IDC武连峰:应用数字安全免疫力理念,促进企业在数字时代韧性发展

news2024/12/27 3:42:10

作者:IDC中国副总裁、首席分析师 武连峰

数字安全免疫力是一个企业针对各种数字安全威胁时的防御机制,与人体免疫力相似,企业数字安全免疫力包含两类:企业安全文化意识与合规是先天性数字安全免疫力,今天任何一个企业在建数字化系统的时候,毫无疑问会建设一些基本的安全能力,任何硬件、软件、操作系统、数据库本身会嵌入安全模块,这些也可以属于先天性数字安全免疫力;包括边界安全、端点安全、应用安全、安全运营和管理、数据安全治理以及业务风险控制在内的六大模块是后天适应性数字安全免疫力。在风险、合规、事件和发展等因素驱动下,企业从资产“心脏”出发,构筑多层“免疫屏障”,可实现韧性增长。

本篇文章将首先阐述数字安全免疫力的内涵并简要说明模型的构成,其次分析数字安全免疫力的价值所在,最后将谈及企业如何筑牢数字安全免疫力促进韧性发展。

数字化业务时代来临,企业安全建设面临多重挑战

企业在数字化升级过程中面临诸多挑战,这些挑战既来自外部环境的变化,也涉及到内部变革的复杂性。

外部环境来看,我们正处在一个重要的临界点,2022年,无论全球还是中国,GDP总量的50%以上(中国约超60万亿元人民币)是基于数字化或受数字化影响的,中国2022-2026年数字化转型总支出将达到2.38万亿美元。这意味着,企业数字化发展正在从数字化转型时代进入到数字化业务时代,过去企业的核心是业务的数字化,现在的核心是数据的业务化,数据以及与其相关的网络安全问题变得更加重要。

数字化业务时代的来临,数据变得越来越重要,遭受网络攻击的可能性也越来越大,安全事件层出不穷。例如,今年2月份中国有45亿条快递数据被泄露,3月份一家台湾IT厂商被黑客盗取160GB数据。IDC数据显示,早期企业遭勒索金额平均在100~200美元之间,而到2021年,此类攻击导致的经济损失已达到百万美元级别。

图1 全球重大数据泄露事件概览,2018-2022

(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)

 与此同时,监管力度逐渐升级。从我国来看,过去几年出台了大量与网络安全、保密、个人隐私安全相关的法律。从全球来看,欧盟在2018年出台了了GDPR《通用数据保护条例》,美国也相继推出了HIPPA、萨班斯、芯片法案等一系列法律文件,对与信息安全有关的诸多领域进行了严格的法律约束。

从企业内部层面来看,企业安全建设也面临着三方面挑战:

在战略、组织与人才层面,企业缺少对安全、合规价值的战略认知,因此对安全投入的评估不够充分,对安全体系、团队的建设也没有足够的预期。在安全人才储备上,企业普遍缺乏适应新发展的专业化人才,甚至难以组织起体系化的安全人才团队。

在数字技术层面,云环境下的企业IT架构有很多新的变化,AIGC等创新技术的应用也让企业整体的数字化始终处于优化升级的过程中,需要建立和提升许多新的能力。在生产上,企业智能化生产环境在大量增加,生产设备基于物联网的连接,自动生成数据的规模和重要程度连续攀升。不少企业过往多年投入建设的老旧安全系统,也越来越难以实施安全加固策略,加固和修复工作往往会无从下手。

在经营管理流程与安全能力衔接方面,新技术、新产品所构建的平台化创新体系使传统的安全流程越来越缺乏适配性,大量企业未能应用数字化、自动化手段监测安全动态、洞察威胁隐患、实施风险管理以及快速应对事件的发生,更难以根据事件反馈不断优化和调整安全策略。

IDC数据显示,2022年,中国IT网络安全整体市场在133亿美金左右,到2026年预计增长至288亿美金,每年平均增长近20%,增速位列全球第一。但从绝对值来看,中国企业的安全投入和美国与全球相比差距较大,中国各行业平均IT安全支出仅占ICT整体支出1.7%,而美国占比则平均为4.6%,全球为3.4%。所以,中国企业还需要持续投资安全。

基于企业数字安全免疫力模型,升级企业安全体系

为了更好地构建安全能力,IDC与腾讯安全共同构建数字安全免疫力模型。数字安全免疫力是企业面对各种数字安全威胁时的防御机制,包括先天性免疫力和适应性免疫力。安全文化和意识是企业的先天性免疫力,如果企业的管理层、企业员工如果没有安全意识,企业花了再多的钱,购置了一堆硬件和软件,但其实还是不安全的,所以整个安全意识非常关键。面向高度具体的攻击所形成的防线是企业的适应性免疫力,包含6大模块:边界安全、端点安全、应用开发安全、安全运营与管理、数据安全治理、业务风险控制。其中,安全运营与管理是核心中枢,将上下三层连接起来;边界安全、端点安全和应用开发安全是三个屏障;数据安全治理和业务风险控制是两个堡垒。

(来源:IDC《加强企业数字安全免疫力,助力数字时代下的韧性发展白皮书》,2023)

与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,可以一定程度上实现自主性地容错、纠错和升级,最终达成安全与发展协同的目标:

首先,基于数字安全免疫力理念,全面提升企业抵御安全风险能力,构筑企业数字化韧性:当遇到突发事件如新冠疫情时,企业的快速应对能力和快速恢复能力,同时在风险过去之后企业找到新机会的能力,是我们所强调的企业数字化韧性。反过来,当安全事件大量出现时,如何打造安全韧性也会变得极为关键。

其次,通过安全建设保障业务运营和创新,提升企业商业竞争力:如果企业在构筑数字安全免疫力时能够做到适度精准,就能够保障业务运营的同时持续创新,增加企业商业竞争力。当企业因出现安全问题而造成损失时,创新能力和韧性都会受到非常大的影响,因此底层安全是支撑企业未来可持续创新的动力。

第三,聚焦供应链安全建设和安全生态发展:企业在数字业务时代进行创新的过程中会遇到更多的困难,所以如何利用生态进行创新,就会变成企业的刚需。如果企业没有安全保障,就很难在生态领域上形成更大的影响力。因此如何更好地通过数字安全免疫力来赋能生态,提升企业的行业领导力变得很重要。

积极实践,构筑企业数字安全免疫力

不足的安全意识,日新月异的技术发展,以及匮乏的安全运营能力,导致企业安全建设呈现出不充分、不完善、难推进等特征。企业在发展自身安全体系、强化安全保障活动时,可以基于数字安全免疫力框架,统筹合规驱动、事件驱动、攻防驱动、发展驱动四大安全底层驱动要素,将多重安全要素实现有机组合,形成面向当前和未来的、动态联系的、可持续迭代的安全体系模型框架:

在文化与意识层面,建立上下一致的认知,形成统一有序的行动;在边界安全层面,夯实安全基础防线,守护不断扩展的边界;在端点安全层面,填补端点安全间隙,构筑多形态环境安全;在应用开发安全层面,降低修复成本,推进安全左移;在安全运营与管理层面,打造统一、可视、主动、协同的安全运营;在数据安全治理层面,打造企业数据生态,加速合规数据价值释放;在业务风险治理层面,健全风险管理体系,兼顾风险与效率平衡。

此外,企业应定期“体检”,掌握自身健康状态,提早发现并控制“疾病”;应接种相应“疫苗”,补充风险抵御能力;更重要的是,企业应保持积极活跃“生活方式”,打造自上而下、自内而外的全面数字安全建设体系,为促进企业整体发展带来切实价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/671462.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue使用swiper三行轮播问题

1、轮播图设置属性slidesPerColumn:3实现不了,解决方案如下: this.scheduleData是后台请求的数据,通过3个一组分组转换为this.scheduleListThreede 的数据! 2、逻辑处理如下: computed: { scheduleListThree: functi…

做测试不会 SQL?超详细的 SQL 查询语法教程来啦!

前言 作为一名测试工程师,工作中在对测试结果进行数据比对的时候,或多或少要和数据库打交道的,要和数据库打交道,那么一些常用的sql查询语法必须要掌握。最近有部分做测试小伙伴表示sql查询不太会,问我有没有sql查询语…

list赋值方法add()...和set()简介

目录 一、方法展示 二、add() 方法介绍 2.1.add(E element) 2.1.1源码 2.1.2.实例截图 2.1.3.Null引起的题外话 2.2.add(int index, E element) 2.2.1.源码 2.2.2.示例截图 2.2.3. add()引起IndexOutOfBoundsException简介 三、addAll()方法…

CSS查缺补漏之《媒体查询@media与BFC》

示例代码如下&#xff1a; <div class"box">世界你好</div> .box {width: 200px;height: 200px;background-color: yellow;color: white;font-size: 24px;text-align: center;line-height: 200px; } 媒体类型 媒体类型允许指定文件将如何在不同媒体上…

OpenCV——《图像平滑》结果输出对比《形态学操作》

1.图像平滑 图像平滑是一项简单且使用频率很高的图像处理方法&#xff0c;可以用来压制、弱化或消除图像中的细节、突变、边缘和噪声&#xff0c;最常见的是用来减少图像上的噪声。 常用的滤波器主要为&#xff1a; 均值滤波器&#xff1a;并不能完全消除噪声&#xff0c;只能…

【服务器】搭建hMailServer 服务实现远程发送邮件

typora-copy-images-to: upload hMailServer 是一个邮件服务器,通过它我们可以搭建自己的邮件服务,通过cpolar内网映射工具即可实现远程发送邮件,不需要使用公网服务器,不需要域名,而且邮件账号名称可以自定义. 下面以windows 10系统为环境,介绍使用方法: 1. 安装hMailServe…

小鹏G9高压平台800V电驱动实拍

近日&#xff0c;小鹏汽车董事长何小鹏在其个人社交账号上透露&#xff0c;小鹏G9正按原定计划按部就班推进节奏&#xff0c;将于8月启动预订&#xff0c;9月正式迎来上市&#xff0c;上市后很快就会启动用户交付。 图片来源&#xff1a;何小鹏官方微博 需要样件请联&#xff1…

Oracle DMP文件导入

dmp文件可以在Navicat中的 把dmp放入其中。然后用数据泵导入。遗憾的是报错 [ERR] ORA-39001: invalid argument value [ERR] ORA-39000: bad dump file specification [ERR] ORA-39143: dump file "/xxx.DMP" may be an original export dump file 改为imp工具&…

干货分享 | TSMaster标定模块自动化控制应用指南

本文目录&#xff1a; 一、TSMaster标定模块自动化控制的基础原理 1.1 TSMaster的标定系统变量 1.2 内部TSMaster调用C脚本实现标定模块的自动化控制 1.3 外部调用COM组件实现自动化标定 二、标定自动化控制场景与TSMaster实例 2.1 C脚本实现控制标定模块的启动与关闭的设…

Goby 漏洞发布|网神SecGate 3600防火墙 sys_export_conf_local_save 文件读取漏洞

漏洞名称&#xff1a;网神SecGate 3600防火墙 sys_export_conf_local_save 文件读取漏洞 English Name&#xff1a;Weaver OA PluginViewServlet Authentication Bypass Vulnerability CVSS core: 8.0 影响资产数&#xff1a;738 漏洞描述&#xff1a; 网神SecGate 3600防…

同一 tomcat 不同项目 session 共享实现

说明 这里仅讨论 同一个tomcat&#xff0c;部署了两个工程&#xff08;两个war包&#xff09;。不涉及不同tomcat,不涉及集群 背景 tomcat中的工程A包含用户登录、退出、权限控制等功能&#xff1b;工程B包含业务功能接口。工程A将用户登录信息加密响应给前端&#xff0c;前…

基于Java校园快递代取系统设计实现(源码+lw+部署文档+讲解等)

博主介绍&#xff1a; ✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精…

NLP(五十五)LangChain入门

LangChain简介 背景 由于ChatGPT的发行&#xff0c;大模型&#xff08;Large Language Model, LLM&#xff09;已经变得非常流行了。也许你可能没有足够的资金和计算资源从头开始训练大模型&#xff0c;但你仍然可以使用大模型来做一些比较酷的事情&#xff0c;比如&#xff1…

大数据开发薪资怎么样

想必想入行的小伙伴在正式开始学习之前&#xff0c;都会考虑薪资这个可观因素。有不少小伙伴是看中了大数据的薪资选择加入这个行业的&#xff0c;想知道以后能找什么工作以及工作薪水&#xff0c;那不妨让我们以数据的方式来展示一下~ 猎聘大数据研究院发布了《2022未来人才就…

制造执行系统(MES)的核心功能是什么?

制造执行系统&#xff08;MES&#xff09;的核心功能是什么? 01 什么是MES 制造执行系统&#xff08;MES&#xff09;是一种用于监控、控制和优化制造过程的软件系统。它通过与企业资源计划&#xff08;ERP&#xff09;系统和自动化系统的集成&#xff0c;实现对生产过程的管…

小红书品牌营销策略分析!品牌方必看

小红书在品牌营销方面的策略非常成功&#xff0c;特别是在口碑营销、内容营销和小红书素人达人种草营销方面的运用。以下是伯乐网络传媒对这些策略的详细分析&#xff0c;想要做小红书营销推广的商家必看&#xff01; 一、口碑营销 对于小红书APP来说,口碑营销的传播主体就是小…

Android build.gradle文件

一、ABI&#xff08;Application Binary Interface&#xff09;应用程序二进制接口 其实ABI可以不设置&#xff0c;这样编译时&#xff0c;就会将项目里所有依赖资源包里的so库都打到最终的apk里。 但是&#xff0c;ABI支持多的话&#xff0c;apk也会大&#xff0c;所以一般只支…

MySQL数据库——存储引擎

MySQL数据库——存储引擎 一、MySQL存储引擎1.存储引擎的概念2.常用存储引擎3.存储引擎的分类4.企业选择存储引擎依据 二、MyISAM 存储引擎1 MyISAM的相关了解2 MyISAM的特点3 MyISAM表支持3种不同的存储格式4.MyISAM适用的生产场景 三、InnoDB 存储引擎1 InnoDB的相关了解2 In…

探索NDK和逆向工程在Android开发中的力量

NDK是什么&#xff1f; NDK&#xff08;Native Development Kit&#xff09;是一组工具集&#xff0c;用于在Android平台上开发和构建使用C或其他本地语言编写的应用程序。NDK提供了一些库和工具&#xff0c;使开发人员能够在应用中使用本地代码&#xff0c;并实现与Java代码的…

ant+svn项目打包部署错误记录

安装ant可以参考下这个 http://t.csdn.cn/kx1ZX 第一个错误&#xff0c;原因是缺少ant-contrib.jar导致&#xff0c;将对应jar包放入ant的lib下即可 [taskdef] Could not load definitions from resource net/sf/antcontrib/antcontrib.properties. It could not be found. B…