穿透趋势看变革，数字安全行业如何实现范式升级

1月17日，《企业数字安全免疫力建设指南》（下称《指南》）发布暨行业实践研讨会在工信部新闻宣传中心指导下召开。此次会议汇聚了三十余位数字安全行业知名专家、学者及企业领袖，共同探讨数字经济安全未来的行业趋势、变革和应对策略。

当下，数字经济发展提速，随着数据总量增加，生成式人工智能等新技术为数字安全带来新挑战，数据安全问题日益凸显。2023年6月，IDC联合腾讯安全提出以“数字安全免疫力”的新范式应对数字化浪潮与相应的安全风险。这次会议，《指南》以企业客户真实场景、痛点、需求为研究对象，从理念认知、范式重建、量化评估、关键模块以及实践案例等方面，创建一套以数据与业务为中心，统筹发展与安全的方法论、工具集，为企业数字化各阶段的安全建设提供一线指引。

工业和信息化部新闻宣传中心（人民邮电报社）总编辑王保平表示，希望腾讯安全能够聚合行业智慧，为企业提供安全建设的“指南针”和“设计图”，帮助企业打造面向未来、适应发展的数字安全免疫力体系。

数字安全将迎来九大变革

企业数字化发展与安全建设是数字中国蓝图的重要构成部分。随着技术进步，企业安全建设理念从早期的访问控制到防火墙兴起、加密技术、流量分析等技术涌现，再到如今零信任、云安全、智能安全等创新安全理念演进，网络安全防护目标逐渐跳出传统的设备、边界，守护更为复杂和壮阔的网络空间。网络安全的趋势和攻防重点也在持续变化。

就2024年数字安全变革，《指南》揭示了九大核心趋势，包含数据要素x安全、攻防逻辑、网络安全保险模式、网络韧性、融合式风险管理、工业互联网安全、安全边界、云端安全等，点出企业在数字经济时代必须关注和应对的关键问题。

例如，生成式人工智能技术的迅猛发展正在改变传统的攻防逻辑。AIGC不仅使得网络攻击更加复杂且难以防范，还为防御方提供了新工具和手段。如何在新的攻防环境下提升防御能力，是企业面临的一大挑战。

“生成式人工智能滋生了恶意大模型的新威胁，即由非法组织或不法分子操纵，借助开源模型模仿ChatGPT等合法模型，专门用于网络犯罪、诈骗等非法行为，形成‘人工智能 犯罪’新治理挑战，对国家安全、行业创新、生产生活等方面造成危害。” 中国信息通信研究院安全研究所高级工程师郑威表示：企业当务之急，是评估当前的网络安全状态，明确企业是否具备足够的安全检测和防御能力，来应对攻击、识别潜在网络安全防御脆弱性，并采取相应的加固措施来积极应对。企业应尽早将生成式AI纳入风险管理目标范围。

《指南》还提出，供应链安全问题正催化企业安全管理模式升级，企业需要建立一套融合式的风险管理机制，以确保供应链的安全和稳定。云端也已成为数据安全重要焦点场景。如何保障云端数据的机密性、完整性和可用性，是企业在上云过程中必须重视的问题。

就供应链安全问题，OWASP中国上海区域负责人、观安信息战略部安全专家王文君表示，供应链安全的一个重要驱动力是合规驱动，政策层面已在做出规范，层层递进至具体落地时，一部具有实践意义、实操价值的指南则非常重要。就云安全挑战，郑威则指出，企业上云面临更大的网络攻击暴露面、API接口攻击暴增、数据泄露及丢失严重等挑战。以汽车数据上云为例，潜在的数据安全问题包括车辆本身安全风险的问题以及用户隐私外泄等。企业系统上云的安全防护策略需结合云计算特点，构建一套基于技术和管理两大层面的安全防护策略，通过加强对云端访问控制，并加强账号和权限管理、API管理、安全开发及系统漏洞处置等保障云安全。应对汽车数据安全问题，应打造完善的数据安全防护体系，在搜集、获取、存储数据时必须确保数据安全并做好监督管控。

此外，《指南》认为数字安全变革核心趋势还包括“数据要素x安全”被视为数字经济繁荣发展的基石、网络安全保险正成为风险共担的新模式、网络韧性受重视程度超过传统的“刚性”安全理念、新的安全边界理念正在逐步形成等。整体看，面临新技术和新形势带来的挑战，企业建设数字经济安全免疫力的紧迫性愈加突出，企业需深刻认识新技术的双重影响并警惕潜在安全威胁，采取有效措施应对智能化攻击的挑战。

四个核心重建安全范式

应对数字安全问题，目前行业模式仍有局限性。王保平表示，在传统的网络安全理念中，常常“以已知应对未知”。这意味着防御者需要依赖有限的技术、产品和实战经验，来对抗未知的攻击者和攻击方式。但在不断变化的网络威胁面前，这种方式往往显得被动和力不从心。

《指南》认为，数字安全行业需要从被动防御转向主动预防和持续监测，从单一维度到多维度防护，全方位实现范式升级以适应新的威胁和技术环境。企业的数字化发展与安全建设，亟待破除安全的“成本中心”思维，用发展的眼光看待安全，建立发展与安全融合的“发展驱动”范式。安全是发展的前提，发展是安全的保障。

数字安全免疫力框架提供了以“发展”应对“未知”的全新视角。通过持续发展和创新，企业可获得更有效的“免疫抗体”，从而更早地发现、处置和消灭潜在的“病毒”。发展还能塑造企业强健“体魄”，使其在面对破坏后能够迅速恢复，保护核心业务不受影响。

相比传统安全范式，数字安全免疫力在三个方面实现了升级：企业安全建设的核心目标，从建设安全到守护企业数据和业务两大资产；变革对抗方式，通过安全免疫力的新范式，将过去单兵作战的安全对抗模式，升级成体系的对抗，提升整体安全防御能力；变革企业安全思维，从被动应对转向主动防御，建立具有弹性、自适应、可扩展的数字安全免疫系统。

数世咨询创始人李少鹏表示，安全已从传统的计算机安全、信息安全、网络安全演进到了如今的数字安全，风险已不再局限于围绕数字化资产的攻防对抗。数字安全免疫力范式的核心，并非直接将“安全”作为第一视角，而是围绕企业核心业务与数据展开防御体系。

《指南》提出数字安全免疫力的四大核心，包括业务和数据取代传统将“安全”作为第一视角的建设思路，基于企业现状、预算水平提升安全有效性，而非“绝对安全”；提前规划主动预案，基于企业业务的发展目标，提前为未来可能发生的威胁做好准备并做好安全规划；综合协调安全资源，实现内部安全产品以及外部安全资源的协同；通过足够高的安全水位、自迭代能力以及非交互式验证的技术实现安全无感知。

王文君表示，数字安全最终目的还是要为业务服务，在不影响原则的前提下，可以探索业务和安全两者都可以接受的折衷方案，在保证业务的同时，安全能持续迭代更新。此外，企业内部有条件的话也可以举办安全培训来提供全体员工的安全意识，如钓鱼邮件测试，安全开发培训等。

六个指南助数字安全免疫力建设

从数据安全、业务安全、边界安全、端点安全、应用开发安全与安全运营管理六大板块，《指南》提出六个企业数字安全免疫力建设指南。

数据安全是企业数字安全的重要组成部分，需要从合规和保护重要机密的角度进行全面防护。实践中，数据安全建设需进行数据分类分级，简化处理海量数据。对于复杂的安全产品线，可寻求集成型数据安全平台进行统一化管理，云端数据安全则可结合云安全能力进行统一管控。《指南》提出，数据分类、分级是数据安全建设的关键，同时也要建立数据安全防护基线、建立统一化运营体系。

“安全是成本和效率的平衡，企业不可能对所有的数据资产实现无差别的防护，数据分类、分级是企业实现数据治理的基础，是实现数据全流程动态保护的基本前提。有效的数据分类分级工作不仅能助力企业高效识别和保障关键数据安全，还能优化数据处理流程，从而显著提升整体的运营效率”。腾讯安全副总裁董志强表示。

业务安全层面，不同业务场景面临不同风险，安全部门需与业务团队紧密合作，了解业务流程、风险及现有安全措施，共同制定风控策略。《指南》提出，企业应强化业务安全，人机识别、风控引擎、内容安全、业务安全合规等必要投入。安全运营管理在数字安全免疫力建设中发挥着“串联”作用，需明确具体问题，如人才缺乏、产品协同不足等，并将安全运营管理作为统一的安全管理中枢，再构建扩展安全能力。

边界与端点安全层面，随着云计算和数字化转型推进，企业边界逐渐模糊，员工计算机、移动设备、物联网设备和云环境等都成为新的安全边界和端点。《指南》指出，企业应重视端点安全，统一协同边界和端点安全产品，构建新安全护城河，提高应对未知风险和移动办公威胁的能力。此外，专家们认为云安全是未来一两年需关注的问题，移动安全则可能成为下一个IT入口，需提前规划并关注云环境和移动安全态势。

面对模糊的边界和多样的端点，董志强认为，“触网”更多带来攻击面扩大的问题，数据资产价值增加也吸引来更多专业、组织化的攻击者，以汽车为例，原本只是封闭的车端，只有功能安全问题，如今打通车和云、车和人、车和车的边界，面临来自云管端三方面的安全风险。从近两年车企数据泄露事件看，很多并非从车端泄露，而是从云端或其他界面泄露，这说明，数据安全需要企业以全局思维考虑，建立一套覆盖边界、终端、开发安全、安全运营、数据治理在内的数字安全免疫力。

应用开发安全层面，如何平衡应用开发和安全建设？传统应用开发安全中，负责开发的IT团队和安全团队之间往往是割裂的存在，安全团队的工作往往会被IT团队认为阻碍了开发进程。《指南》指出，需要将安全建设的意识、能力也植入到开发团队当中，并结合风险点部署安全工具，推动安全左移，确保开发团队在整个工作流程中运用安全工具。

“我们一个客户有一个观点：开发软件好比盖房子，如果问题出现在屋顶，可以对屋顶进行修葺；如果问题出现在地基，需要推倒重来，成本很高。企业管理层需要意识到开发安全的重要性，从决策层往下贯彻，建立‘安全守门员’制度，在项目每一个节点都设置安全门禁，让安全部门介入评审，把潜在的问题收敛。磨刀不误砍柴工，即便这项工作可能对业务效率产生一些影响，但总体上看肯定是更‘省事’的。“就如何平衡安全和应用开发效率，董志强表示。

研讨会上，还有多个行业专家、企业安全负责人分享自身数字安全免疫力建设实践。据介绍，腾讯安全目前打造了以默认安全、底层可信、纵深防御为特点的高安全等级架构，让企业在云上能天然具备更高的安全水位。

王保平表示，“数字安全免疫力”提出了一种新思路，即让网络安全理念经过几十年复杂化发展之后，逐步回归“极简”，这种基于企业业务和数据核心推导而得出的安全理念和建设方法，是值得长期坚持、持续研究的。