诸子笔会 | 赵锐:安全数字化的演进与畅想
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
安全数字化的演进与畅想
文 | 赵锐
赵锐
某跨国企业
网络空间安全和合规负责人
诸子云上海会长,历任多家金融机构、世界 500 强企业的安全负责人、安全专家,民革党员。近20 年资深科技风险、信息安全、业务安全经验。
从事网络安全行业近二十年了,一直忙于安全专业、会议、演讲、出版等工作。四年前在编撰DevOps标准的时候,才专门静心思索“安全”如何实现“数字化”。投票6月主题时,我毫不犹豫地选择了“安全数字化”,让我可以结合最近国家对于数字化规划,再次分析安全数字化的演进并开展畅想。
2016年3月17日发布的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》,首次出现“网络安全”而且出现了7次,但没有出现“数字化”。转眼到了2021年3月13日,发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,首次出现“数字化”出现了25次,而且有专门的章节“第五篇 加快数字化发展 建设数字中国”介绍数字化,“网络安全”出现了14次,在“第十八章 营造良好数字生态”中专门有一节“第三节 加强网络安全保护”阐述网络安全。
从中华人民共和国国民经济和社会发展规划纲要中内容的变化,就能感受到中国政府对于数字化的重视。在2020年5月13日,中华人民共和国国家发展和改革委员会还在其网站发布了“数字化转型伙伴行动倡议”和“数字化转型伙伴行动帮扶举措之国家数字经济创新发展试验区”,并向各类组织提供服务,帮助各类组织实现数字化转型。
中国政府已经明确向社会各界表明,数字化势不可挡。
参考《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中“第五篇 加快数字化发展 建设数字中国”的第一段“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”。
以及“第十八章 营造良好数字生态”的“第三节 加强网络安全保护”“健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。”
一直以来,我都喜欢总结经验并形成方法论。对于安全数字化——也不例外,基于实践形成的“锐少”方法论,按人、流程、技术的成熟度进行演进并开展畅想。
光看定义,大家肯定无法有效理解,安全数字化具体是如何演进的。我们先讨论一下数字化带来的安全挑战。
数字化正在改变组织的产品、渠道和运营。虽然这种变化使通过创新和提高效率实现增长成为可能,但它也增加了“攻击面”——攻击者可能对组织造成伤害的方式和数量也实现了数字化。例如:线上的业务安全风险(618、双十一等大型线上促销中的薅羊毛攻击)就是数字化以后才有的。这反过来需要安全组织和人员提升向上管理能力和业务理解能力,加强高级管理层对IT和网络安全以及监管要求的重视程度,要比攻击者更了解业务环节中的风险,做好防护工作。
数字化的第一个影响是业务合作伙伴和第三方,而不是企业IT本身。因为业务合作伙伴和第三方都变了,网络安全团队能管理好数字化产品或服务的供应商吗?采用什么手段?随着越来越多的云服务、非现场外包服务,传统的网络安全风险管理和治理工作还有效吗?我们的安全组织要怎么办?因此,技术敏锐度现在对于信息安全团队来说至关重要。基于业务战略和业务成果导向开展风险决策,这样对于安全团队的影响力和由此对组织意识的改变十分重要。
下表是我分析的安全数字化演进之路(供大家参考和讨论):
在数字化时代,组织的成功或失败将取决于其利用新技术承担风险的能力,因此,安全数字化能力不可或缺。希望我对安全数字化的演进与畅想能够激发网络安全同仁的思索与共鸣,大家相互帮助,共同进步。另,欢迎大家找我单独讨论,如果要在其他文章、会议材料中引用上述内容,请注明“来源:锐少”。
锐少 2021年6月6日
RECOMMEND
推荐阅读
齐心抗疫 与你同在