关注 | 新发布《数字安全免疫力建设指南》提出企业安全4大核心6大模块建设路径 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

1月17日，《数字安全免疫力建设指南》发布会暨行业实践研讨会在海南省三亚市举行。该指南围绕“发展驱动”的安全范式，从理念认知、范式重建、量化评估、关键模块以及实践案例等方面，为企业构建数字安全免疫力提供指引和参考。

《数字安全免疫力建设指南》发布仪式现场

四大核心，构建“发展驱动”新范式

指南指出，网络与安全密不可分，共同构成了国家数字经济发展的基础设施，也成为企业创新与发展的基石。企业的数字化发展与安全建设，亟待破除安全的“成本中心”思维，用发展的眼光看待安全，建立发展与安全融合的“发展驱动”范式。

指南提出了数字安全免疫力的四大核心：一是以企业运作为最终目的，取代传统将“安全”作为第一视角的建设思路，基于企业现状、预算水平提升安全有效性，而非“绝对安全”。二是提前规划主动预案，基于企业业务的发展目标，提前为未来可能发生的威胁做好准备并做好安全规划。三是综合协调安全资源，实现内部安全产品以及外部安全资源的协同。四是通过足够高的安全水位、自迭代能力以及非交互式验证的技术，实现安全无感知。

数字安全免疫力正是对“发展驱动”的探索。2023年6月，腾讯安全联合IDC提出“数字安全免疫力”框架，以企业客户真实场景、真实痛点、真实需求为研究对象，为企业创建一套以数据与业务为中心，统筹发展与安全的方法论、工具集。指南的发布就是免疫力框架落地的具体实操路径。

六大模块，精确度量安全水平

不同规模、行业、数字化程度企业遭遇的个性化安全挑战不一而同，同时伴随外部威胁和市场环境的快速变化，企业需要动态掌握自身的安全水位。对此，指南提出了“精确安全度量”——运用安全评测工具动态评估自身水位。例如，利用数字安全免疫力测评工具，通过填写调研问卷的方式，可以让企业掌握全局的安全建设短板。同时，评估报告也会将企业与行业平均水平对比，让企业更直观了解差距。

立足企业实践，指南提出数据安全、业务安全、边界安全、端点安全、应用开发安全与安全运营管理等六大模块对应的具体场景，为企业推荐对应的建设意见与工具建议，为处于数字化转型期的企业提供实战指引。

在数据安全方面，指南提出，数据分类、分级是数据安全建设的关键，同时要建立数据安全防护基线、建立统一化运营体系。在业务安全方面，指南提出，缺乏安全能力护航的业务可能成为黑灰产的“提款机”，人机识别、风控引擎、内容安全、业务安全合规等是必要的投入。在端点安全方面，指南提出，统一协同边界和端点安全产品，构建新安全护城河，提高应对未知风险和移动办公威胁的能力。在应用开发安全方面，指南提出，需要将安全建设也植入到开发团队当中，并结合风险点部署安全工具，而且要确保开发团队能熟练使用安全工具；安全运营管理则需要发挥“中心指挥部”的战略价值，串联起不同的安全产品、资源，建议引入SOC、威胁情报、攻击面管理等技术提升安全运营效率。

指南还建议企业从“等保”实际价值、安全人员能力、AI技术影响等维度动态评估更新。例如，关注以AIGC为代表的新兴技术安全。在AIGC助力下，防御成本将大幅度下降，防御体系的自我决策和反应能力都会指数级提升，核心思路也将从攻防驱动转为风险驱动，大量低级网络攻击手段将快速失效。

该指南由工业和信息化部新闻宣传中心（人民邮电报社）指导，腾讯安全、腾讯研究院、《中国信息安全》杂志社联合三十余位业内专家、学者、企业领袖共同编制。

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情