诸子笔会2022 | 杨文斌:基于数字经济下多维因素导致的安全变革
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
基于数字经济下多维因素导致的安全变革
文 | 杨文斌
杨文斌
某电商公司安全管理
12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
随着企业数字化转型不断推进,各行各业都在寻求适合自身的创新发展新模式,将数字技术与传统经济深度融合,有效赋能传统企业数字化转型升级。在数字化转型过程中充分利用云计算、大数据、人工智能、物联网、区块链等数字化技术和能力,彻底改变企业核心业务的商业模式,全方位调动数字化技术对企业进行业务重构,实现技术与业务的新式交互,达成资源的快速优化及经济高质量发展的经济形态,最终向数字经济的新趋势大踏步迈进。经济格局在变,国家、行业的布局在变,必将导致安全的形势随之改变。
为指导国家数字经济的发展,国务院发布了《“十四五”数字经济发展规划》,这是我国数字经济领域首部国家级专项规划。根据规划要求,预计到2025年数字经济将迈向全面扩展期,数字经济核心产业增加值占GDP比重将达到10%。数字经济将处于一个飞奔的时代,经济发展的单脚模式是被约束的,发展和安全必须相辅相成、共同驱动,唯发展思维将会因安全保障缺失影响发展的可持续性,只有双轮驱动、平衡发展才能正向推动数字经济快速发展。
国家在快速发展经济的同时,也在不断完善和加强安全政策支持,特别是《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等一系列法律法规的相继落地实施,进一步完善了我国网络安全合规治理体系,促进了网络安全合规需求的释放,对数字经济的持续发展形成了良好的政策支撑。
通过解读陆续发布的安全法规,可以发现国家安全政策逐渐趋于精细化,也更加关注民生安全保护,企业必须结合自身业务发展场景准确解读安全政策,改变已有的安全策略和制度规范,积极应对数字化风险,保障数字化转型中的新型安全问题及时有效解决。
数字化转型势必会导致企业业务重心发生重大改变,为顺应企业数字化发展战略,企业会调整组织结构,安全领导小组、安全组织等虚拟支撑团队专家组成员变动,安全和业务的关系以及安全的作用会因组织结构的调整发生变化,大到安全负责人,小到一线员工,除了职责和分工有变动外,还有可能会改变原有的安全策略和权限授权变更,导致安全资源的分配和工作推动受影响。
安全工作涉及企业的每个部门和每位员工,会因组织结构调整,原有已建立形成的协同关系和组织链条被打破,已经常态化顺利运行的安全引擎受影响。建议企业在组织结构调整时,尽量确保安全的核心流程和机制不改变,只有保留安全的传承效应,才能以不变应万变,继续赋能数字化转型中业务的向前发展。
数字经济的核心是业务重构,改变原有的业务模式,迎合市场发展的需要,将最优秀的资源投入到发展最高效的业务中去。业务转型需要改变原有的技术架构,使得业务运行更加自动化、智能化、流程化,更加容易满足用户需求和体验。业务的转变必然引发平台的深入调整,进而导致更大规模的功能迭代,除了新技术会引入大量的未知威胁外,还会引发众多的应用安全问题,直接导致安全风险大量增加。
数字化转型同样改变了传统人与物、人与应用之间的访问关系,已扩展到物与物、应用与应用等更加全面的万物互联的新型连接关系,访问主体和客体的多元化导致企业的边界模糊,攻击面和信息不可控,所以在业务转型时更加应该关注安全转型,实时调整安全策略,才能有效助力业务安全转型,平稳落地。
数字经济体现在对数据价值的挖掘,以数据为核心开展信息化、智能化、生态化,企业各方面的数据将不再是静止的、孤立的,需要全面推动数据共享来实现场景联动,建立不同行业和数据的关联关系,最大化挖掘数据价值,数据共享必然存在数据流动,会在传输、存储、使用等数据生命周期的重要环节引发大量的安全问题,在数据安全和个人信息安全等监管严格的形势下,必须建立数据安全流动的有效处理机制,加强数据传输和存储环节的保密性,强化数据使用环节的最小授权管控。
在国际形势严峻的当下,更应该关注供应链导致的数据安全问题,在国际业务供应链环节需严格落实跨境数据的安全管控,在促进国际贸易合作及业务接口数据交互的过程中,应根据国家安全和数据安全政策要求动态调整数据流动策略,明确数据安全级别和使用后果,避免因重要数据泄露引发国家安全问题。
数字经济引发了云环境、远程办公、移动应用等众多不可控的风险场景,在新技术创新推进数字经济发展的同时,也衍生出各种新的安全问题。云环境降低了企业的资源投入和人力维护成本,提高了信息系统的运行效率,但也会有数据不可控、策略不自主等问题,业务托管虽然省心省事,弊端确实也比较明显。疫情形势的持续严峻也造就了适应远程办公的大量解决方案,远程办公人员的不可控因素较多,从终端、权限、网络、身份等方面都需要全方位监管,直接推动了零信任理念的全面绽放,对远程办公各方面的环境、资源和权限进行全方位的分析监管,最重要的是核心安全能力的动态性和持续性。移动应用场景为数字世界开拓了新的商业模式和技术变革,催生了各种提高生活便利性的商业模式,但移动应用也出现了个人信息滥用及负能量导向等各种不安全因素。
新型技术和应用场景的升级必须同步推进安全技术和解决方案的变革,新的技术和场景导致新型的风险,需要加强安全技术研究,开展安全技术创新来应对商业技术的演进,避免安全成为数字经济发展的短板,有效支撑新技术的安全落地。
数字化转型带动业务转型的同时,信息化支撑和安全保障体系也会发生变化,随之对安全人员的专业化能力和岗位职责的差异化也提出了不一样的要求,在安全人才管理阶段,需要加强对人员的入职和离职安全管控,从背景调查、保密协议、竞争协议、人员离开等进行全流程的闭环管控,安全人员在职期间应采取职责分离、岗位轮换,必要时通过强制休假进行人员检查,严格落实岗位职责和权限审查,禁止出现职责滥用、权限交叉等隐患。
企业最大的风险因素是人,制定严格的人员安全制度,预防信息泄露、业务故障等人为安全事件,除了约束外,还应该考虑员工的人身健康和安全,特别是在当下疫情多变的环境下,做好人员流动管控,确保员工身体安全健康。
传统的安全理念已无法应对形势发展需要,需要树立安全无止境的理念,持续跟进最新的技术态势,加强技术创新和场景融合方面的深入研究,在解决存量安全问题的同时,尽量阻止增量安全问题的引入,全面开展攻击面的安全管理,将资产、风险、措施建立形成动态适配机制,瞄准安全痛点问题精准投放资源,避免盲打乱打现象。
安全生态的建设已成为必然,要建立形成全球化安全资源和安全能力深度融合的大安全环境,安全的突破和创新将不再属于独立个体,需要产学研多方位联合推动。安全防护也不再是单独的设备,将是一连串安全能力的封装和编排,根据企业场景需求灵活调动合适的安全能力,充分发挥资源和能力的最大作用和成效。数字经济推动了安全变革,但安全变更更加需要主动出击,超前分析国外已经成熟的安全理念和形势,结合国内政策和文化特色,提前规划布局和创新研究,将安全产业逐步完善壮大。
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚
2021首届诸子笔会
齐心抗疫 与你同在