2023年6月17日,第三屆數(shù)字安全大會(huì)在北京隆重召開(kāi),本屆大會(huì)由數(shù)世咨詢、CIO時(shí)代聯(lián)合主辦,新基建創(chuàng)新研究院作為智庫(kù)支持。本次大會(huì)吸引了來(lái)自全國(guó)各地500多位行業(yè)CIO和網(wǎng)絡(luò)安全負(fù)責(zé)人、白帽子及主流安全廠商到場(chǎng),同時(shí)當(dāng)天有近萬(wàn)人通過(guò)線上觀看此次直播盛會(huì)。
數(shù)字時(shí)代“安全”成為CSO們的“核心關(guān)注”,騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展以《加強(qiáng)數(shù)字安全免疫力,促進(jìn)數(shù)字化時(shí)代韌性發(fā)展》為主題分享,指出“數(shù)字安全免疫力”,就像我們依靠運(yùn)動(dòng)鍛煉身體、依靠注射疫苗提前應(yīng)對(duì)疾病、遇到疾病要把握底層原因?qū)ΠY下藥一樣,數(shù)字安全免疫力理念推崇更積極、主動(dòng)的安全觀,用“治未病”的理念替代“治已病”。
騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展
第三屆數(shù)字安全大會(huì)演講精華
以下為演講實(shí)錄摘要:
我們已經(jīng)從信息化時(shí)代,過(guò)渡到數(shù)字化時(shí)代,進(jìn)入到當(dāng)前的數(shù)智化時(shí)代。在過(guò)程中,企業(yè)對(duì)于安全建設(shè)的驅(qū)動(dòng)力發(fā)生了顯著變化。
以前,我們把信息當(dāng)作孤島,只有在被攻擊后,才考慮安全建設(shè)。進(jìn)入數(shù)字化時(shí)代,隨著云計(jì)算、物聯(lián)網(wǎng)等應(yīng)用的普及,企業(yè)面臨更復(fù)雜的風(fēng)險(xiǎn),而安全建設(shè)的動(dòng)力更多來(lái)自于法規(guī)監(jiān)管和防御攻擊的需求。進(jìn)入數(shù)智化時(shí)代,AI和大數(shù)據(jù)模型的應(yīng)用使企業(yè)流程智能化,機(jī)器在企業(yè)決策中的作用越來(lái)越大。這時(shí),我們必須構(gòu)建一個(gè)新的安全范式,把安全與發(fā)展緊密結(jié)合。
騰訊安全聯(lián)合安全媒體對(duì)1500家企業(yè)進(jìn)行了調(diào)研,發(fā)現(xiàn)存在兩個(gè)問(wèn)題。第一,大部分企業(yè)在數(shù)字安全的投入上嚴(yán)重不足。第二,大部分企業(yè)對(duì)于安全建設(shè)的理念落后,對(duì)自身的安全建設(shè)評(píng)分低于60分。
騰訊在過(guò)去20多年的發(fā)展過(guò)程中,積累了豐富的AI能力、威脅情報(bào)能力和人的攻防能力。我們建議,企業(yè)應(yīng)該以數(shù)據(jù)和業(yè)務(wù)為中心,構(gòu)建一個(gè)包括數(shù)據(jù)安全堡壘、業(yè)務(wù)安全堡壘以及安全運(yùn)營(yíng)閉環(huán)的安全免疫力框架,同時(shí)在外圍設(shè)立三個(gè)免疫屏障,以產(chǎn)品技術(shù)為導(dǎo)向,通過(guò)持續(xù)的迭代和完善,構(gòu)建出全方位的安全防護(hù)體系。
數(shù)據(jù)安全已成為企業(yè)發(fā)展的關(guān)鍵。面臨的挑戰(zhàn)包括:數(shù)據(jù)安全建設(shè)滯后于數(shù)字化進(jìn)程;數(shù)據(jù)隱私和合規(guī)壓力增加;企業(yè)的暗數(shù)據(jù)增多,導(dǎo)致數(shù)據(jù)泄露;新的數(shù)據(jù)威脅,如API泄露,身份攻擊和勒索攻擊;以及企業(yè)對(duì)數(shù)據(jù)泄露的反應(yīng)遲緩。
為應(yīng)對(duì)這些挑戰(zhàn),騰訊安全提出一個(gè)數(shù)據(jù)安全免疫力框架,包括四個(gè)方面:
一、數(shù)據(jù)默認(rèn)安全:將數(shù)據(jù)安全和整體安全建設(shè)視為一體,從業(yè)務(wù)建設(shè)初期就考慮數(shù)據(jù)全生命周期的安全防護(hù)。
二、數(shù)據(jù)看得見(jiàn):能看到并跟蹤數(shù)據(jù)在企業(yè)內(nèi)部的流轉(zhuǎn),給數(shù)據(jù)打上標(biāo)簽,使其流向可追蹤。
三、數(shù)據(jù)保護(hù)、防御能力:構(gòu)建能管控風(fēng)險(xiǎn)并能處置的數(shù)據(jù)安全體系。
四、數(shù)據(jù)安全智能化運(yùn)營(yíng),風(fēng)險(xiǎn)閉環(huán):通過(guò)DataSecOps數(shù)據(jù)安全運(yùn)營(yíng)體系,做風(fēng)險(xiǎn)閉環(huán),做持續(xù)的檢查、核查,不斷完善風(fēng)險(xiǎn)能力。
根據(jù)不同的業(yè)務(wù)場(chǎng)景,采取相應(yīng)的安全免疫力建設(shè)方式,包括數(shù)據(jù)防泄漏、加密、零信任、數(shù)據(jù)分類(lèi)識(shí)別、脫敏等策略。同時(shí),也要建立數(shù)據(jù)治理的框架,對(duì)數(shù)據(jù)安全進(jìn)行評(píng)估和風(fēng)險(xiǎn)排查,貫穿數(shù)據(jù)安全建設(shè)的每一個(gè)流程,并保證數(shù)據(jù)安全建設(shè)的方法的有效性。
騰訊安全中心將數(shù)據(jù)安全作為關(guān)鍵度量指標(biāo)進(jìn)行數(shù)字化,以此驅(qū)動(dòng)各部門(mén)進(jìn)行數(shù)據(jù)安全建設(shè)。我們的數(shù)據(jù)運(yùn)營(yíng)安全體系涵蓋了數(shù)據(jù)全生命周期,包括生產(chǎn)、傳輸、存儲(chǔ)、防護(hù)和保護(hù)。
我們也制定了一套數(shù)據(jù)安全運(yùn)營(yíng)保障體系,通過(guò)政策和流程機(jī)制,以及巡檢機(jī)制等手段,來(lái)確保整個(gè)數(shù)據(jù)安全的目標(biāo)得以實(shí)現(xiàn)。
在數(shù)據(jù)跨境治理方面,我們?cè)跀?shù)據(jù)出海前后均進(jìn)行評(píng)估和保護(hù)。數(shù)據(jù)跨境前,我們對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),以快速評(píng)估;數(shù)據(jù)跨境中,我們通過(guò)數(shù)據(jù)細(xì)密度的全監(jiān)管,梳理不必要的訪問(wèn),實(shí)現(xiàn)敏感數(shù)據(jù)的加密和脫敏;數(shù)據(jù)跨境后,我們通過(guò)持續(xù)識(shí)別數(shù)據(jù)跨境風(fēng)險(xiǎn),達(dá)到全流程閉環(huán)。
騰訊安全也構(gòu)建了基于數(shù)據(jù)安全治理、隱私計(jì)算、機(jī)密計(jì)算平臺(tái)的風(fēng)險(xiǎn)治理框架。我們希望通過(guò)持續(xù)的流程保障,底層核心能力的建設(shè),來(lái)不斷完善自身的數(shù)據(jù)安全能力建設(shè),助力整個(gè)行業(yè)的數(shù)據(jù)生態(tài)安全建設(shè)。