omniture

騰訊安全徐展:加強數(shù)字安全免疫力,促進數(shù)字化時代韌性發(fā)展

2023-06-25 10:59

2023年6月17日,第三屆數(shù)字安全大會在北京隆重召開,本屆大會由數(shù)世咨詢、CIO時代聯(lián)合主辦,新基建創(chuàng)新研究院作為智庫支持。本次大會吸引了來自全國各地500多位行業(yè)CIO和網(wǎng)絡安全負責人、白帽子及主流安全廠商到場,同時當天有近萬人通過線上觀看此次直播盛會。
數(shù)字時代“安全”成為CSO們的“核心關注”,騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展以《加強數(shù)字安全免疫力,促進數(shù)字化時代韌性發(fā)展》為主題分享,指出“數(shù)字安全免疫力”,就像我們依靠運動鍛煉身體、依靠注射疫苗提前應對疾病、遇到疾病要把握底層原因對癥下藥一樣,數(shù)字安全免疫力理念推崇更積極、主動的安全觀,用“治未病”的理念替代“治已病”。


騰訊安全數(shù)據(jù)安全商業(yè)化總監(jiān)徐展
第三屆數(shù)字安全大會演講精華
以下為演講實錄摘要:
我們已經(jīng)從信息化時代,過渡到數(shù)字化時代,進入到當前的數(shù)智化時代。在過程中,企業(yè)對于安全建設的驅動力發(fā)生了顯著變化。


以前,我們把信息當作孤島,只有在被攻擊后,才考慮安全建設。進入數(shù)字化時代,隨著云計算、物聯(lián)網(wǎng)等應用的普及,企業(yè)面臨更復雜的風險,而安全建設的動力更多來自于法規(guī)監(jiān)管和防御攻擊的需求。進入數(shù)智化時代,AI和大數(shù)據(jù)模型的應用使企業(yè)流程智能化,機器在企業(yè)決策中的作用越來越大。這時,我們必須構建一個新的安全范式,把安全與發(fā)展緊密結合。


騰訊安全聯(lián)合安全媒體對1500家企業(yè)進行了調(diào)研,發(fā)現(xiàn)存在兩個問題。第一,大部分企業(yè)在數(shù)字安全的投入上嚴重不足。第二,大部分企業(yè)對于安全建設的理念落后,對自身的安全建設評分低于60分。
騰訊在過去20多年的發(fā)展過程中,積累了豐富的AI能力、威脅情報能力和人的攻防能力。我們建議,企業(yè)應該以數(shù)據(jù)和業(yè)務為中心,構建一個包括數(shù)據(jù)安全堡壘、業(yè)務安全堡壘以及安全運營閉環(huán)的安全免疫力框架,同時在外圍設立三個免疫屏障,以產(chǎn)品技術為導向,通過持續(xù)的迭代和完善,構建出全方位的安全防護體系。
數(shù)據(jù)安全已成為企業(yè)發(fā)展的關鍵。面臨的挑戰(zhàn)包括:數(shù)據(jù)安全建設滯后于數(shù)字化進程;數(shù)據(jù)隱私和合規(guī)壓力增加;企業(yè)的暗數(shù)據(jù)增多,導致數(shù)據(jù)泄露;新的數(shù)據(jù)威脅,如API泄露,身份攻擊和勒索攻擊;以及企業(yè)對數(shù)據(jù)泄露的反應遲緩。


為應對這些挑戰(zhàn),騰訊安全提出一個數(shù)據(jù)安全免疫力框架,包括四個方面:
一、數(shù)據(jù)默認安全:將數(shù)據(jù)安全和整體安全建設視為一體,從業(yè)務建設初期就考慮數(shù)據(jù)全生命周期的安全防護。
二、數(shù)據(jù)看得見:能看到并跟蹤數(shù)據(jù)在企業(yè)內(nèi)部的流轉,給數(shù)據(jù)打上標簽,使其流向可追蹤。
三、數(shù)據(jù)保護、防御能力:構建能管控風險并能處置的數(shù)據(jù)安全體系。
四、數(shù)據(jù)安全智能化運營,風險閉環(huán):通過DataSecOps數(shù)據(jù)安全運營體系,做風險閉環(huán),做持續(xù)的檢查、核查,不斷完善風險能力。
根據(jù)不同的業(yè)務場景,采取相應的安全免疫力建設方式,包括數(shù)據(jù)防泄漏、加密、零信任、數(shù)據(jù)分類識別、脫敏等策略。同時,也要建立數(shù)據(jù)治理的框架,對數(shù)據(jù)安全進行評估和風險排查,貫穿數(shù)據(jù)安全建設的每一個流程,并保證數(shù)據(jù)安全建設的方法的有效性。
騰訊安全中心將數(shù)據(jù)安全作為關鍵度量指標進行數(shù)字化,以此驅動各部門進行數(shù)據(jù)安全建設。我們的數(shù)據(jù)運營安全體系涵蓋了數(shù)據(jù)全生命周期,包括生產(chǎn)、傳輸、存儲、防護和保護。
我們也制定了一套數(shù)據(jù)安全運營保障體系,通過政策和流程機制,以及巡檢機制等手段,來確保整個數(shù)據(jù)安全的目標得以實現(xiàn)。


在數(shù)據(jù)跨境治理方面,我們在數(shù)據(jù)出海前后均進行評估和保護。數(shù)據(jù)跨境前,我們對數(shù)據(jù)進行分類分級,以快速評估;數(shù)據(jù)跨境中,我們通過數(shù)據(jù)細密度的全監(jiān)管,梳理不必要的訪問,實現(xiàn)敏感數(shù)據(jù)的加密和脫敏;數(shù)據(jù)跨境后,我們通過持續(xù)識別數(shù)據(jù)跨境風險,達到全流程閉環(huán)。
騰訊安全也構建了基于數(shù)據(jù)安全治理、隱私計算、機密計算平臺的風險治理框架。我們希望通過持續(xù)的流程保障,底層核心能力的建設,來不斷完善自身的數(shù)據(jù)安全能力建設,助力整個行業(yè)的數(shù)據(jù)生態(tài)安全建設。

消息來源:CIO時代網(wǎng)