同时，指南更关注企业实践。根据数据安全、业务安全、边界安全、端点安全、应用开发安全与安全运营管理六大模块对应的具体场景为企业推荐对应的建设意见与工具建议，为处于数字化转型期的企业提供实战指引。

在数据安全方面，数字安全免疫力建设指南提出数据分类、分级是数据安全建设的关键。同时要建立数据安全防护基线、建立统一化运营体系；业务安全方面，指南提出缺乏安全能力护航的业务可能成为黑灰产的“提款机”，人机识别、风控引擎、内容安全、业务安全合规等是必要的投入。

随着云计算和数字化转型，企业边界模糊，需重新定义边界为IT环境“入口”的集合。企业应重视端点安全，统一协同边界和端点安全产品，构建新安全护城河，提高应对未知风险和移动办公威胁的能力。

在应用开发安全中，需要将安全建设也植入到开发团队当中，并结合风险点部署安全工具，而且要确保开发团队能熟练使用安全工具；安全运营管理则需要发挥出“中心指挥部”的战略价值，串联起不同的安全产品、资源，建议引入SOC、威胁情报、攻击面管理等技术提升安全运营效率。

数据价值提升、合规需求以及业务转型，以发展为核心的内在驱动力，是安全需要在未来很长一段时间内所需要应对的考验；同时也是企业反过来需要用战略高度正视安全建设的重要原因——要评估好安全能力水位，保持对新技术的敏感性。当然，降本增效不可逆，所以安全势必会朝着更简单、更智能以及更整体的方向发展。

在这样的背景下，想用户之所想，急用户之所急是安全厂商的主要目标，如何打造兼具成本与能力的解决方案，甚至承载产业期望、国计民生等重任是摆在每一个安全厂商面前最大的难题，更是一个宏大的使命。

“数字安全免疫力”提出了一个结果，一种可能，而通往重点的路却有无数条。正如腾讯安全副总裁李滨所说，这个过程是开放的、生态的，每一条路也都可以连通。我们应该做的，就是让产业能有更好地发展，技术实现创新，用户真正受益，社会得到普惠；以“数字安全免疫力”为奇点，撬动安全的价值呈现，护航中国数字经济的健康可持续发展。