作者：IDC中國(guó)副總裁、首席分析師 武連峰

數(shù)字安全免疫力是一個(gè)企業(yè)針對(duì)各種數(shù)字安全威脅時(shí)的防御機(jī)制，與人體免疫力相似，企業(yè)數(shù)字安全免疫力包含兩類：企業(yè)安全文化意識(shí)與合規(guī)是先天性數(shù)字安全免疫力，今天任何一個(gè)企業(yè)在建數(shù)字化系統(tǒng)的時(shí)候，毫無(wú)疑問(wèn)會(huì)建設(shè)一些基本的安全能力，任何硬件、軟件、操作系統(tǒng)、數(shù)據(jù)庫(kù)本身會(huì)嵌入安全模塊，這些也可以屬于先天性數(shù)字安全免疫力；包括邊界安全、端點(diǎn)安全、應(yīng)用安全、安全運(yùn)營(yíng)和管理、數(shù)據(jù)安全治理以及業(yè)務(wù)風(fēng)險(xiǎn)控制在內(nèi)的六大模塊是后天適應(yīng)性數(shù)字安全免疫力。在風(fēng)險(xiǎn)、合規(guī)、事件和發(fā)展等因素驅(qū)動(dòng)下，企業(yè)從資產(chǎn)“心臟”出發(fā)，構(gòu)筑多層“免疫屏障”，可實(shí)現(xiàn)韌性增長(zhǎng)。

本篇文章將首先闡述數(shù)字安全免疫力的內(nèi)涵并簡(jiǎn)要說(shuō)明模型的構(gòu)成，其次分析數(shù)字安全免疫力的價(jià)值所在，最后將談及企業(yè)如何筑牢數(shù)字安全免疫力促進(jìn)韌性發(fā)展。

數(shù)字化業(yè)務(wù)時(shí)代來(lái)臨，企業(yè)安全建設(shè)面臨多重挑戰(zhàn)

企業(yè)在數(shù)字化升級(jí)過(guò)程中面臨諸多挑戰(zhàn)，這些挑戰(zhàn)既來(lái)自外部環(huán)境的變化，也涉及到內(nèi)部變革的復(fù)雜性。

外部環(huán)境來(lái)看，我們正處在一個(gè)重要的臨界點(diǎn)，2022年，無(wú)論全球還是中國(guó)，GDP總量的50%以上（中國(guó)約超60萬(wàn)億元人民幣）是基于數(shù)字化或受數(shù)字化影響的，中國(guó)2022-2026年數(shù)字化轉(zhuǎn)型總支出將達(dá)到2.38萬(wàn)億美元。這意味著，企業(yè)數(shù)字化發(fā)展正在從數(shù)字化轉(zhuǎn)型時(shí)代進(jìn)入到數(shù)字化業(yè)務(wù)時(shí)代，過(guò)去企業(yè)的核心是業(yè)務(wù)的數(shù)字化，現(xiàn)在的核心是數(shù)據(jù)的業(yè)務(wù)化，數(shù)據(jù)以及與其相關(guān)的網(wǎng)絡(luò)安全問(wèn)題變得更加重要。

數(shù)字化業(yè)務(wù)時(shí)代的來(lái)臨，數(shù)據(jù)變得越來(lái)越重要，遭受網(wǎng)絡(luò)攻擊的可能性也越來(lái)越大，安全事件層出不窮。例如，今年2月份中國(guó)有45億條快遞數(shù)據(jù)被泄露，3月份一家臺(tái)灣IT廠商被黑客盜取160GB數(shù)據(jù)。IDC數(shù)據(jù)顯示，早期企業(yè)遭勒索金額平均在100～200美元之間，而到2021年，此類攻擊導(dǎo)致的經(jīng)濟(jì)損失已達(dá)到百萬(wàn)美元級(jí)別。

圖1 全球重大數(shù)據(jù)泄露事件概覽，2018-2022

（來(lái)源：IDC《加強(qiáng)企業(yè)數(shù)字安全免疫力，助力數(shù)字時(shí)代下的韌性發(fā)展白皮書(shū)》，2023）

與此同時(shí)，監(jiān)管力度逐漸升級(jí)。從我國(guó)來(lái)看，過(guò)去幾年出臺(tái)了大量與網(wǎng)絡(luò)安全、保密、個(gè)人隱私安全相關(guān)的法律。從全球來(lái)看，歐盟在2018年出臺(tái)了了GDPR《通用數(shù)據(jù)保護(hù)條例》，美國(guó)也相繼推出了HIPPA、薩班斯、芯片法案等一系列法律文件，對(duì)與信息安全有關(guān)的諸多領(lǐng)域進(jìn)行了嚴(yán)格的法律約束。

從企業(yè)內(nèi)部層面來(lái)看，企業(yè)安全建設(shè)也面臨著三方面挑戰(zhàn)：

在戰(zhàn)略、組織與人才層面，企業(yè)缺少對(duì)安全、合規(guī)價(jià)值的戰(zhàn)略認(rèn)知，因此對(duì)安全投入的評(píng)估不夠充分，對(duì)安全體系、團(tuán)隊(duì)的建設(shè)也沒(méi)有足夠的預(yù)期。在安全人才儲(chǔ)備上，企業(yè)普遍缺乏適應(yīng)新發(fā)展的專業(yè)化人才，甚至難以組織起體系化的安全人才團(tuán)隊(duì)。

在數(shù)字技術(shù)層面，云環(huán)境下的企業(yè)IT架構(gòu)有很多新的變化，AIGC等創(chuàng)新技術(shù)的應(yīng)用也讓企業(yè)整體的數(shù)字化始終處于優(yōu)化升級(jí)的過(guò)程中，需要建立和提升許多新的能力。在生產(chǎn)上，企業(yè)智能化生產(chǎn)環(huán)境在大量增加，生產(chǎn)設(shè)備基于物聯(lián)網(wǎng)的連接，自動(dòng)生成數(shù)據(jù)的規(guī)模和重要程度連續(xù)攀升。不少企業(yè)過(guò)往多年投入建設(shè)的老舊安全系統(tǒng)，也越來(lái)越難以實(shí)施安全加固策略，加固和修復(fù)工作往往會(huì)無(wú)從下手。

在經(jīng)營(yíng)管理流程與安全能力銜接方面，新技術(shù)、新產(chǎn)品所構(gòu)建的平臺(tái)化創(chuàng)新體系使傳統(tǒng)的安全流程越來(lái)越缺乏適配性，大量企業(yè)未能應(yīng)用數(shù)字化、自動(dòng)化手段監(jiān)測(cè)安全動(dòng)態(tài)、洞察威脅隱患、實(shí)施風(fēng)險(xiǎn)管理以及快速應(yīng)對(duì)事件的發(fā)生，更難以根據(jù)事件反饋不斷優(yōu)化和調(diào)整安全策略。

IDC數(shù)據(jù)顯示，2022年，中國(guó)IT網(wǎng)絡(luò)安全整體市場(chǎng)在133億美金左右，到2026年預(yù)計(jì)增長(zhǎng)至288億美金，每年平均增長(zhǎng)近20%，增速位列全球第一。但從絕對(duì)值來(lái)看，中國(guó)企業(yè)的安全投入和美國(guó)與全球相比差距較大，中國(guó)各行業(yè)平均IT安全支出僅占ICT整體支出1.7%，而美國(guó)占比則平均為4.6%，全球?yàn)?.4%。所以，中國(guó)企業(yè)還需要持續(xù)投資安全。

基于企業(yè)數(shù)字安全免疫力模型，升級(jí)企業(yè)安全體系

為了更好地構(gòu)建安全能力，IDC與騰訊安全共同構(gòu)建數(shù)字安全免疫力模型。數(shù)字安全免疫力是企業(yè)面對(duì)各種數(shù)字安全威脅時(shí)的防御機(jī)制，包括先天性免疫力和適應(yīng)性免疫力。安全文化和意識(shí)是企業(yè)的先天性免疫力，如果企業(yè)的管理層、企業(yè)員工如果沒(méi)有安全意識(shí)，企業(yè)花了再多的錢，購(gòu)置了一堆硬件和軟件，但其實(shí)還是不安全的，所以整個(gè)安全意識(shí)非常關(guān)鍵。面向高度具體的攻擊所形成的防線是企業(yè)的適應(yīng)性免疫力，包含6大模塊：邊界安全、端點(diǎn)安全、應(yīng)用開(kāi)發(fā)安全、安全運(yùn)營(yíng)與管理、數(shù)據(jù)安全治理、業(yè)務(wù)風(fēng)險(xiǎn)控制。其中，安全運(yùn)營(yíng)與管理是核心中樞，將上下三層連接起來(lái)；邊界安全、端點(diǎn)安全和應(yīng)用開(kāi)發(fā)安全是三個(gè)屏障；數(shù)據(jù)安全治理和業(yè)務(wù)風(fēng)險(xiǎn)控制是兩個(gè)堡壘。

（來(lái)源：IDC《加強(qiáng)企業(yè)數(shù)字安全免疫力，助力數(shù)字時(shí)代下的韌性發(fā)展白皮書(shū)》，2023）

與傳統(tǒng)的安全理念不同，數(shù)字安全免疫力更加強(qiáng)調(diào)前置投入，將安全要素融入至企業(yè)的戰(zhàn)略、管理、運(yùn)營(yíng)流程中，打通平臺(tái)、技術(shù)、能力等層面的壁壘，強(qiáng)調(diào)動(dòng)態(tài)、輕量、實(shí)時(shí)的反應(yīng)能力，可以一定程度上實(shí)現(xiàn)自主性地容錯(cuò)、糾錯(cuò)和升級(jí)，最終達(dá)成安全與發(fā)展協(xié)同的目標(biāo)：

首先，基于數(shù)字安全免疫力理念，全面提升企業(yè)抵御安全風(fēng)險(xiǎn)能力，構(gòu)筑企業(yè)數(shù)字化韌性：當(dāng)遇到突發(fā)事件如新冠疫情時(shí)，企業(yè)的快速應(yīng)對(duì)能力和快速恢復(fù)能力，同時(shí)在風(fēng)險(xiǎn)過(guò)去之后企業(yè)找到新機(jī)會(huì)的能力，是我們所強(qiáng)調(diào)的企業(yè)數(shù)字化韌性。反過(guò)來(lái)，當(dāng)安全事件大量出現(xiàn)時(shí)，如何打造安全韌性也會(huì)變得極為關(guān)鍵。

其次，通過(guò)安全建設(shè)保障業(yè)務(wù)運(yùn)營(yíng)和創(chuàng)新，提升企業(yè)商業(yè)競(jìng)爭(zhēng)力：如果企業(yè)在構(gòu)筑數(shù)字安全免疫力時(shí)能夠做到適度精準(zhǔn)，就能夠保障業(yè)務(wù)運(yùn)營(yíng)的同時(shí)持續(xù)創(chuàng)新，增加企業(yè)商業(yè)競(jìng)爭(zhēng)力。當(dāng)企業(yè)因出現(xiàn)安全問(wèn)題而造成損失時(shí)，創(chuàng)新能力和韌性都會(huì)受到非常大的影響，因此底層安全是支撐企業(yè)未來(lái)可持續(xù)創(chuàng)新的動(dòng)力。

第三，聚焦供應(yīng)鏈安全建設(shè)和安全生態(tài)發(fā)展：企業(yè)在數(shù)字業(yè)務(wù)時(shí)代進(jìn)行創(chuàng)新的過(guò)程中會(huì)遇到更多的困難，所以如何利用生態(tài)進(jìn)行創(chuàng)新，就會(huì)變成企業(yè)的剛需。如果企業(yè)沒(méi)有安全保障，就很難在生態(tài)領(lǐng)域上形成更大的影響力。因此如何更好地通過(guò)數(shù)字安全免疫力來(lái)賦能生態(tài)，提升企業(yè)的行業(yè)領(lǐng)導(dǎo)力變得很重要。

積極實(shí)踐，構(gòu)筑企業(yè)數(shù)字安全免疫力

不足的安全意識(shí)，日新月異的技術(shù)發(fā)展，以及匱乏的安全運(yùn)營(yíng)能力，導(dǎo)致企業(yè)安全建設(shè)呈現(xiàn)出不充分、不完善、難推進(jìn)等特征。企業(yè)在發(fā)展自身安全體系、強(qiáng)化安全保障活動(dòng)時(shí)，可以基于數(shù)字安全免疫力框架，統(tǒng)籌合規(guī)驅(qū)動(dòng)、事件驅(qū)動(dòng)、攻防驅(qū)動(dòng)、發(fā)展驅(qū)動(dòng)四大安全底層驅(qū)動(dòng)要素，將多重安全要素實(shí)現(xiàn)有機(jī)組合，形成面向當(dāng)前和未來(lái)的、動(dòng)態(tài)聯(lián)系的、可持續(xù)迭代的安全體系模型框架：

在文化與意識(shí)層面，建立上下一致的認(rèn)知，形成統(tǒng)一有序的行動(dòng)；在邊界安全層面，夯實(shí)安全基礎(chǔ)防線，守護(hù)不斷擴(kuò)展的邊界；在端點(diǎn)安全層面，填補(bǔ)端點(diǎn)安全間隙，構(gòu)筑多形態(tài)環(huán)境安全；在應(yīng)用開(kāi)發(fā)安全層面，降低修復(fù)成本，推進(jìn)安全左移；在安全運(yùn)營(yíng)與管理層面，打造統(tǒng)一、可視、主動(dòng)、協(xié)同的安全運(yùn)營(yíng)；在數(shù)據(jù)安全治理層面，打造企業(yè)數(shù)據(jù)生態(tài)，加速合規(guī)數(shù)據(jù)價(jià)值釋放；在業(yè)務(wù)風(fēng)險(xiǎn)治理層面，健全風(fēng)險(xiǎn)管理體系，兼顧風(fēng)險(xiǎn)與效率平衡。

此外，企業(yè)應(yīng)定期“體檢”，掌握自身健康狀態(tài)，提早發(fā)現(xiàn)并控制“疾病”；應(yīng)接種相應(yīng)“疫苗”，補(bǔ)充風(fēng)險(xiǎn)抵御能力；更重要的是，企業(yè)應(yīng)保持積極活躍“生活方式”，打造自上而下、自內(nèi)而外的全面數(shù)字安全建設(shè)體系，為促進(jìn)企業(yè)整體發(fā)展帶來(lái)切實(shí)價(jià)值。

關(guān)鍵詞：