7月1日,在2022信息安全高级论坛暨RSA热点研讨会上,奇安信集团战略咨询规划部副总经理邬怡表示,信息技术与业务运营深度结合、融为一体,企业业务运营高度依赖IT的稳定运行,网络安全风险等同于业务风险。
“安全正在从底层基础架构,向应用、业务方向进行深度融合、覆盖。”邬怡表示,从2018年到今年的RSAC安全主题演变发现,安全的重点从基础安全,逐步向数据安全、供应链安全、身份安全等方向转型。这一转变的背后,数字化的影响是不容忽视的。
数字化成为当今世界转型升级的新动能,对于企业来说,数字化转型是企业经营管理模式的全面变革,需要全体人员的共同参与。根据IDG对全球领先的702位IT和商业决策者调查结果显示,企业的数字化转型将为企业带来员工生产力的提升、数据驱动业务价值提升、客户体验提升等8方面的价值。
网络安全是数字化转型成功的关键,不安全,则无业务。邬怡指出,企业网络安全体系建设是数字化转型的“底板工程”,网络安全是业务发展的前提。“数字化业务运营高度依赖IT的平稳、可靠运行。这也意味着,当业务与信息化深度融合,网络安全风险等同于业务运营风险。”
邬怡表示,十四五时期,网络安全已从“配合”逐渐升级到与信息化同步规划建设,形成独立的主线。从安全管理模式来讲,企业的网络安全管理模式将从“被动”的配套模式升级为以“三同步”为原则的体系化规划建设模式;从安全能力上来讲,应从零散演进到体系化,实现安全能力可扩展、可集成、可协同,关注体系化作战和持续的安全效果;从建设模式来看,从此前的产品独立部署转变为深度结合、全面覆盖,通过实战化运行将安全融入IT 工作,开展常态化保障数字化业务运营。
邬怡还总结了数字化转型阶段,安全管理理念的四个变化:一是安全“损失”的含义发生变化:数字化阶段,网络安全损失从信息资产损失提升为业务运营价值损失,同时企业还可能面临法律责任风险,网络安全风险可能会导致“一失万无”的严重后果;二是管理理念发生变化:从信息化初级阶段的合规管理、信息化高级阶段的风险管理,转变为数字化运营阶段的“三同步”;三是安全假设发生变化:“边界之内皆安全”的假设已不再成立,新的安全假设将更加有效的牵引安全防御措施设计,帮助防守方识别及保护战术目标,并提示防守方明确战略任务保障措施;四是,要完善网络安全“防御姿态”管理:其关键是要以体系化技术防御为支撑,形成常态化运行机制、关键要把安全运行工作条令化(SOP)、安全团队建制化,从而形成可持续性防御能力,做到“随时能战、战之能胜”,从而达到保障业务的目标。
面对数字化转型下的诸多变化如何最终落地,邬怡表示,应从安全规划视角,以系统工程方法支撑顶层规划,将信息化和安全在各个层面和各个角色对齐,促进安全内生于信息化,以网络安全规划为指引进行安全能力叠加演进,实现网络安全与信息化“三同步”的建设模式,确保安全能力与信息化的融合。
07-01 17:01
07-01 16:56
07-01 16:37
07-01 16:25
07-01 16:23
07-01 15:41
07-01 15:28
07-01 15:19
07-01 15:09
07-01 14:56