IDC武连峰:应用数字安全免疫力理念,促进企业在数字时代韧性发展

降级狂
• 阅读 286

作者:IDC中国副总裁、首席分析师 武连峰

数字安全免疫力是一个企业针对各种数字安全威胁时的防御机制,与人体免疫力相似,企业数字安全免疫力包含两类:企业安全文化意识与合规是先天性数字安全免疫力,今天任何一个企业在建数字化系统的时候,毫无疑问会建设一些基本的安全能力,任何硬件、软件、操作系统、数据库本身会嵌入安全模块,这些也可以属于先天性数字安全免疫力;包括边界安全、端点安全、应用安全、安全运营和管理、数据安全治理以及业务风险控制在内的六大模块是后天适应性数字安全免疫力。在风险、合规、事件和发展等因素驱动下,企业从资产“心脏”出发,构筑多层“免疫屏障”,可实现韧性增长。

本篇文章将首先阐述数字安全免疫力的内涵并简要说明模型的构成,其次分析数字安全免疫力的价值所在,最后将谈及企业如何筑牢数字安全免疫力促进韧性发展。

数字化业务时代来临,企业安全建设面临多重挑战

企业在数字化升级过程中面临诸多挑战,这些挑战既来自外部环境的变化,也涉及到内部变革的复杂性。

外部环境来看,我们正处在一个重要的临界点,2022年,无论全球还是中国,GDP总量的50%以上(中国约超60万亿元人民币)是基于数字化或受数字化影响的,中国2022-2026年数字化转型总支出将达到2.38万亿美元。这意味着,企业数字化发展正在从数字化转型时代进入到数字化业务时代,过去企业的核心是业务的数字化,现在的核心是数据的业务化,数据以及与其相关的网络安全问题变得更加重要。

数字化业务时代的来临,数据变得越来越重要,遭受网络攻击的可能性也越来越大,安全事件层出不穷。例如,今年2月份中国有45亿条快递数据被泄露,3月份一家台湾IT厂商被黑客盗取160GB数据。IDC数据显示,早期企业遭勒索金额平均在100~200美元之间,而到2021年,此类攻击导致的经济损失已达到百万美元级别。

图1 全球重大数据泄露事件概览,2018-2022

IDC武连峰:应用数字安全免疫力理念,促进企业在数字时代韧性发展
(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)

与此同时,监管力度逐渐升级。从我国来看,过去几年出台了大量与网络安全、保密、个人隐私安全相关的法律。从全球来看,欧盟在2018年出台了了GDPR《通用数据保护条例》,美国也相继推出了HIPPA、萨班斯、芯片法案等一系列法律文件,对与信息安全有关的诸多领域进行了严格的法律约束。

从企业内部层面来看,企业安全建设也面临着三方面挑战:

在战略、组织与人才层面,企业缺少对安全、合规价值的战略认知,因此对安全投入的评估不够充分,对安全体系、团队的建设也没有足够的预期。在安全人才储备上,企业普遍缺乏适应新发展的专业化人才,甚至难以组织起体系化的安全人才团队。

在数字技术层面,云环境下的企业IT架构有很多新的变化,AIGC等创新技术的应用也让企业整体的数字化始终处于优化升级的过程中,需要建立和提升许多新的能力。在生产上,企业智能化生产环境在大量增加,生产设备基于物联网的连接,自动生成数据的规模和重要程度连续攀升。不少企业过往多年投入建设的老旧安全系统,也越来越难以实施安全加固策略,加固和修复工作往往会无从下手。

在经营管理流程与安全能力衔接方面,新技术、新产品所构建的平台化创新体系使传统的安全流程越来越缺乏适配性,大量企业未能应用数字化、自动化手段监测安全动态、洞察威胁隐患、实施风险管理以及快速应对事件的发生,更难以根据事件反馈不断优化和调整安全策略。

IDC数据显示,2022年,中国IT网络安全整体市场在133亿美金左右,到2026年预计增长至288亿美金,每年平均增长近20%,增速位列全球第一。但从绝对值来看,中国企业的安全投入和美国与全球相比差距较大,中国各行业平均IT安全支出仅占ICT整体支出1.7%,而美国占比则平均为4.6%,全球为3.4%。所以,中国企业还需要持续投资安全。

基于企业数字安全免疫力模型,升级企业安全体系

为了更好地构建安全能力,IDC与腾讯安全共同构建数字安全免疫力模型。数字安全免疫力是企业面对各种数字安全威胁时的防御机制,包括先天性免疫力和适应性免疫力。安全文化和意识是企业的先天性免疫力,如果企业的管理层、企业员工如果没有安全意识,企业花了再多的钱,购置了一堆硬件和软件,但其实还是不安全的,所以整个安全意识非常关键。面向高度具体的攻击所形成的防线是企业的适应性免疫力,包含6大模块:边界安全、端点安全、应用开发安全、安全运营与管理、数据安全治理、业务风险控制。其中,安全运营与管理是核心中枢,将上下三层连接起来;边界安全、端点安全和应用开发安全是三个屏障;数据安全治理和业务风险控制是两个堡垒。

IDC武连峰:应用数字安全免疫力理念,促进企业在数字时代韧性发展
(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)

与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,可以一定程度上实现自主性地容错、纠错和升级,最终达成安全与发展协同的目标:

首先,基于数字安全免疫力理念,全面提升企业抵御安全风险能力,构筑企业数字化韧性:当遇到突发事件如新冠疫情时,企业的快速应对能力和快速恢复能力,同时在风险过去之后企业找到新机会的能力,是我们所强调的企业数字化韧性。反过来,当安全事件大量出现时,如何打造安全韧性也会变得极为关键。

其次,通过安全建设保障业务运营和创新,提升企业商业竞争力:如果企业在构筑数字安全免疫力时能够做到适度精准,就能够保障业务运营的同时持续创新,增加企业商业竞争力。当企业因出现安全问题而造成损失时,创新能力和韧性都会受到非常大的影响,因此底层安全是支撑企业未来可持续创新的动力。

第三,聚焦供应链安全建设和安全生态发展:企业在数字业务时代进行创新的过程中会遇到更多的困难,所以如何利用生态进行创新,就会变成企业的刚需。如果企业没有安全保障,就很难在生态领域上形成更大的影响力。因此如何更好地通过数字安全免疫力来赋能生态,提升企业的行业领导力变得很重要。

积极实践,构筑企业数字安全免疫力

不足的安全意识,日新月异的技术发展,以及匮乏的安全运营能力,导致企业安全建设呈现出不充分、不完善、难推进等特征。企业在发展自身安全体系、强化安全保障活动时,可以基于数字安全免疫力框架,统筹合规驱动、事件驱动、攻防驱动、发展驱动四大安全底层驱动要素,将多重安全要素实现有机组合,形成面向当前和未来的、动态联系的、可持续迭代的安全体系模型框架:

在文化与意识层面,建立上下一致的认知,形成统一有序的行动;在边界安全层面,夯实安全基础防线,守护不断扩展的边界;在端点安全层面,填补端点安全间隙,构筑多形态环境安全;在应用开发安全层面,降低修复成本,推进安全左移;在安全运营与管理层面,打造统一、可视、主动、协同的安全运营;在数据安全治理层面,打造企业数据生态,加速合规数据价值释放;在业务风险治理层面,健全风险管理体系,兼顾风险与效率平衡。

此外,企业应定期“体检”,掌握自身健康状态,提早发现并控制“疾病”;应接种相应“疫苗”,补充风险抵御能力;更重要的是,企业应保持积极活跃“生活方式”,打造自上而下、自内而外的全面数字安全建设体系,为促进企业整体发展带来切实价值。

点赞
收藏
评论区
推荐文章
企业级数据安全,天翼云是这样理解的
1月4日,为落实《数据安全法》等法律法规要求,国家网信办、发改委等13部门修订发布了《网络安全审查办法》,数据安全得到前所未有的重视。随着企业数字化转型进入快车道,企业云上数据的安全也面临着巨大的挑战。针对这个热议的话题,天翼云为客户提供全栈安全解决方案,为企业云上安全保驾护航。在某ERP业务系统云安全项目中,为进一步提高用户安全防护能力、保障日常系统正常运
企业上云安全感多“亿”点!
数字时代下,上云成为企业投身产业数字化、实现转型的必然选择。但随着网络环境的复杂化,企业在享受云上便利的同时,也面临着安全挑战。层出不穷的应用程序和产品服务,引发了网络容量和复杂度的指数级倍增,云服务商需要提供更加灵活可靠的网络安全能力,来满足企业多元化的云上安全需求。信息安全保障体系的建设是一项系统工程,防火墙的部署往往是优先项。防火墙是内部网络和外部网络
安全可信 | 安全与高效兼得?天翼云EasyCoding敏捷开发平台来了!
近日,云上数字研发EasyCoding敏捷开发平台在“可信安全”SaaS安全能力评估中,通过中国信息通信研究院评测,荣获“SaaS安全能力检验证书”。随着数字经济蓬勃发展,企业上云步伐不断加快,以远程办公、数字化采购、线上会议为代表的SaaS服务成为企业快
等保合规有妙招!安全又省心!
近年来,上云已成为企业数字化转型的必然选择,安全也成为了企业上云考虑的关键问题。《信息安全技术网络安全等级保护基本要求》规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。那么,企业该如何高效、平稳地满足等保合规,并将安全转化为自身的发展助力?
邢德全 邢德全
1年前
制造业企业如何通过数字化转型建立智能工厂
企业想实现数字化转型建立智能工厂,就需要先建设数字化车间,可以说数字化车间是建设智能工厂的重要一环,智能工厂的基础是数字化车间。数字化车间可以实现企业生产过程中车间计划调度、工艺执行管理、生产质量管理等监督及追溯,达到智能安全生产,提升产品质量的目的,从而完成企业建设智能工厂的重要一步,进而达到加强外界联系、拓宽国际市场的目的。
数字先锋 | 乘云而上!天翼云助力东吴人寿开启云端办公新体验
在数字技术飞速发展的今天,推动大数据、云计算等信息技术手段与金融业态融合发展创新,已成为金融业转型升级的重点方向。与此同时,我国多项网络安全法律法规的出台,也对金融行业的安全管理提出了更高要求。在行业发展与监管要求双轮驱动下,全面推进数字化转型,将有助于金融企业在新时代下行稳致远。
摘星星的猫 摘星星的猫
1年前
保护关键数据:企业利用HTTP代理进行高级加密的方法
在数字化和互联网技术迅猛发展的当代,企业面对的网络安全威胁也日益严峻。本文将探讨如何通过利用HTTP代理加密技术来加强企业的网络防御,并提高其数据保护能力。一、应对内部和外部网络安全挑战虽然传统的防火墙系统为企业提供了基本的数据流监控和管理,它们依旧无法完
幂简集成 幂简集成
7个月前
开发者必备的网络安全与工具API
在当今数字化浪潮中,网络环境日益复杂,网络安全问题层出不穷,从数据泄露到网络攻击,无不威胁着个人隐私和企业资产的安全。网络安全工具作为现代网络安全架构的基石,扮演着至关重要的角色。它不仅提供了一种高效、自动化的方式来管理和响应安全威胁,而且通过集成多种安全
京东云开发者 京东云开发者
2个月前
【银河麒麟高级服务器操作系统】正式上线云主机官方镜像
在数字化转型与信息技术应用创新加速推进的当下,企业上云正面临两大关键挑战:基础设施的安全可控与软件的正版合规。为此,京东云与国产操作系统领军品牌麒麟软件达成深度合作,双方已完成银河麒麟高级服务器操作系统与京东云平台在海光、鲲鹏、Intel、AMD等多款x8
等保测评快速通关秘籍,就在天翼云云等保专区!
数字时代,安全合规已成为企业生存和发展的生命线。然而,传统等保方案在云环境中存在部署复杂、管理割裂、适配困难等痛点,导致企业安全合规建设步履维艰,如何破局?天翼云重磅升级云等保专区,以“快速合规、原生安全、智能防御、全场景适配”为核心,提供从定级备案到安全