改革開放以來，我國經歷了世界歷史上規模最大、速度最快的城鎮化進程。在這個過程中，拆遷和舊房改造起頭并進，一并成為我國建設高質量城市的更新體制。7月份，我國住房和城鄉建設部指出，改造城市應“留改拆”并舉，杜絕大拆大建。

相對于大拆大建，“留改”這種操作更像是在螺螄殼里做道場，無論是對政府規劃還是對一線施工人員來說都是一項巨大的挑戰。這里的挑戰主要來自兩個方面，第一是“留改拆”的標準很難量化，設置具體的量化指標反而會阻礙城市更新進程；第二是舊房存量過多導致積重難返，“留改”沒有足夠的操作空間。

同樣的問題也普遍出現在網絡安全領域中。例如，在企業數據安全治理中，增量數據要比存量數據更容易處理。增量數據可以在入庫前就進行分類分級，而存量數據往往數量龐大、分布廣泛，其中還充斥著難以量化的非結構化數據，它們的存在是大部分企業治理數據安全的主要難題。

然而，企業卻不得不正面面對這些難題，無論是監管所帶來的壓力還是為了進一步的發展，企業都必須尋找解決的辦法。

技術債務是阻礙企業量化和改善安全的主要因素之一

無論是難以量化還是積重難返，都是企業建設網絡安全的阻礙，造成這一切的背后原因是什么？

思科在今年3月發布的《2023全球網絡安全準備指數》中指出了一個看起來似乎違背直覺的結論：發達國家與發展中國家相比，組織應對網絡安全事件的準備有明顯不足。總體網絡安全最成熟的國家包括印度尼西亞、菲律賓、泰國及印度等亞太國家，其中，印度尼西亞有39%的組織處于思科定義的網絡安全“成熟階段”，菲律賓和泰國有27%的組織處于成熟階段；印度有24%的組織處于成熟階段。

而那些網絡安全發展較早、步伐較快的發達國家，在這方面同發展中國家有明顯差距。日本僅有5%的組織處于“成熟階段”，韓國僅有7%。其他地區的發達國家也不例外，美國只有13%的組織處于“成熟階段，加拿大僅有9%，墨西哥僅有12%。

對此，思科解釋到，造成發達國家和發展中國家網絡安全準備方面的巨大差距源于技術債務。與發達國家相比，發展中國家最近才開始陸續采用數字技術，這意味著這些組織沒有大量的遺留系統，在其IT基礎設施中部署和集成安全解決方案相對更容易。此外，技術債務的層層累加讓無法企業量化自身的安全狀況，也就無法實現對安全的全局把控。

報告表示，技術債務所帶來的巨額成本以及更新系統的影響，是發達國家組織在網絡安全方面準備不足的主要因素。此次報告基于對全球27個國家和地區及6700名網絡安全領導者的調查，思科將這些組織分為四個類型，初級、成形、已經取得進展、成熟。其中，47%的組織處于成形階段，他們已經采取了一些基本安全措施來保護自己；30%處于已經取得進展，8%處于初級階段，只有15%處于成熟階段。

在我國，這樣的現象同樣存在。數字化進程較早的企業，近年來在安全方面的支出持續增加。這不僅是因為數字化帶來了更多的安全需求，還有為了應對新的安全挑戰，更新遺留系統所帶來的高昂成本。對此，不少網絡安全供應商提供了多種多樣的解決方案。以企業數據安全治理為例，不少供應商提供了更精進的算法和更便捷的工具，以助于這些組織發現和分析那些存量數據。

但這種方法治標不治本，組織的安全技術債務來自于舊技術的滯后以及需求不清晰所帶來的盲目擴張，想要徹底解決這一問題，最好的方式或許是深入挖掘組織當下和未來的安全需求，評估現有的安全狀況，因地制宜、循序漸進地建設和改造現有網絡安全架構。但是，明晰自身需求，量化安全對于企業來說并不是一件容易的事。雖然可以通過合規指導來推動安全建設，但想要以安全來促進發展，只憑合規是遠遠不夠的。

對此，騰訊安全在9月7日召開的騰訊全球數字生態大會上，再一次提出了企業數字安全免疫力模型。這是繼今年6月騰訊安全召開的數字安全免疫力研討論壇后，又一次提出要建設企業安全免疫力。在會上，騰訊安全不僅進一步剖析了免疫力模型的價值和功能，還推出了配套的企業安全自評估工具，助力企業查漏補缺，彌補安全建設中的薄弱點或缺失點。

數字安全免疫力模型的價值和意義

9月7日，2023年騰訊全球數字生態大會在在深圳國際會展中心正式舉辦，本屆大會以“智變加速、產業煥新”為主題，下設20余個分論壇。在9月8日下午召開的數字安全分論壇中，騰訊集團副總裁、騰訊安全總裁丁珂表示，在AI大模型所帶來的智能化時代，企業需要建立以發展驅動的安全建設理念。同時，企業需要建立可度量的安全體系，評估安全建設的有效性。

如果說企業建設網絡安全是搭建一堵墻，那么這堵墻的大小、位置、方向以及搭建這堵墻所用到的材料等等就是企業的安全需求，挖掘企業的安全需求就是為了更好地建設網絡安全。通常，企業往往會通過合規、業務等方面的需求來確定安全需求。

但當下的網絡環境愈發惡劣，網絡攻擊日益頻繁、所帶來的損失日趨增長，對于企業來說，頭痛醫頭腳痛醫腳地建設安全很容易顧此失彼，無法全面、完整地保障企業的IT環境和核心資產。為此，騰訊安全結合騰訊自身多年的實踐和大量客戶的反饋，逐漸形成了一套數字安全免疫力模型。

免疫力模型模型以“洋蔥”狀層層疊加，最外層包括邊界安全、端點安全和應用開發安全，這是大部分企業最常見、最基礎的安全能力建設。

中間層是安全運營和管理，騰訊安全在過去的一段時間內對一些企業進行了測評，其中發現有部分企業雖然采購了網絡安全設備和工具，但安全狀況未能得到改善，無法滿足其預期。騰訊安全策略發展中心總經理呂一平表示，這些企業普遍缺乏運營和管理能力，導致安全設備和工具無法聯動和協同，因此，中間層強調的是企業對于安全的運營和管理能力。

最內層是當下企業最關注的數據安全及業務風險控制。自2021年《數據安全法》及《個人信息保護法》的發布后，數據安全成為很多企業關注的重點。此外，在今年很多安全類的創業大賽上，參賽企業大多集中在數據安全這一賽道，這也側面體現出企業對數據安全的需求激增。業務風險則是如智能網聯汽車、金融、互聯網等行業關注的重點，保障其業務正常平穩的運行是這類行業的核心安全目標。

上述六個主要維度基本涵蓋了大部分企業的網絡安全需求，也是大部分安全供應商所能服務的范疇。目前，針對安全狀況測評已經有不少供應商提出了自己的觀點和工具，那么對于企業來說，騰訊安全的免疫力模型的優勢在哪里？

對此，呂一平解釋到，數字安全免疫力模型首先是騰訊基于自身多年的安全防護經驗和專家知識累積的。和其他安全廠商相比，騰訊安全的產品服務方案要經過騰訊內部大體量級的業務考驗。此外，騰訊的業務屬于高度數字化的互聯網業務，在發展的過程中積累了非常多的數字化和在線化需求，這同大部分數字化轉型中的企業的需求不謀而合。因此，騰訊安全在總結經驗后，不僅可以提供經過實踐驗證的安全方案和服務，還能夠解決大部分企業在數字化轉型中存在的問題和需求。

其次，免疫力模型還是騰訊安全在服務TOB行業的過程中，不斷收集不同行業的反饋，總結包括金融、制造、汽車等重點行業的典型客戶需求后，經過沉淀和通用化所形成的。這意味著免疫力模型對那些數字化轉型及對安全關注和需求程度較高的企業和行業有很強的適配性。借助免疫力模型，企業可以參考行業頭部的最佳實踐案例，挖掘行業特有安全需求的同時，也能發現自身與頭部企業的差距。

呂一平強調，數字安全免疫力模型不是產品，也不會走商業化的道路。它是騰訊安全為了梳理企業安全需求、打造企業安全觀念、塑造企業安全模式的思維框架圖，為此，騰訊安全不僅在自身和部分客戶進行了實踐驗證，還對部分客戶進行了輕量化的咨詢。根據免疫力評估梳理出的痛點，騰訊安全與客戶一起探討、深入細節、解決問題，最終形成可落地的解決方案，這也是騰訊安全在過去幾個月一直做的事。

網絡安全的原子能力是企業的“免疫力”

免疫力模型除了上述優勢以外，還有哪些功能？實際上，并非所有企業都不清楚自身的安全需求，對于部分企業來說，他們已經足夠了解自身的安全現狀和短板，但他們缺少的是落地方法。知道問題卻不知道如何解決問題是這類企業的“通病”，而這也是免疫力模型所能解決的另一個主要問題，安全方案的落地性。

據呂一平介紹，騰訊安全近期與一家新能源行業的企業就安全方案落地方面進行了深入的交流。該企業此前也曾咨詢過其他安全廠商，這些安全供應商不僅制定了詳細的規劃，還撰寫了一大堆文檔共企業參考。但是，這個解決方案提出后，該企業的問題并沒有完全得到解決。這是因為他們缺乏落地方式，他們不清楚應該如何實施這套解決方案，因此也就無法全面地解決問題。

騰訊安全入場后，首先利用免疫力模型對該企業進行了整體的安全狀況評估。在評估之后，騰訊安全發現該企業當前最主要的問題是梳理核心業務及核心場景所需要的資產和數據。在清楚地發現問題之后，騰訊安全利用免疫力模型與騰訊安全產品及服務強結合的特點，提出了基于免疫力模型的安全產品和方案，并幫助他們成功解決問題。

然而，騰訊安全并不是一家萬能的公司，總有自身沒有涉獵或力有不逮的安全領域，那么在面對此類問題時，免疫力模型是否就無用武之地了呢？對此，呂一平表示，免疫力模型最大的功能不是讓騰訊安全的產品入場，而是讓用戶獲得安全的原子能力。

如果將企業比作人，那么企業采購安全產品就相當于打針吃藥。通過打針吃藥雖然能夠解決一定的問題，但對于一個人來說，最好的辦法是通過先天或者后天的方式獲得持續性的抗體，從而在面對任何病毒時都能夠應對。企業在采購安全產品也是如此，如果只是單純的將安全產品當作解決問題的工具，企業只會陷入產品越來越多，問題卻無法解決的困境。此外，對于企業來說，安全供應商不能代表企業的安全能力，這是因為雙方對安全的責任不同。企業需要安全供應商，但也需要建設自己的能力。因此，汲取安全產品所蘊含的原子能力是企業建設安全的重中之重。這也是免疫力模型中“免疫力”所強調和特指的部分。

探索企業安全的評估工具

此外，在此次數字生態大會上，騰訊安全還推出了與免疫力模型配套的企業安全自評估工具。為了打造這款工具，騰訊安全在6月份發布免疫力模型之后，對各行各業幾十家企業進行評估，并重點關注了金融、能源、制造和智能網聯汽車等幾個行業。

在評估工具中，這些企業將分為四個不同的類型，包括專家型客戶、運營型客戶、工具型客戶和待提升的客戶。據呂一平介紹，這四個類型是根據企業的數字化轉型進程以及數字化建設的成熟度而劃分。其中，專家型客戶指的是安全能力建設已經足夠成熟，從各個維度都能獲得較高的打分，但在某些細分場景中還有一定的需求。這類企業有一個共同點，那就是能夠集成安全的原子能力。換言之就是這類企業已經擁有一個較為成熟的安全運營和管理的平臺體系，能夠基本覆蓋全部的企業業務和IT場景，對安全的需求主要圍繞在如何集成更多技術和能力，而非解決單獨的某個問題。

運營型客戶更多的是半互聯網行業的公司，這類企業強調強安全運營，對業務的需求格外了解。通常，這類企業不會購買特別多的安全產品或設備，而是會圍繞業務制定運營流程和建立安全的監控體系，安全水平主要是通過運營能力來驅動。運營型客戶在評估中可能會發現自身在工具方面還是有一定的缺失，這也是運營型客戶需要補充和關注的焦點。

工具型客戶通常是那些安全能力建設較為基礎的，但在其行業中又屬于頭部的這一類企業。它們的普遍特點是安全能力投入不足，雖然具備一定數量的安全產品，但因缺乏統一的運營能力導致其沒有一個健康的、有效的安全運營體系。因此，這類企業在面臨安全事件時，很可能因安全設備之間的聯動不暢導致沒有快速、高效的響應機制。

實際上，工具型客戶也是免疫力模型的最主要受眾之一。通過免疫力模型，工具型客戶可以發現自身的安全薄弱點及安全需求，并參考騰訊安全推出的產品和工具來彌補。同時，企業還可以借助例如騰訊安全的安全托管服務等，聯動其擁有的安全設備，提高其整體安全運營能力。

最后是待提升的客戶。這類客戶無論從管理理念還是從安全建設的角度都處于一個需要提升的過程和階段。對于這類客戶來說，騰訊安全能夠做到的更多。在工具方面，騰訊安全能夠提供針對不同行業、不同需求的安全產品；在運營方面，騰訊安全也可以幫助企業組建安全團隊，分工協作；在制度方面，騰訊安全可以幫助企業劃分安全職責。總而言之，待提升的客戶需要的是一個全面、詳細且站在頂層視角的安全規劃和路徑，以梳理和發現更多的問題。

通過分析上述行業，騰訊安全已經總結了大部分的共性安全需求和問題，并將其與騰訊安全所擁有的安全專業知識和理解相結合，并最終推出了安全自評估工具。

目前，安全自評估工具幾乎適用于任何體量的企業。對于大型企業或行業頭部企業來說，他們可以通過該工具梳理需要解決的問題和重點的建設規劃，并通過騰訊安全的產品或其他第三方的產品得到解決。值得注意的是，對于這類企業來說，建設安全更需要的是企業的投入，無論是資源還是精力，企業投入越多，解決的問題就越多。

對于中小型企業來說，安全自評估工具可以幫助他們清楚地知道自身的安全水平以及同行業的安全基礎水位。通過安全自評估工具的度量結果，企業不僅可以清晰地梳理自身的短板，最重要的是，還可以將有限的資源投入到亟需解決的問題上。

在“數智化”時代，“治己病”已然無法滿足企業的安全需求，如何“治未病”才是更多企業所關注的。通過免疫力模型和安全自評估工具，企業可以退一步，從治理具體問題延伸到企業的全局視角，基于頂層邏輯來真正挖掘企業當下和未來的安全方向，從而實現“治己病”到“治未病”的跨越。

尾聲：提取共性、回饋產業

今年6月，騰訊安全首次發布了數字安全免疫力模型，那時的騰訊講述的主要是理念和思維模式，而在此次數字生態大會上，騰訊安全已經提取了包括金融、能源，制造、智能網聯汽車等多個行業的共性安全需求和問題，并推出了安全自評估工具。

圍繞著數字安全免疫力模型，騰訊安全在這一年時間已經做了足夠多的工作，但他們并不愿止步于此。未來，騰訊安全將進一步覆蓋更多的行業，歸納總結不同行業的安全能力建設水位，提取行業共性的痛點和問題以及不同行業在數字化轉型中所關注的場景和安全能力需求。通過上述工作，騰訊安全不僅能夠發現更多客戶的需求，還能進一步優化產品，促進迭代。期待騰訊安全在這條正循環的路上越走越遠，也希望數字安全免疫力模型及配套工具能幫助更多的企業建設和發展自身的安全。