文丨林可

好莱坞电影中常见这样一幕：一名黑客闯入暗室，随手打开一台电脑，火速敲下一段代码，三分钟之内，顺利入侵某一安全网络系统。

电影情节源自现实，网络安全问题屡见不鲜。

(资料图片)

随着云计算、大数据、AI等技术飞速进步，企业数字化体系的边界在不断拓展。

企业虽已开展安全建设，面对来自数据、业务等维度的新挑战，其安全应对能力常显疲态。

来源：视觉中国

“以ChatGPT为代表的AI技术加速进步，进一步使攻击行为变多、攻击规模变大，这更加难防。”IDC指出。

技术复杂多变，风险不可预测，企业如何筑牢自身的安全防线？

风险变大

“安全”是企业发展的基石。

如今，国内企业的数字化转型已进入深水区，IT环境变得更为复杂，其应用可能分布在公有云、私有云、数据中心等多个地方。网络安全问题增多，难以预测。

其中，核心数据信息泄露是最大的问题。

据IDC，2018-2022年，全球重大数据泄漏事件的发生频率，呈现上升趋势，所涉及的主体涵盖通信电子、文娱社交等行业，并且到2022年，数据泄漏从GB级上升至TB级。

全球重大数据泄露事件概览，2018-2022 来源：IDC

透过上图可以看到，数据安全问题可以发生在酒店、医院、游戏网站和线上交易等所有场合。

现实案例层出不穷。

今年4月，某家医院经风险排查发现，其专用APP存在API漏洞，开发人员无需授权即可访问后台。该医院的敏感数据随时可能泄露。

数据泄漏的后果触目惊心。

比如2021年，领英发生了大规模的数据“泄漏”事件。黑客获取了7亿多领英用户的姓名、电话、家庭住址等信息，在暗网售卖。

网络安全事件频发，令人细思极恐。

除数据泄露外，金融欺诈等安全漏洞也多如牛毛。

美国联邦调查局发布的一份互联网犯罪报告显示，2022年金融欺诈攻击行为，相较前一年增加了64%。为何会出现这一现象？

学界和业界经过大量调研，发现了问题。

技术发展日新月异，竞争加剧，企业只有创新业务模式和拓宽业务边界，才可能保持向上的成长曲线。此过程中被忽略的，是企业原有的安全合规体系框架和模型已不适用。

找到问题症结后，当地迅速行动。在北美等IT基础比较成熟的地方，网络安全产业已经成为数字经济之“盾”。

据市场研究机构Canalys，2022年，在网络安全支出方面，北美仍是规模最大的地区。

中研普华产业院进一步调查发现，美英法德等国的企业，网络安全投入占IT投入比例激增，达到20%-23%。

针对民事机构，美国2023财年在网络安全领域的预算为109亿美元，比2022年增加11%。

我国早就意识到了这一问题，多次发文强调网络安全。2021年，工信部曾发布《网络安全产业高质量发展三年行动计划》，要求国内政企机构的网络安全投入占IT预算比重达到10%。

短板明显

IDC数据显示，目前中国企业网络安全投入占IT预算的比例大约1.7%（同期全球平均值3.4%，美国4.6%）。

“中国企业IT投入占企业收入的百分比，平均来讲，大概1%左右，金融电信行业高一点，占3%-5%。”

IDC中国副总裁武连峰指出，如果要算安全预算占总收入的百分比，相当于在现有的数字上再乘以1.7%，“是一个极小的数字。”

投入金额少，只是其一。国内企业的网络安全建设能力存在明显短板，且理念陈旧，仍以合规驱动为主。

知名安全咨询机构安在和腾讯安全联合发起的一项调研发现，国内企业网络安全建设总体水位较低，不同行业安全能力差异巨大，且企业安全自建投入产出不理想、研发效率低。

这份来自1500位CSO（Chief Security Officer，首席安全官）的企业数字安全自评报告中，呈现了一组数据：

至今仍有11.3%的企业安全能力“基本空白”；60.49%的企业安全部门人员数量不足10人；安全预算投入低于5%下限的企业，比例超过70%。

安全人员匮乏、安全投入过低成为普遍问题。1000人以上的大型企业，安全人员数量中位数也不足20人。

与之形成极大反差的是，来自数据和业务等维度的安全风险，给企业的运营带来全方位的冲击，甚至关乎企业的生存基础。

2021年，受调研企业遭遇层出不穷的安全攻击，产生的经济损失达到百万美元级别。

接受调研的CSO均认为，安全与发展“断层”，已成为严峻问题，给企业经营带来威胁。

他们表示，在一个强调弹性敏捷的数字化环境下，面对突发事件，企业的应急响应通常滞后，面临的合规监管压力日益高企。

除了预算少、技术水平不足外，管理层对网络安全的重视度也不够，往往只关注突发安全事件的应急处理。

在合规驱动的视角下，管理层更多地把安全当成一项单纯的支出，认识不到其对企业发展的增益。

“很多企业管理者对安全这件事情的认知不足、对于不安全造成的损失以及安全未来的价值认知不足、对业务创新与安全的相关性缺乏深入思考，重视可能只是说一说，不能落实到具体的预算上。”IDC副总裁武连峰认为。

没有自上而下的牵引，网络安全部门无法调动足够的资源，协调各业务部门合作，促进安全措施真正落地。

不止是安全

如何兼顾发展与安全，让网络安全建设助力企业高质量发展，是管理者需要思索的问题。

一位企业服务从业者分享了他经常抛给管理者的一个“终极拷问”：“再过十年，你的核心资产、核心价值是哪些？是企业的办公楼还是购买的IT设备？”

他解释道，从财务的角度来说，无论是办公楼还是高性能的硬件都会持续折旧，企业家会逐步会意识到，真正的核心资产其实是数据以及建立在数据之上的商业模式。

另一位企业信息化业务负责人也表示，原来央企的信息化业务主要是肩负管理职能，随着数字化转型，“信息化部门已经向生产相关的方向转型。”

简而言之，数字化时代，数据资产成为企业的核心命脉，企业的安全建设也把成本视角切换到营收视角。

“（管理者）应将核心业务、企业数据资产作为安全防御的目标，为安全重建价值原点。”

腾讯集团副总裁、腾讯安全总裁丁珂在13号刚刚结束的数字安全免疫力研讨论坛上表示，目前很多企业的安全建设方法、人力物力的投入、数字化技术能力，还是被惯性带领的，“但安全建设应该由发展和变革驱动。”

在调研了几十位来自央国企、泛互联网和金融企业的安全管理层之后，IDC和腾讯安全提出了一个更积极、主动的安全观，用“治未病”的理念替代“治已病”，并结合不同行业的共性找到了更有通用价值的几个重点板块，形成了一套面向企业的数字安全免疫力模型。

参考这套模型，企业可以把复杂的安全问题分拆成一个针对性、系统性的安全体系，“先解决严重层面的问题，然后再在空档期逐层完成基础的建设、业务的拆分、管理逻辑的完善”，丁珂表示，“企业与企业的发展周期肯定不完全一样，只要把问题分析对了，总能找到有效的方法。”

具体而言，价值模型中，企业安全免疫力建设的痛点主要集中在组织与人员、技术、流程运营三个层面，包含理念、价值理解以及执行过程中的一系列问题。

企业打造“后天”数字安全免疫力，主要包含边界安全、端点安全、应用开发安全、运营与管理安全、数据治理安全、业务风险控制6大模块。

武连峰认为，这一套价值模型，更强调前置投入，将安全要素融入至企业的战略、管理、运营流程中，打通平台、技术、能力等层面的壁垒，强调动态、轻量、实时的反应能力，在一定程度上实现自主性地容错、纠错和升级。

更重要的是，这套模型同时贯穿企业的业务流、数据流、管理流，既可以保持业务运营和创新，提升企业商业竞争力，又能通过健全的内外部体制机制，增强企业领导力。

“腾讯的实践证明，发展的过程中，只有同步甚至适度超前地进行安全建设，才能让业务发展没有后顾之忧。”丁珂说。