作者：IDC中國副總裁、首席分析師 武連峰

數字安全免疫力是一個企業針對各種數字安全威脅時的防御機制，與人體免疫力相似，企業數字安全免疫力包含兩類：企業安全文化意識與合規是先天性數字安全免疫力，今天任何一個企業在建數字化系統的時候，毫無疑問會建設一些基本的安全能力，任何硬件、軟件、操作系統、數據庫本身會嵌入安全模塊，這些也可以屬于先天性數字安全免疫力；包括邊界安全、端點安全、應用安全、安全運營和管理、數據安全治理以及業務風險控制在內的六大模塊是后天適應性數字安全免疫力。在風險、合規、事件和發展等因素驅動下，企業從資產“心臟”出發，構筑多層“免疫屏障”，可實現韌性增長。

本篇文章將首先闡述數字安全免疫力的內涵并簡要說明模型的構成，其次分析數字安全免疫力的價值所在，最后將談及企業如何筑牢數字安全免疫力促進韌性發展。

數字化業務時代來臨，企業安全建設面臨多重挑戰

企業在數字化升級過程中面臨諸多挑戰，這些挑戰既來自外部環境的變化，也涉及到內部變革的復雜性。

外部環境來看，我們正處在一個重要的臨界點，2022年，無論全球還是中國，GDP總量的50%以上（中國約超60萬億元人民幣）是基于數字化或受數字化影響的，中國2022-2026年數字化轉型總支出將達到2.38萬億美元。這意味著，企業數字化發展正在從數字化轉型時代進入到數字化業務時代，過去企業的核心是業務的數字化，現在的核心是數據的業務化，數據以及與其相關的網絡安全問題變得更加重要。

數字化業務時代的來臨，數據變得越來越重要，遭受網絡攻擊的可能性也越來越大，安全事件層出不窮。例如，今年2月份中國有45億條快遞數據被泄露，3月份一家臺灣IT廠商被黑客盜取160GB數據。IDC數據顯示，早期企業遭勒索金額平均在100～200美元之間，而到2021年，此類攻擊導致的經濟損失已達到百萬美元級別。

圖1 全球重大數據泄露事件概覽，2018-2022

（來源：IDC《加強企業數字安全免疫力，助力數字時代下的韌性發展白皮書》，2023）

與此同時，監管力度逐漸升級。從我國來看，過去幾年出臺了大量與網絡安全、保密、個人隱私安全相關的法律。從全球來看，歐盟在2018年出臺了了GDPR《通用數據保護條例》，美國也相繼推出了HIPPA、薩班斯、芯片法案等一系列法律文件，對與信息安全有關的諸多領域進行了嚴格的法律約束。

從企業內部層面來看，企業安全建設也面臨著三方面挑戰：

在戰略、組織與人才層面，企業缺少對安全、合規價值的戰略認知，因此對安全投入的評估不夠充分，對安全體系、團隊的建設也沒有足夠的預期。在安全人才儲備上，企業普遍缺乏適應新發展的專業化人才，甚至難以組織起體系化的安全人才團隊。

在數字技術層面，云環境下的企業IT架構有很多新的變化，AIGC等創新技術的應用也讓企業整體的數字化始終處于優化升級的過程中，需要建立和提升許多新的能力。在生產上，企業智能化生產環境在大量增加，生產設備基于物聯網的連接，自動生成數據的規模和重要程度連續攀升。不少企業過往多年投入建設的老舊安全系統，也越來越難以實施安全加固策略，加固和修復工作往往會無從下手。

在經營管理流程與安全能力銜接方面，新技術、新產品所構建的平臺化創新體系使傳統的安全流程越來越缺乏適配性，大量企業未能應用數字化、自動化手段監測安全動態、洞察威脅隱患、實施風險管理以及快速應對事件的發生，更難以根據事件反饋不斷優化和調整安全策略。

IDC數據顯示，2022年，中國IT網絡安全整體市場在133億美金左右，到2026年預計增長至288億美金，每年平均增長近20%，增速位列全球第一。但從絕對值來看，中國企業的安全投入和美國與全球相比差距較大，中國各行業平均IT安全支出僅占ICT整體支出1.7%，而美國占比則平均為4.6%，全球為3.4%。所以，中國企業還需要持續投資安全。

基于企業數字安全免疫力模型，升級企業安全體系

為了更好地構建安全能力，IDC與騰訊安全共同構建數字安全免疫力模型。數字安全免疫力是企業面對各種數字安全威脅時的防御機制，包括先天性免疫力和適應性免疫力。安全文化和意識是企業的先天性免疫力，如果企業的管理層、企業員工如果沒有安全意識，企業花了再多的錢，購置了一堆硬件和軟件，但其實還是不安全的，所以整個安全意識非常關鍵。面向高度具體的攻擊所形成的防線是企業的適應性免疫力，包含6大模塊：邊界安全、端點安全、應用開發安全、安全運營與管理、數據安全治理、業務風險控制。其中，安全運營與管理是核心中樞，將上下三層連接起來；邊界安全、端點安全和應用開發安全是三個屏障；數據安全治理和業務風險控制是兩個堡壘。

（來源：IDC《加強企業數字安全免疫力，助力數字時代下的韌性發展白皮書》，2023）

與傳統的安全理念不同，數字安全免疫力更加強調前置投入，將安全要素融入至企業的戰略、管理、運營流程中，打通平臺、技術、能力等層面的壁壘，強調動態、輕量、實時的反應能力，可以一定程度上實現自主性地容錯、糾錯和升級，最終達成安全與發展協同的目標：

首先，基于數字安全免疫力理念，全面提升企業抵御安全風險能力，構筑企業數字化韌性：當遇到突發事件如新冠疫情時，企業的快速應對能力和快速恢復能力，同時在風險過去之后企業找到新機會的能力，是我們所強調的企業數字化韌性。反過來，當安全事件大量出現時，如何打造安全韌性也會變得極為關鍵。

其次，通過安全建設保障業務運營和創新，提升企業商業競爭力：如果企業在構筑數字安全免疫力時能夠做到適度精準，就能夠保障業務運營的同時持續創新，增加企業商業競爭力。當企業因出現安全問題而造成損失時，創新能力和韌性都會受到非常大的影響，因此底層安全是支撐企業未來可持續創新的動力。

第三，聚焦供應鏈安全建設和安全生態發展：企業在數字業務時代進行創新的過程中會遇到更多的困難，所以如何利用生態進行創新，就會變成企業的剛需。如果企業沒有安全保障，就很難在生態領域上形成更大的影響力。因此如何更好地通過數字安全免疫力來賦能生態，提升企業的行業領導力變得很重要。

積極實踐，構筑企業數字安全免疫力

不足的安全意識，日新月異的技術發展，以及匱乏的安全運營能力，導致企業安全建設呈現出不充分、不完善、難推進等特征。企業在發展自身安全體系、強化安全保障活動時，可以基于數字安全免疫力框架，統籌合規驅動、事件驅動、攻防驅動、發展驅動四大安全底層驅動要素，將多重安全要素實現有機組合，形成面向當前和未來的、動態聯系的、可持續迭代的安全體系模型框架：

在文化與意識層面，建立上下一致的認知，形成統一有序的行動；在邊界安全層面，夯實安全基礎防線，守護不斷擴展的邊界；在端點安全層面，填補端點安全間隙，構筑多形態環境安全；在應用開發安全層面，降低修復成本，推進安全左移；在安全運營與管理層面，打造統一、可視、主動、協同的安全運營；在數據安全治理層面，打造企業數據生態，加速合規數據價值釋放；在業務風險治理層面，健全風險管理體系，兼顧風險與效率平衡。

此外，企業應定期“體檢”，掌握自身健康狀態，提早發現并控制“疾病”；應接種相應“疫苗”，補充風險抵御能力；更重要的是，企業應保持積極活躍“生活方式”，打造自上而下、自內而外的全面數字安全建設體系，為促進企業整體發展帶來切實價值。

關鍵詞：