隨著數字化進程的加快，很多企業的數字化已經從量變到質變，進入產業數字化的新階段。目前，隨著人工智能、大數據、云等新技術與實體經濟各領域滲透融合，數字科技正在重塑傳統行業業務形態、制造流程、管理模式和發展理念。具體表現在企業的信息流、產業鏈、價值鏈正在發生重構和變革，企業生產效能大幅提高。

企業安全正面臨著新的挑戰。首先，信息安全環境風浪轉為顛覆風暴。地緣政治、灰黑產、新技術帶來的新挑戰幾乎對所有的企業和行業都會造成影響，特別是和國際接軌的企業。此外，信息安全的合規壓力在世界范圍內逐漸增強，企業需要具備更加強大的安全能力。

其次，數字化業務時代來臨，企業數字化轉型進入深水期。2022年，全球各行業領先企業已經有14%進入數字化業務，其收入的30%-40%來源于數字化相關的產品和服務，而這一比例在2025年將達到42%-45%。這意味著未來企業數字化將會無處不在，安全作為企業數字化轉型的主要保障和助力，勢必同數字化一起快速發展。

最后是技術大變革，IT行業每隔10-15年就會迎來一次技術大變革，近幾年火熱的AIGC、量子計算、元宇宙等等都證明了當下的技術環境已經迎來變革期。同時，犯罪分子和黑客已經在利用這些新技術強化攻擊，因此，企業需要提升安全能力，以適應技術變革所帶來的安全環境和挑戰。

但是，企業的安全建設仍然是基于舊的安全建設“慣性”，一個是對外部威脅缺乏足夠的關注和響應，另一方面，安全的價值原點仍然是“合規”，沒有意識到核心業務和數據資產的防護才是核心目的。在此背景下，6月13日，騰訊安全聯合IDC等多家機構在北京舉辦數字安全免疫力研討論壇，并發布“數字安全免疫力”模型框架，提出用免疫的思維應對新時期下安全建設與企業發展難以協同的挑戰。

企業需要數字安全免疫力

在此次論壇中，騰訊安全公布了此前與安在新媒體聯合發布的“2023企業數據安全水平抽樣調查報告”（下稱報告），對超過1500名CSO發起企業數字安全線上、線下抽樣調查。此次報告旨在圍繞企業安全管理者和建設者最核心的痛點展開，揭示企業數字安全建設的訴求，推動企業更加積極建設企業數字安全免疫力。此次報告的調研對象是1500+CSO、CISO等企業安全部門、業務負責人以及CIO、CTO、CEO等企業決策層。

此次報告針對企業總體安全能力、安全與發展的關系以及數字安全建設免疫力方面總結了包括企業安全投入失調、安全建設理念滯后等多條結論。在這些結論中，最令人在意的有以下三點：

首先是企業安全總體水位低于預期。報告指出，至今仍有11.3%的企業安全能力“基本空白”，不同行業安全成熟度差異巨大。報告顯示，在貿易、物流、醫療等行業，安全部署不充分的企業超50%，而智能網聯、車聯網、互聯網、政府、金融等行業的安全能力相對成熟。此外，安全投入低于5%預算的企業比例超過70%。誠然，相對于貿易、交通等行業，智能網聯、互聯網、金融等行業的數字化步伐更快，程度更深，對于安全的需求也相對較高。但在宏觀政策背景及數字經濟時代的當下，仍然有11.3%的企業在安全能力方面“基本空白”，造成這一現象的原因是什么？

其次是安全與發展存在斷層。報告指出，超過一半的受訪者認為，企業核心數據信息泄露是企業數字安全最大危害，其次是業務中斷。當下，越來越多的數據承載著企業的核心資產，而數據的流動屬性及非結構屬性導致傳統的安全防御體系無法完全奏效。同時，業務中斷會使企業面臨直接的經濟損失及品牌失靈等隱性損失，使企業業務發展帶來較大威脅。由于造成業務中斷的原因包括非人為的硬件故障、自然災害以及人為的配置錯誤、勒索攻擊、數據泄露等等，因此，對企業的整體安全能力要求更高。

此外，報告還指出，由于安全價值認知存在錯位，當下的企業安全戰略以被動防御為主。這導致企業在面對新技術、新應用所帶來的新安全威脅時，很難及時有效地進行針對性的防御，同時，被動防御無法防護網絡內部的攻擊，在應急響應方面也會稍顯滯后。對此，如何進一步推動安全與發展的聯系？

最后，報告指出，部分企業嘗試通過自研建立安全體系但總體效果不理想，17.4%企業沒有條件、8.9%企業“投了白投”;27.7%企業效果欠佳，35%的企業研發效率低。與合作伙伴聯合開發或經成熟廠商定制產品與服務更受企業青睞，聯合開發企業占比38.3%，定制開發占比37.3%。

出于成本壓力，企業可能會采用自研的方式建立安全體系。但由于人力資源的短缺、技術能力的不成熟以及數據、應用場景的匱乏等原因，自研安全體系得不到全方位的驗證，無法達到最佳效果，造成“先天免疫力”欠佳。同時，由于安全廠商市場的逐漸成熟，企業往往采用聯合開發等方式提升“獲得性免疫力”。但是，部分實踐證明，單靠采購安全產品等外力很難持續性地提升企業的整體安全能力。

對此，安在特別參與了此次數字安全免疫力研討論壇，并就上述問題在會后群訪環節與騰訊集團副總裁、騰訊安全總裁丁珂、騰訊安全策略發展中心經理呂一平、IDC中國副總裁武連峰、天融信科技集團副總裁劉斯宇等安全專家進行了深入討論。

數字安全免疫力及免疫力模型

武連峰認為，從2022年年底，數字化轉型發展已經到了一個臨界點，從業務的數字化轉向了數字的業務化，數據變的越來越重要，相關的安全也會變的更為重要。從價值和激發機制的角度來說，傳統理念相比，數字安全免疫力更加強調前置投入，把安全融入到企業的方方面面。

（IDC中國副總裁武連峰）

目前，企業安全建設已經進入了新的階段。除了合規、事件、攻防驅動之外，發展驅動已然成為企業安全建設的普遍共識，企業需從被動安全轉變為主動防御，以數據資產和業務資產為目標，建設一套全新的安全范式和框架。

丁珂表示，當前企業普遍存在安全與發展斷層的問題，其中一個很重要的表現是企業安全預算投入不足。國際上對于安全預算有一個基準線，針對數字安全預算投入要占企業數字化整體投入的5%，關基、重要部門要占到10%。然而，根據報告顯示，70%的企業低于國際基準線，甚至有10%的企業低于1%。武連峰表示，當下對中國企業IT投入占營收比例普遍在1%以下，而中國企業的平均安全投入占IT投入的1.7%。

（騰訊集團副總裁、騰訊安全總裁丁珂）

如此低的預算勢必會對企業總體安全能力帶來影響，同時，由于不同行業對安全需求的差異導致部分企業甚至幾乎沒有安全能力。在網絡安全的宏觀背景下，這些企業將面臨著更嚴格的監管要求和更大的安全挑戰。

另一方面，由于企業安全和發展存在斷層，企業業務數字化越深入，安全的保障能力就越微弱。丁珂表示，部分企業的安全建設仍停留在“頭疼醫頭、腳疼醫腳”的傳統搭煙囪階段，而造成這一原因的底層邏輯是數字化時代的安全建設驅動力發生了根本變化。

對此，丁珂解釋道，在企業數字化剛剛起步階段，企業只需要達到靜態安全就能夠滿足當時的安全需求，因此，大多數企業都會采用最保守的安全防御策略。但隨著數字化階段的不斷深入，物聯網、大數據和云計算被廣泛使用，供應鏈越來越復雜，企業安全面臨的風險極速擴張，同時，由于監管和法規的逐漸完善，企業安全建設迎來攻防、事件、合規等綜合因素驅動的新階段。

而現在，企業進入“數智化”時代，企業成為數字產業化的一部分，同時也是產業數字化的推動者。在這個過程中，數字化業務成為組織中樞，數據成為核心資產，企業安全需要從“被動安全”轉變為“主動防御”，企業安全建設的驅動力也從過去的攻防、事件、合規變成現在的發展驅動。

在此次論壇上，騰訊安全對當前企業發展的安全新范式下一個定義，那就是“數字安全免疫力”。對此，呂一平表示，首先，免疫力指的是企業和業務需要將外部的安全能力轉換為自身的安全能力，建設“數字安全免疫力”能夠幫助企業在“數智化”時代建立安全思維，提高安全意識。其次，免疫力還代表著全局視角，數字化貫穿了企業全生命周期和業務單元中，單點的防護措施已經無法保障企業安全。面因此，安全不再只是CSO所關注的重點，而是要提升到CEO的高度，從頂層視角規劃安全建設，推動安全和業務的融合和發展。最后，免疫力能夠幫助企業聚焦安全在合規成本日趨增長的今天，企業需要對自身業務和安全架構進行梳理，優先解決核心、重要、敏感的安全風險，“數字安全免疫力”模型可以作為參考，幫助企業進一步梳理自身安全問題和能力，推動企業的安全建設。

在此次論壇上，騰訊安全還發布了數字安全免疫力模型。據丁珂介紹，這一“洋蔥狀”的模型分為三層縱深，包括2個免疫堡壘，1個免疫中樞和3道免疫屏障。2個免疫堡壘指的是企業應當以數據和業務為核心建立數據安全治理和業務風險控制兩大縱深防御體系，1個免疫中樞指的是企業應該以人為核心建立常態化的安全運營管理體系，支持“中樞系統”運轉，3道免疫屏障指的是企業應該規避傳統軟硬件安全的桎梏，通過平臺思維和插件思維，將端點安全、邊界安全和應用開發安全作為3道屏障保護企業數據和業務。

此外，數字安全免疫力模型還經歷了大量的安全場景實踐，騰訊安全自身就是數字安全免疫力理念的踐行者，在經歷10億級用戶、海量業務場景、全球十余萬員工以及百萬客戶云平臺的驗證下，數字安全免疫力模型得到了充分的應用和迭代。同時，騰訊安全覆蓋了80%以上的金融行業客戶、90%以上的頭部能源企業，在眾多客戶的助力下，數字安全免疫力模型最終實現了以“發展驅動”為理念，重構數字時代的安全新范式。

結語

數據和業務成為企業核心資產，企業勢必要在安全防護上也革新理念，重新排兵布陣。從大的趨勢來看，數字化業務將會覆蓋幾乎所有行業，絕大多數企業都將或被動或主動的擁抱數字化，因此，越早進入數字化、越早獲得安全免疫力，企業將會在未來的競爭中更具優勢。

對此，騰訊安全以“數字安全免疫力”為各個行業提供了參考和學習的范本，期待騰訊安全的進一步發展，為更多產業和用戶提供更先進的安全理念和視角。