作者：IDC中國副總裁、首席分析師 武連峰

數(shù)字安全免疫力是一個企業(yè)針對各種數(shù)字安全威脅時的防御機制，與人體免疫力相似，企業(yè)數(shù)字安全免疫力包含兩類：企業(yè)安全文化意識與合規(guī)是先天性數(shù)字安全免疫力，今天任何一個企業(yè)在建數(shù)字化系統(tǒng)的時候，毫無疑問會建設一些基本的安全能力，任何硬件、軟件、操作系統(tǒng)、數(shù)據(jù)庫本身會嵌入安全模塊，這些也可以屬于先天性數(shù)字安全免疫力；包括邊界安全、端點安全、應用安全、安全運營和管理、數(shù)據(jù)安全治理以及業(yè)務風險控制在內的六大模塊是后天適應性數(shù)字安全免疫力。在風險、合規(guī)、事件和發(fā)展等因素驅動下，企業(yè)從資產“心臟”出發(fā)，構筑多層“免疫屏障”，可實現(xiàn)韌性增長。

本篇文章將首先闡述數(shù)字安全免疫力的內涵并簡要說明模型的構成，其次分析數(shù)字安全免疫力的價值所在，最后將談及企業(yè)如何筑牢數(shù)字安全免疫力促進韌性發(fā)展。

數(shù)字化業(yè)務時代來臨，企業(yè)安全建設面臨多重挑戰(zhàn)

企業(yè)在數(shù)字化升級過程中面臨諸多挑戰(zhàn)，這些挑戰(zhàn)既來自外部環(huán)境的變化，也涉及到內部變革的復雜性。

外部環(huán)境來看，我們正處在一個重要的臨界點，2022年，無論全球還是中國，GDP總量的50%以上（中國約超60萬億元人民幣）是基于數(shù)字化或受數(shù)字化影響的，中國2022-2026年數(shù)字化轉型總支出將達到2.38萬億美元。這意味著，企業(yè)數(shù)字化發(fā)展正在從數(shù)字化轉型時代進入到數(shù)字化業(yè)務時代，過去企業(yè)的核心是業(yè)務的數(shù)字化，現(xiàn)在的核心是數(shù)據(jù)的業(yè)務化，數(shù)據(jù)以及與其相關的網絡安全問題變得更加重要。

數(shù)字化業(yè)務時代的來臨，數(shù)據(jù)變得越來越重要，遭受網絡攻擊的可能性也越來越大，安全事件層出不窮。例如，今年2月份中國有45億條快遞數(shù)據(jù)被泄露，3月份一家臺灣IT廠商被黑客盜取160GB數(shù)據(jù)。IDC數(shù)據(jù)顯示，早期企業(yè)遭勒索金額平均在100～200美元之間，而到2021年，此類攻擊導致的經濟損失已達到百萬美元級別。

圖1 全球重大數(shù)據(jù)泄露事件概覽，2018-2022

（來源：IDC《加強企業(yè)數(shù)字安全免疫力，助力數(shù)字時代下的韌性發(fā)展白皮書》，2023）

與此同時，監(jiān)管力度逐漸升級。從我國來看，過去幾年出臺了大量與網絡安全、保密、個人隱私安全相關的法律。從全球來看，歐盟在2018年出臺了了GDPR《通用數(shù)據(jù)保護條例》，美國也相繼推出了HIPPA、薩班斯、芯片法案等一系列法律文件，對與信息安全有關的諸多領域進行了嚴格的法律約束。

從企業(yè)內部層面來看，企業(yè)安全建設也面臨著三方面挑戰(zhàn)：

在戰(zhàn)略、組織與人才層面，企業(yè)缺少對安全、合規(guī)價值的戰(zhàn)略認知，因此對安全投入的評估不夠充分，對安全體系、團隊的建設也沒有足夠的預期。在安全人才儲備上，企業(yè)普遍缺乏適應新發(fā)展的專業(yè)化人才，甚至難以組織起體系化的安全人才團隊。

在數(shù)字技術層面，云環(huán)境下的企業(yè)IT架構有很多新的變化，AIGC等創(chuàng)新技術的應用也讓企業(yè)整體的數(shù)字化始終處于優(yōu)化升級的過程中，需要建立和提升許多新的能力。在生產上，企業(yè)智能化生產環(huán)境在大量增加，生產設備基于物聯(lián)網的連接，自動生成數(shù)據(jù)的規(guī)模和重要程度連續(xù)攀升。不少企業(yè)過往多年投入建設的老舊安全系統(tǒng)，也越來越難以實施安全加固策略，加固和修復工作往往會無從下手。

在經營管理流程與安全能力銜接方面，新技術、新產品所構建的平臺化創(chuàng)新體系使傳統(tǒng)的安全流程越來越缺乏適配性，大量企業(yè)未能應用數(shù)字化、自動化手段監(jiān)測安全動態(tài)、洞察威脅隱患、實施風險管理以及快速應對事件的發(fā)生，更難以根據(jù)事件反饋不斷優(yōu)化和調整安全策略。

IDC數(shù)據(jù)顯示，2022年，中國IT網絡安全整體市場在133億美金左右，到2026年預計增長至288億美金，每年平均增長近20%，增速位列全球第一。但從絕對值來看，中國企業(yè)的安全投入和美國與全球相比差距較大，中國各行業(yè)平均IT安全支出僅占ICT整體支出1.7%，而美國占比則平均為4.6%，全球為3.4%。所以，中國企業(yè)還需要持續(xù)投資安全。

基于企業(yè)數(shù)字安全免疫力模型，升級企業(yè)安全體系

為了更好地構建安全能力，IDC與騰訊安全共同構建數(shù)字安全免疫力模型。數(shù)字安全免疫力是企業(yè)面對各種數(shù)字安全威脅時的防御機制，包括先天性免疫力和適應性免疫力。安全文化和意識是企業(yè)的先天性免疫力，如果企業(yè)的管理層、企業(yè)員工如果沒有安全意識，企業(yè)花了再多的錢，購置了一堆硬件和軟件，但其實還是不安全的，所以整個安全意識非常關鍵。面向高度具體的攻擊所形成的防線是企業(yè)的適應性免疫力，包含6大模塊：邊界安全、端點安全、應用開發(fā)安全、安全運營與管理、數(shù)據(jù)安全治理、業(yè)務風險控制。其中，安全運營與管理是核心中樞，將上下三層連接起來；邊界安全、端點安全和應用開發(fā)安全是三個屏障；數(shù)據(jù)安全治理和業(yè)務風險控制是兩個堡壘。

（來源：IDC《加強企業(yè)數(shù)字安全免疫力，助力數(shù)字時代下的韌性發(fā)展白皮書》，2023）

與傳統(tǒng)的安全理念不同，數(shù)字安全免疫力更加強調前置投入，將安全要素融入至企業(yè)的戰(zhàn)略、管理、運營流程中，打通平臺、技術、能力等層面的壁壘，強調動態(tài)、輕量、實時的反應能力，可以一定程度上實現(xiàn)自主性地容錯、糾錯和升級，最終達成安全與發(fā)展協(xié)同的目標：

首先，基于數(shù)字安全免疫力理念，全面提升企業(yè)抵御安全風險能力，構筑企業(yè)數(shù)字化韌性：當遇到突發(fā)事件如新冠疫情時，企業(yè)的快速應對能力和快速恢復能力，同時在風險過去之后企業(yè)找到新機會的能力，是我們所強調的企業(yè)數(shù)字化韌性。反過來，當安全事件大量出現(xiàn)時，如何打造安全韌性也會變得極為關鍵。

其次，通過安全建設保障業(yè)務運營和創(chuàng)新，提升企業(yè)商業(yè)競爭力：如果企業(yè)在構筑數(shù)字安全免疫力時能夠做到適度精準，就能夠保障業(yè)務運營的同時持續(xù)創(chuàng)新，增加企業(yè)商業(yè)競爭力。當企業(yè)因出現(xiàn)安全問題而造成損失時，創(chuàng)新能力和韌性都會受到非常大的影響，因此底層安全是支撐企業(yè)未來可持續(xù)創(chuàng)新的動力。

第三，聚焦供應鏈安全建設和安全生態(tài)發(fā)展：企業(yè)在數(shù)字業(yè)務時代進行創(chuàng)新的過程中會遇到更多的困難，所以如何利用生態(tài)進行創(chuàng)新，就會變成企業(yè)的剛需。如果企業(yè)沒有安全保障，就很難在生態(tài)領域上形成更大的影響力。因此如何更好地通過數(shù)字安全免疫力來賦能生態(tài)，提升企業(yè)的行業(yè)領導力變得很重要。

積極實踐，構筑企業(yè)數(shù)字安全免疫力

不足的安全意識，日新月異的技術發(fā)展，以及匱乏的安全運營能力，導致企業(yè)安全建設呈現(xiàn)出不充分、不完善、難推進等特征。企業(yè)在發(fā)展自身安全體系、強化安全保障活動時，可以基于數(shù)字安全免疫力框架，統(tǒng)籌合規(guī)驅動、事件驅動、攻防驅動、發(fā)展驅動四大安全底層驅動要素，將多重安全要素實現(xiàn)有機組合，形成面向當前和未來的、動態(tài)聯(lián)系的、可持續(xù)迭代的安全體系模型框架：

在文化與意識層面，建立上下一致的認知，形成統(tǒng)一有序的行動；在邊界安全層面，夯實安全基礎防線，守護不斷擴展的邊界；在端點安全層面，填補端點安全間隙，構筑多形態(tài)環(huán)境安全；在應用開發(fā)安全層面，降低修復成本，推進安全左移；在安全運營與管理層面，打造統(tǒng)一、可視、主動、協(xié)同的安全運營；在數(shù)據(jù)安全治理層面，打造企業(yè)數(shù)據(jù)生態(tài)，加速合規(guī)數(shù)據(jù)價值釋放；在業(yè)務風險治理層面，健全風險管理體系，兼顧風險與效率平衡。

此外，企業(yè)應定期“體檢”，掌握自身健康狀態(tài)，提早發(fā)現(xiàn)并控制“疾病”；應接種相應“疫苗”，補充風險抵御能力；更重要的是，企業(yè)應保持積極活躍“生活方式”，打造自上而下、自內而外的全面數(shù)字安全建設體系，為促進企業(yè)整體發(fā)展帶來切實價值。

關鍵詞：