2023年6月17日�,第三屆數(shù)字安全大會(huì)在北京隆重召開,本屆大會(huì)由數(shù)世咨詢����、CIO時(shí)代聯(lián)合主辦,新基建創(chuàng)新研究院作為智庫支持�����。本次大會(huì)吸引了來自全國各地500多位行業(yè)CIO和網(wǎng)絡(luò)安全負(fù)責(zé)人、白帽子及主流安全廠商到場���,同時(shí)當(dāng)天有近萬人通過線上觀看此次直播盛會(huì)�。
數(shù)字時(shí)代“安全”成為CSO們的“核心關(guān)注”����,騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展以《加強(qiáng)數(shù)字安全免疫力,促進(jìn)數(shù)字化時(shí)代韌性發(fā)展》為主題分享�,指出“數(shù)字安全免疫力”,就像我們依靠運(yùn)動(dòng)鍛煉身體����、依靠注射疫苗提前應(yīng)對疾病、遇到疾病要把握底層原因?qū)ΠY下藥一樣���,數(shù)字安全免疫力理念推崇更積極���、主動(dòng)的安全觀,用“治未病”的理念替代“治已病”�。
騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展
第三屆數(shù)字安全大會(huì)演講精華
以下為演講實(shí)錄摘要:
我們已經(jīng)從信息化時(shí)代,過渡到數(shù)字化時(shí)代��,進(jìn)入到當(dāng)前的數(shù)智化時(shí)代�。在過程中�����,企業(yè)對于安全建設(shè)的驅(qū)動(dòng)力發(fā)生了顯著變化���。
以前,我們把信息當(dāng)作孤島�,只有在被攻擊后�����,才考慮安全建設(shè)����。進(jìn)入數(shù)字化時(shí)代,隨著云計(jì)算��、物聯(lián)網(wǎng)等應(yīng)用的普及�����,企業(yè)面臨更復(fù)雜的風(fēng)險(xiǎn)���,而安全建設(shè)的動(dòng)力更多來自于法規(guī)監(jiān)管和防御攻擊的需求�����。進(jìn)入數(shù)智化時(shí)代��,AI和大數(shù)據(jù)模型的應(yīng)用使企業(yè)流程智能化���,機(jī)器在企業(yè)決策中的作用越來越大�����。這時(shí)���,我們必須構(gòu)建一個(gè)新的安全范式,把安全與發(fā)展緊密結(jié)合���。
騰訊安全聯(lián)合安全媒體對1500家企業(yè)進(jìn)行了調(diào)研�,發(fā)現(xiàn)存在兩個(gè)問題��。第一����,大部分企業(yè)在數(shù)字安全的投入上嚴(yán)重不足。第二�����,大部分企業(yè)對于安全建設(shè)的理念落后,對自身的安全建設(shè)評分低于60分���。
騰訊在過去20多年的發(fā)展過程中�,積累了豐富的AI能力���、威脅情報(bào)能力和人的攻防能力�����。我們建議,企業(yè)應(yīng)該以數(shù)據(jù)和業(yè)務(wù)為中心�,構(gòu)建一個(gè)包括數(shù)據(jù)安全堡壘、業(yè)務(wù)安全堡壘以及安全運(yùn)營閉環(huán)的安全免疫力框架����,同時(shí)在外圍設(shè)立三個(gè)免疫屏障,以產(chǎn)品技術(shù)為導(dǎo)向�,通過持續(xù)的迭代和完善,構(gòu)建出全方位的安全防護(hù)體系�����。
數(shù)據(jù)安全已成為企業(yè)發(fā)展的關(guān)鍵。面臨的挑戰(zhàn)包括:數(shù)據(jù)安全建設(shè)滯后于數(shù)字化進(jìn)程�����;數(shù)據(jù)隱私和合規(guī)壓力增加��;企業(yè)的暗數(shù)據(jù)增多���,導(dǎo)致數(shù)據(jù)泄露�����;新的數(shù)據(jù)威脅���,如API泄露,身份攻擊和勒索攻擊����;以及企業(yè)對數(shù)據(jù)泄露的反應(yīng)遲緩。
為應(yīng)對這些挑戰(zhàn)��,騰訊安全提出一個(gè)數(shù)據(jù)安全免疫力框架�����,包括四個(gè)方面:
一、數(shù)據(jù)默認(rèn)安全:將數(shù)據(jù)安全和整體安全建設(shè)視為一體�����,從業(yè)務(wù)建設(shè)初期就考慮數(shù)據(jù)全生命周期的安全防護(hù)��。
二���、數(shù)據(jù)看得見:能看到并跟蹤數(shù)據(jù)在企業(yè)內(nèi)部的流轉(zhuǎn)�,給數(shù)據(jù)打上標(biāo)簽��,使其流向可追蹤�����。
三���、數(shù)據(jù)保護(hù)、防御能力:構(gòu)建能管控風(fēng)險(xiǎn)并能處置的數(shù)據(jù)安全體系�。
四、數(shù)據(jù)安全智能化運(yùn)營���,風(fēng)險(xiǎn)閉環(huán):通過DataSecOps數(shù)據(jù)安全運(yùn)營體系�����,做風(fēng)險(xiǎn)閉環(huán)�����,做持續(xù)的檢查�����、核查����,不斷完善風(fēng)險(xiǎn)能力。
根據(jù)不同的業(yè)務(wù)場景��,采取相應(yīng)的安全免疫力建設(shè)方式��,包括數(shù)據(jù)防泄漏����、加密、零信任��、數(shù)據(jù)分類識(shí)別�、脫敏等策略��。同時(shí)�����,也要建立數(shù)據(jù)治理的框架�,對數(shù)據(jù)安全進(jìn)行評估和風(fēng)險(xiǎn)排查����,貫穿數(shù)據(jù)安全建設(shè)的每一個(gè)流程,并保證數(shù)據(jù)安全建設(shè)的方法的有效性�����。
騰訊安全中心將數(shù)據(jù)安全作為關(guān)鍵度量指標(biāo)進(jìn)行數(shù)字化���,以此驅(qū)動(dòng)各部門進(jìn)行數(shù)據(jù)安全建設(shè)���。我們的數(shù)據(jù)運(yùn)營安全體系涵蓋了數(shù)據(jù)全生命周期�,包括生產(chǎn)、傳輸����、存儲(chǔ)�、防護(hù)和保護(hù)�。
我們也制定了一套數(shù)據(jù)安全運(yùn)營保障體系,通過政策和流程機(jī)制����,以及巡檢機(jī)制等手段,來確保整個(gè)數(shù)據(jù)安全的目標(biāo)得以實(shí)現(xiàn)����。
在數(shù)據(jù)跨境治理方面,我們在數(shù)據(jù)出海前后均進(jìn)行評估和保護(hù)���。數(shù)據(jù)跨境前�����,我們對數(shù)據(jù)進(jìn)行分類分級(jí)�����,以快速評估�����;數(shù)據(jù)跨境中��,我們通過數(shù)據(jù)細(xì)密度的全監(jiān)管�,梳理不必要的訪問,實(shí)現(xiàn)敏感數(shù)據(jù)的加密和脫敏�����;數(shù)據(jù)跨境后�,我們通過持續(xù)識(shí)別數(shù)據(jù)跨境風(fēng)險(xiǎn),達(dá)到全流程閉環(huán)��。
騰訊安全也構(gòu)建了基于數(shù)據(jù)安全治理����、隱私計(jì)算、機(jī)密計(jì)算平臺(tái)的風(fēng)險(xiǎn)治理框架���。我們希望通過持續(xù)的流程保障����,底層核心能力的建設(shè)���,來不斷完善自身的數(shù)據(jù)安全能力建設(shè),助力整個(gè)行業(yè)的數(shù)據(jù)生態(tài)安全建設(shè)。
