列举网首页
党的二报告提到,要加快建设网络强国,推动形成良好网络生态。数字化时代,数字技术作为世界科技革命和产业变革的先导力量,日益融入经济社会发展各领域全过程,迫切需要统筹业务发展,构建数字化安全能力。
作为国内网络安全企业,天融信面向数字基础设施、产业数字化、数字产业化、数字化融合的业务安全保障需求,倡导数字化安全理念,以“数字融合、安全共生”为目标,创新提出“业务生态安全、管理一体安全、能力聚合安全、运营闭环安全、创新融合安全”的数字化融生安全框架(点击查看原文),助力客户规划建设数字化安全体系,有力保障客户数字化融合转型的安全有序和高质量发展。《数字化融生安全框架》系列文章第二期,聚焦为数字化安全建设确立战略目标的数字化业务生态安全,探讨构建匹配数字化的业务生态安全能力,为加速适应数字化的业务生态安全建言献策。
数字化融合转型过程中,随着IT改革、互联网+、数字化转型不断深化,IT数字化、智能化转型加速推进,IT技术及业务模式发生了较大变化,使得各单位网络架构趋于复杂,尤其是IT基础架构云化、容器化、业务支撑能力中台化以及云计算、大数据、AI等新技术密集应用,使得传统安全管理和防护出现木桶效应,从网络接入、内容生产、网络传播、社会动员等方面和环节,给意识形态安全带来数字化的风险和挑战。在攻击手段方面,利用漏洞实施的数字化链式攻击也更加频繁。数字时代的安全问题已从网络空间向物理世界延伸,严重阻碍数字化业务创新发展。
“发展”呼唤数字化业务生态安全
国家“十四五”规划提出,要推进产业数字化和数字产业化,营造开放、健康、安全的数字生态。据《IDC FutureScape:2023年中国数字化业务预测》,2023年将成为企业数字化转型的拐点,即企业从数字化转型时代进入到数字化业务时代,如何在数字化业务时代构建未来业务新生态和价值链,实现业务生态系统可持续发展是所有组织的诉求。这就必须充分考虑业务的数字化创新融合、泛在化安全风险、生态化体系安全要求,构建匹配数字化的业务生态安全能力,筑牢数字安全屏障,护航数字经济发展。
数字化创新融合
数字化发展加速驱动网络空间与物理世界一体化融合。从网络安全发展的脉络看,安全伴随信息化、网络化、数字化发展正在同步快速演进,网络安全技术与数字技术的迭代创新与融合应用,驱动安全概念数字化升级,将安全作用域拓展延伸至数字业务、应用场景等数字化融合领域。
泛在化安全风险
新技术、新应用正在促进人类以前所未有的自由度来构建、汇集、整合和连接存在于任何地方的各类资源,形成数字泛化的智慧世界,泛在终端、泛在连接、泛在云网、泛在应用、泛在服务等组成的泛在信息资产带来了数字安全风险的泛在化,必须得到有效的安全保护。
生态化体系安全
结合国家总体安全观,数字化安全是不同领域风险交织融合的结果,是传统威胁和非传统威胁的辩证统一,安全问题从初单一的技术问题演进成为具有高度整体性与系统性的问题,体系化管理泛在化的数字安全风险,已经成为企业和消费者优先的需求之一。发展数字化业务生态安全,成为落实国家创新产业安全竞争力的重要载体和保障数字化发展安全的新引擎。
“生态”需要数字化安全治理推进
数字化安全治理是推进数字化业务生态安全的重要理念,是建设数字化安全体系的战略要求和首要考虑。其推进要依托数字化的协同、监督、策略、评估等安全工具和能力,建立安全合规基线并持续完善。首先,要以数字化手段替代人工协同方式,提升组织协调有效性;其次,要以数字化评估工具辅助人工评估过程,提高合规管理效率;再次,要应用数字化安全治理规划工具,促进安全策略的贯通和落实;后,要使用数字化监督指标体系替代人工、粗线条的监督与评价,优化监督和评价方法。
“治理”提升数字化安全体系能力
数字化安全的本质是通过采取必要措施,防范网络物理融合空间的攻击入侵、干扰破坏和非法使用等风险,增加数字化业务预防、抵御、恢复、适应的安全弹性。数字化业务生态安全建设要从保障业务发展、安全合规遵从、安全风险防控多角度出发,建立“业务驱动+风险管控+合规遵从”的数字化安全治理能力。
业务驱动
业务驱动是从组织的业务战略和数字化变革出发,有利于充分利用组织的现有资源来满足关键需求,从而避免建立的安全系统无法有效支持组织的业务决策。业务驱动的数字化业务生态安全,是以泛在的数字化资产保护需求和合规要求为输入,结合安全风险策略,按照规划建设、实施运行、监视评审、保持改进的信息系统生命周期,部署适配数字化风险的安全管理措施和技术措施,构建自适应的纵深防御体系。
风险管控
资产与风险是天生矛盾的,资产价值越高,面临的风险就越大。数字化泛在信息资产有着与传统资产不同的价值特性,安全风险管控的目的就是按照避免、移转、降低、接受的安全策略评估安全风险,缓解和平衡这一对矛盾,将风险处理到可接受的程度,保护数字化业务及其相关资产。具体的数字化安全风险评估过程需要贯穿信息系统生命周期的全部过程,仍然可以按照国家标准通用的对象确立、风险评估、风险处理、审核批准、监控与审查、沟通与咨询六个过程进行开展。
合规遵从
安全合规遵从包括法律法规、管理制度、监管要求、标准规范等要求,如《人民共和国网络安全法》《人民共和国数据安全法》《人民共和国个人信息保护法》《信息安全技术 关键信息基础设施安全保护要求》《数据出境安全评估办法》等。组织通过在一个数字化安全体系解决方案中集成风险管理和合规遵从两种功能,可以使单位大大降低数字化业务风险,适应数字化的发展环境,以确保数字化业务始终沿着正确的方向演进。
数字化发展使数字经济和实体经济深度融合,助力数字经济高质量发展。安全是数字经济稳定发展的基石,以业务生态安全为指导的数字化安全治理和框架设计,能够更好建立数字化的风险管控和应对策略,构建管理一体、能力聚合、运营闭环、创新融合的新时期安全体系,实现数字化安全的持续运营改进、全面监管联动、产业情报共享,以此努力扩大守方优势、逆转攻防态势,推动网络安全向着更细化的数字化业务生态演进,帮助更多行业客户走好数字化转型之路。
目前,天融信基于创新的数字化安全治理理念和融合共生框架,已在政府、金融、能源等行业大型客户完成了具有业务生态属性的体系解决方案的实践落地。欢迎拨打天融信7×24小时客服电话400-777-0777,或联系天融信全国各分支机构咨询了解。
本期为《数字化融生安全框架》系列文章第二期:数字化业务生态安全。数字化管理一体安全、数字化能力聚合安全、数字化运营闭环安全、数字化创新融合安全将陆续推出,欢迎持续关注!
