数字安全免疫力:“关基”企业构建安全体系的通关攻略

这篇具有很好参考价值的文章主要介绍了数字安全免疫力:“关基”企业构建安全体系的通关攻略。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

数字安全免疫力:“关基”企业构建安全体系的通关攻略

 2023年5月1日起,《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》)正式实施,这是关键信息基础设施安全保护相关的首个国家标准。相对于2021年9月1日起实施的《关键信息基础设施安全保护条例》,《关基保护要求》更加具体而详尽、方法更具实操性、安全保护标准更严格,对于“关基”企业提出了更高要求。

《关基保护要求》的正式实施是企业安全的全面升级,特别是提出了以风险管理为导向的动态防护、以信息共享为基础的协同联防等两个升级的安全保护基本原则,以及包括分析识别、监测预警、主动防御等6大方面111条安全要求,对于“关基”企业来说是全方面的要求、对于首席网络安全官则是全方位的挑战。

2023年6月13日,由IDC、《中国信息安全》杂志社、CIO 时代、新基建创新研究院、腾讯安全、腾讯研究院等多家权威机构共同发起的“数字安全免疫力研讨论坛”上,IDC与腾讯联合发布了《加强数字安全免疫力,促进数字化时代下的韧性发展》白皮书暨数字安全免疫力模型,或能为“关基”企业的安全建设提供系统化的通关攻略。

关基安全刻不容缓

根据《关键信息基础设施确定指南(试行)》,关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响行业正常运行,对经济、社会、环境等造成严重损失。关键信息基础设施包括了网站类、平台类、生产业务类等三大类,特别是生产业务类中包括规模超过1500个标准机架的数据中心等。

关键信息基础设施是两化融合和数实融合大趋势下出现的“新基建”:一方面是传统的能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键基础设施数字化转型的成果,也就是数字化的传统关键基础设施;另一方面是公共通信和信息服务、具有重大影响力的网站、电子商务和交易等数字平台、大型数据中心、云计算平台、工业控制系统等新型数字基础设施。

数字安全免疫力:“关基”企业构建安全体系的通关攻略

 近年来频发的关键信息基础设施安全问题,已经对社会生产生活产生了巨大影响,例如:美国佛罗里达州公共卫生系统遭受大规模数据泄露、超过130万人受到影响;沃达丰葡萄牙公司遭受恶意网络攻击,4G和5G网络被摧毁,固话、电视、短信、语音等服务瘫痪……

网络安全带来的损失也日益严重:勒索攻击损失从早期几百美元升级到如今百万美元级别,平均数据泄露成本飙升高达440万美元,网络犯罪预计在2023年将给全世界造成8万亿美元的损失……2023年是Wannacry六周年,腾讯安全、腾讯标准专家团队参编的《勒索软件防护发展报告》却发现,六年间勒索病毒不减反增。

在另一方面,国家对于关键信息基础设施的安全要求不断升级。《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《数据安全法》等法律法规和政策文件相继出台,而《信息安全技术 关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系中7个核心标准之一,也是首个实施的标准。

对“关基”企业来说,在日益健全的法规框架下,监管将更加严格,安全责任也更加重大,而在出现安全事件后,面临的潜在处罚将更加严厉。

关基安全面临前所未有的挑战

关键信息基础设施是关键基础设施数字化转型的产物,也是两化融合、数实融合的成果,面对日新月异的数字化转型、两化融合、数字融合等进程,以及业务数字化和产业数字化的不断进展,传统安全范式正在失效,关基安全面临着前所未有的挑战。

传统行业采用物联网设备进行数字化转型,通常无法直接升级或者更新组件,这意味着任何已知的漏洞可能会一直存在,并得不到修复,很容易成为攻击的目标。而工业物联网设备往往没有用户交互界面,多个供应商的组件共存,不仅很难对设备进行现场维护,每个供应商都可能在供应链中存在漏洞或者问题,从而放大了被攻击的概率。

其次,传统企业在数字化进程中,从专有网络转向SaaS产业互联网,导致被攻击面增大。传统“关基”企业往往是大规模的复合组织,包含众多成员单位,甚至包括了全产业链企业,因此各种数字化门类产品非常多,包含了经营管理类的所有业务系统、日常生产等信息系统。而传统经营管理和业务系统,往往都是分阶段、分时间、分批建设,每阶段、每批建设的供应商都各不相同,导致传统网络安全以专有网络相互隔离为主。

在传统“关基”企业数字化转型的过程中,一方面是内部管理和生产运营的数字化,另一方面通过数字平台开拓新的产业互联网业务,这要求传统“关基”企业要打通内外部网络,向外界开放内部业务流程,甚至还要打开企业边界、跨界引入其它行业的业务,从而打开第二增长曲线。而在这个过程中,从专有网络向互联网的大范围过渡,就不可避免。

特别是随着云原生技术和DevOps等的大范围采用,传统“关基”企业的生产网、办公网两网隔离,处理网络安全问题时断开网络、系统下线等措施,都不能适应云原生和DevOps的要求。因此,传统“关基”企业向产业互联网转型,一方面造成被攻击面加大,另一方面传统的隔离管理也无法适应敏捷迭代开发的要求。

关基安全工作复杂、多变、动态,传统安全范式失效,必须寻找新的安全范式。

数字安全免疫力:关基安全通关攻略

随着云计算、大数据、AI、物联网、区块链等技术的飞速进步,“关基”企业数字化体系的边界在不断拓展,创新活动成为常态。尽管很多“关基”企业已经开展安全建设,但面对来自数据、业务等维度的新挑战,“关基”企业的安全应对能力仍显疲态。

《加强数字安全免疫力,促进数字化时代下的韧性发展》白皮书(以下简称:白皮书)认为,企业应从传统的基于攻防和事件的被动安全模式,转变为面向未来部署和企业长远发展的安全模式,构建起全面的、基于风险与合规的安全体系,建立前瞻性的安全理念,从治已病发展为治未病,并在面临多维威胁时,可以更加及时地启动体系化的抵抗和防御机制,有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。

数字安全免疫力:“关基”企业构建安全体系的通关攻略

 (腾讯安全&IDC《数字安全免疫力白皮书》)

所谓数字安全免疫力,包括了先天性免疫力和适应性免疫力两大部分。对于企业而言,安全文化和意识构成了先天性数字免疫力,包括领导层对企业安全以及相关法规的了解和重视、员工对用户信息/网络安全的意识,以及包括企业的IT 发展状态和数字化进度和企业安全组织架构、战略和资源情况在内的安全能力整体状态。良好的先天性数字安全免疫力可以帮助企业规避诸多风险,全面稳定持续地守卫企业的健康。

适应性免疫力则通过更具针对性的主动防御,建立起更深度的保护机制。适应性数字安全免疫力是针对高度具体的攻击所形成的防线,在企业在先天免疫系统的基础上,通过对安全威胁开展针对性地分析、洞察和应对,形成面向不同威胁要素的、组合式的防御能力。

IDC认为,与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,可以一定程度上实现自主性地容错、纠错和升级,最终实现三大目标:全面提升抗风险能力,构筑企业数字化韧性;保障业务运营和创新,提升企业商业竞争力;赋能生态发展,提升企业行业领导力。

【全文总结】《关基保护要求》的正式实施是整个网络安全产业的全面升级,也是关键信息基础设施企业安全保护的战略升级。关键信息基础设施安全从此进入了一个全新的时代,即以风险管理为导向、以信息共享为基础、以关键业务为核心的数字安全免疫力体系。数字安全免疫力及其模型可作为关键信息基础设施企业的安全体系建设通关攻略,帮助首席网络安全官们更加自信地应对百年未有之大挑战,实现企业的可持续健康和高质量发展。(文/宁川)文章来源地址https://www.toymoban.com/news/detail-490581.html

到了这里,关于数字安全免疫力:“关基”企业构建安全体系的通关攻略的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 腾讯安全吴石:基于威胁情报构建免疫体系,助力企业稳步迈向智能安全新阶段

    6月13日,腾讯安全、腾讯研究院联合IDC、《中国信息安全》杂志社、CIO时代、新基建创新研究院等多家权威机构、媒体共同发起“数字安全免疫力研讨论坛”,聚合产学研各界专家学者探讨数字安全建设新范式。 论坛上,腾讯安全联合IDC发布“数字安全免疫力”模型框架,提

    2024年02月13日
    浏览(56)
  • 从架构角度看网络安全:数字化时代企业如何构建防御体系?

    导语 | 数字化时代,网络安全已经成为企业发展的重中之重,通过体系化的安全建设,企业可以从容应对愈加复杂的网络安全挑战。今天,我们特邀了腾讯云 TVP、赛博英杰科技董事长 谭晓生老师,他将从资深技术专家视角解读如何以架构思维来规划企业网络安全建设,为当

    2024年02月11日
    浏览(137)
  • 构建企业信息安全防护体系:以电子文档安全为核心

    随着信息社会的飞速发展与企业信息化建设的深入,企业的商业机密已从传统的纸质文件转向各类电子文档,如CAD图纸、Office文档等。这些数字化的信息载体在提升工作效率、便捷信息流转的同时,也成为了企业内部数据安全面临的主要挑战。如何有效地保护这些承载关键信

    2024年04月25日
    浏览(48)
  • 构建普适通用的企业网络安全体系框架

    在当今数字化时代,网络安全已成为企业保护信息资产和业务运行的重要任务。恶意攻击、数据泄露、网络病毒等威胁不断演进,给企业和个人带来了巨大风险。为了应对这一挑战,许多企业已经采取了一系列网络安全措施,如制定了网络安全政策和制度、部署了防火墙和入

    2024年02月09日
    浏览(38)
  • 数商云钢材行业智慧供应商管理系统:降低企业运营成本,构建数字化供应商管理体系

    钢材行业是国民经济的基础产业,其产业链长、规模大、涉及面广,对国家经济发展有着重要的影响。根据中国钢铁工业协会的数据显示,2020年我国钢材销售量达73996万吨,同比2019年增长12.6%。 图片来源:华经产业研究院 我国钢材行业产业链游参与主体为原材料供应商,提

    2024年02月01日
    浏览(55)
  • 验证评估守护关基安全 赛宁数字孪生靶场创新实践

    ​​近日,由赛宁网安主办,ISC互联网安全大会组委会协办的第十一届互联网安全大会(ISC 2023)安全运营实践论坛圆满结束。赛宁网安产品总监史崯出席并作出主题演讲:《基于数字孪生靶场如何开展验证评估》,同时重磅发布了赛宁安全验证评估体系。 赛宁网安产品总监

    2024年02月12日
    浏览(46)
  • 华为乾坤王辉:新一代网络安全融合体系,筑牢企业数字化转型基石丨2023 INSEC WORLD

    科技云报道原创。 随着数字化时代的到来,网络安全形势持续动荡。 围绕产业未来发展趋势、信息安全产业可持续发展、信息安全技术发展路径等话题,一场信息安全行业年度盛会——INSEC WORLD世界信息安全大会在西安盛大召开。 本届大会汇聚了近50位海内外行业优秀演讲嘉

    2024年02月05日
    浏览(52)
  • Istio是一个开源的基于 envoy proxy 的服务网格工具,它通过提供应用层面的流量管理和安全保障能力,帮助企业构建一个完整的服务网络体系

    作者:禅与计算机程序设计艺术 容器编排工具通常都提供微服务架构,其中包括服务注册与发现、负载均衡、流量控制和熔断等功能。随着云计算的普及,越来越多的人开始使用这些容器编排工具,包括Docker Swarm、Kubernetes、Mesos等。除了提供容器集群管理之外,许多容器编排

    2024年02月07日
    浏览(52)
  • 服装制作企业如何构建智能供应链体系

    “大规模定制”满足柔性化出产需要是智能制作极端显着的特征,决定用户出产什么、出产多少。 客户高度的个性化需求,产品立异周期的继续缩短,服装出产节拍不断加速。 这些是服装企业有必要迎接的课题。 因而,服装出产制作企业的高度柔性出产依据市场和顾客个性

    2023年04月08日
    浏览(71)
  • 数字化时代,企业的数据指标体系

    在社会节奏越来越快,处理的信息量越来越大的今天,传统的经营管理模式已经适应不了当下的环境。而由经验、情感组成的业务调整以及决策能力不再能正确指导企业走在正确的方向上,所以数据就成为了企业新的业务优化调整和支撑企业高层管理进行决策的重要工具。

    2024年02月13日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包