omniture

腾讯安全徐展:加强数字安全免疫力,促进数字化时代韧性发展

2023-06-25 10:59

2023年6月17日,第三届数字安全大会在北京隆重召开,本届大会由数世咨询、CIO时代联合主办,新基建创新研究院作为智库支持。本次大会吸引了来自全国各地500多位行业CIO和网络安全负责人、白帽子及主流安全厂商到场,同时当天有近万人通过线上观看此次直播盛会。
数字时代“安全”成为CSO们的“核心关注”,腾讯安全数据安全商业化总监徐展以《加强数字安全免疫力,促进数字化时代韧性发展》为主题分享,指出“数字安全免疫力”,就像我们依靠运动锻炼身体、依靠注射疫苗提前应对疾病、遇到疾病要把握底层原因对症下药一样,数字安全免疫力理念推崇更积极、主动的安全观,用“治未病”的理念替代“治已病”。


腾讯安全数据安全商业化总监徐展
第三届数字安全大会演讲精华
以下为演讲实录摘要:
我们已经从信息化时代,过渡到数字化时代,进入到当前的数智化时代。在过程中,企业对于安全建设的驱动力发生了显著变化。


以前,我们把信息当作孤岛,只有在被攻击后,才考虑安全建设。进入数字化时代,随着云计算、物联网等应用的普及,企业面临更复杂的风险,而安全建设的动力更多来自于法规监管和防御攻击的需求。进入数智化时代,AI和大数据模型的应用使企业流程智能化,机器在企业决策中的作用越来越大。这时,我们必须构建一个新的安全范式,把安全与发展紧密结合。


腾讯安全联合安全媒体对1500家企业进行了调研,发现存在两个问题。第一,大部分企业在数字安全的投入上严重不足。第二,大部分企业对于安全建设的理念落后,对自身的安全建设评分低于60分。
腾讯在过去20多年的发展过程中,积累了丰富的AI能力、威胁情报能力和人的攻防能力。我们建议,企业应该以数据和业务为中心,构建一个包括数据安全堡垒、业务安全堡垒以及安全运营闭环的安全免疫力框架,同时在外围设立三个免疫屏障,以产品技术为导向,通过持续的迭代和完善,构建出全方位的安全防护体系。
数据安全已成为企业发展的关键。面临的挑战包括:数据安全建设滞后于数字化进程;数据隐私和合规压力增加;企业的暗数据增多,导致数据泄露;新的数据威胁,如API泄露,身份攻击和勒索攻击;以及企业对数据泄露的反应迟缓。


为应对这些挑战,腾讯安全提出一个数据安全免疫力框架,包括四个方面:
一、数据默认安全:将数据安全和整体安全建设视为一体,从业务建设初期就考虑数据全生命周期的安全防护。
二、数据看得见:能看到并跟踪数据在企业内部的流转,给数据打上标签,使其流向可追踪。
三、数据保护、防御能力:构建能管控风险并能处置的数据安全体系。
四、数据安全智能化运营,风险闭环:通过DataSecOps数据安全运营体系,做风险闭环,做持续的检查、核查,不断完善风险能力。
根据不同的业务场景,采取相应的安全免疫力建设方式,包括数据防泄漏、加密、零信任、数据分类识别、脱敏等策略。同时,也要建立数据治理的框架,对数据安全进行评估和风险排查,贯穿数据安全建设的每一个流程,并保证数据安全建设的方法的有效性。
腾讯安全中心将数据安全作为关键度量指标进行数字化,以此驱动各部门进行数据安全建设。我们的数据运营安全体系涵盖了数据全生命周期,包括生产、传输、存储、防护和保护。
我们也制定了一套数据安全运营保障体系,通过政策和流程机制,以及巡检机制等手段,来确保整个数据安全的目标得以实现。


在数据跨境治理方面,我们在数据出海前后均进行评估和保护。数据跨境前,我们对数据进行分类分级,以快速评估;数据跨境中,我们通过数据细密度的全监管,梳理不必要的访问,实现敏感数据的加密和脱敏;数据跨境后,我们通过持续识别数据跨境风险,达到全流程闭环。
腾讯安全也构建了基于数据安全治理、隐私计算、机密计算平台的风险治理框架。我们希望通过持续的流程保障,底层核心能力的建设,来不断完善自身的数据安全能力建设,助力整个行业的数据生态安全建设。

消息来源:CIO时代网