2023年6月17日,第三屆數字安全大會在北京隆重召開,本屆大會由數世咨詢、CIO時代聯合主辦,新基建創新研究院作為智庫支持。本次大會吸引了來自全國各地500多位行業CIO和網絡安全負責人、白帽子及主流安全廠商到場,同時當天有近萬人通過線上觀看此次直播盛會。
數字時代“安全”成為CSO們的“核心關注”,騰訊安全數據安全商業化總監徐展以《加強數字安全免疫力,促進數字化時代韌性發展》為主題分享,指出“數字安全免疫力”,就像我們依靠運動鍛煉身體、依靠注射疫苗提前應對疾病、遇到疾病要把握底層原因對癥下藥一樣,數字安全免疫力理念推崇更積極、主動的安全觀,用“治未病”的理念替代“治已病”。
騰訊安全數據安全商業化總監徐展
第三屆數字安全大會演講精華
以下為演講實錄摘要:
我們已經從信息化時代,過渡到數字化時代,進入到當前的數智化時代。在過程中,企業對于安全建設的驅動力發生了顯著變化。
以前,我們把信息當作孤島,只有在被攻擊后,才考慮安全建設。進入數字化時代,隨著云計算、物聯網等應用的普及,企業面臨更復雜的風險,而安全建設的動力更多來自于法規監管和防御攻擊的需求。進入數智化時代,AI和大數據模型的應用使企業流程智能化,機器在企業決策中的作用越來越大。這時,我們必須構建一個新的安全范式,把安全與發展緊密結合。
騰訊安全聯合安全媒體對1500家企業進行了調研,發現存在兩個問題。第一,大部分企業在數字安全的投入上嚴重不足。第二,大部分企業對于安全建設的理念落后,對自身的安全建設評分低于60分。
騰訊在過去20多年的發展過程中,積累了豐富的AI能力、威脅情報能力和人的攻防能力。我們建議,企業應該以數據和業務為中心,構建一個包括數據安全堡壘、業務安全堡壘以及安全運營閉環的安全免疫力框架,同時在外圍設立三個免疫屏障,以產品技術為導向,通過持續的迭代和完善,構建出全方位的安全防護體系。
數據安全已成為企業發展的關鍵。面臨的挑戰包括:數據安全建設滯后于數字化進程;數據隱私和合規壓力增加;企業的暗數據增多,導致數據泄露;新的數據威脅,如API泄露,身份攻擊和勒索攻擊;以及企業對數據泄露的反應遲緩。
為應對這些挑戰,騰訊安全提出一個數據安全免疫力框架,包括四個方面:
一、數據默認安全:將數據安全和整體安全建設視為一體,從業務建設初期就考慮數據全生命周期的安全防護。
二、數據看得見:能看到并跟蹤數據在企業內部的流轉,給數據打上標簽,使其流向可追蹤。
三、數據保護、防御能力:構建能管控風險并能處置的數據安全體系。
四、數據安全智能化運營,風險閉環:通過DataSecOps數據安全運營體系,做風險閉環,做持續的檢查、核查,不斷完善風險能力。
根據不同的業務場景,采取相應的安全免疫力建設方式,包括數據防泄漏、加密、零信任、數據分類識別、脫敏等策略。同時,也要建立數據治理的框架,對數據安全進行評估和風險排查,貫穿數據安全建設的每一個流程,并保證數據安全建設的方法的有效性。
騰訊安全中心將數據安全作為關鍵度量指標進行數字化,以此驅動各部門進行數據安全建設。我們的數據運營安全體系涵蓋了數據全生命周期,包括生產、傳輸、存儲、防護和保護。
我們也制定了一套數據安全運營保障體系,通過政策和流程機制,以及巡檢機制等手段,來確保整個數據安全的目標得以實現。
在數據跨境治理方面,我們在數據出海前后均進行評估和保護。數據跨境前,我們對數據進行分類分級,以快速評估;數據跨境中,我們通過數據細密度的全監管,梳理不必要的訪問,實現敏感數據的加密和脫敏;數據跨境后,我們通過持續識別數據跨境風險,達到全流程閉環。
騰訊安全也構建了基于數據安全治理、隱私計算、機密計算平臺的風險治理框架。我們希望通過持續的流程保障,底層核心能力的建設,來不斷完善自身的數據安全能力建設,助力整個行業的數據生態安全建設。
