加强企业数字安全免疫力，助力数字时代下的韧性发展白皮书

Contents IDC观点01 第一章加强数.字安全免疫力刻不容缓03 1.1企业正面临日趋复杂的安全威胁03 1.2构筑数字安全免疫力大势所趋07 第二章筑牢数字安全免疫力13 2.1痛点：企业安全体系建设中的关键挑战13 2.2破局：构建数字安全免疫力体系15 2.2.1文化与意识：建立上下一致的认知，形成统一有序的行动15 2.2.2边界安全：夯实安全基础防线，守护不断扩展的边界16 2.2.3端点安全：填补端点安全间隙，构筑多形态环境安全17 2.2.4应用开发安全：降低修复成本，推进安全左移18 2.2.5安全运营与管理：打造统一、可视、主动、协同的安全运营18 2.2.6数据安全治理：打造企业数据生态，加速合规数据价值释放19 2.2.7业务风险治理：健全风险管理体系，兼顾风险与效率平衡21 第三章数字安全免疫力的实际应用22 3.1数字安全免疫力模型的主要应用场景及最佳实践22 3.2构建企业数字安全免疫力行动指南与现状评估32 第四章IDC建议37 4.1企业用户：持续完善数字安全免疫力基础框架37 4.2安全服务厂商：围绕数字安全免疫力推动行业赋能38 IDC观点 企业数字化进程在带来敏捷、开放的创新环境的同时，也增加了更多多样和不可预测的安全风险，从而导致后果严重的安全事件，给企业的业务和运营带来全方位的冲击。 随着云计算、大数据、AI、物联网、区块链等技术的飞速进步，企业数字化体系的边界在不断拓展，创新活动成为常态。尽管企业已经普遍开展安全建设，但面对来自数据、业务等维度的新挑战，企业的安全应对能力常显疲态。 企业应从传统的、基于攻防和事件的被动安全模式，转变为面向未来部署和企业长远发展的安全模式，构建起全面的、基于风险与合规的安全体系⸺即仿照人体用于抵御疾病的免疫力系统，构建数字安全免疫力体系，建立前瞻性的安全理念，从“治已病”发展为“治未病”，并在面临多维威胁时，可以更加及时地启动体系化的抵抗和防御机制，有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。 IDC认为： 企业数字安全免疫力包含了先天性免疫力和适应性免疫力两大部分，对于维护企业健康、高效发展具有至关重要的作用。企业在构建数字安全免疫力时，应从文化与意识、边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理7个维度进行综合思考，形成体系化的能力模型，为企业未来的数智化创新发展保驾护航。 企业安全免疫力建设的痛点主要集中在组织与人员、技术、流程运营三个层面，包含理念、价值理解以及执行过程中的一系列问题。企业应充分利用数字安全免疫力模型，提升对政策要求的理解，坚守合规底线，建立数字免疫红线；让安全的价值更加显性化，呈现数字安全免疫力价值；辩证地处理安全与效益问题，提升数字安全免疫力的影响力。 01 企业应坚持技术创新与合规建设并行，不断引入自动化、智能化的手段，持续提升企业安全建设的效率和标准化水平；同时，充分借助外脑和外部力量强化自身免疫体系。安全厂商也应该持续积累行业安全经验，为企业提供全方位的体检和加固服务，帮助企业完成合规和安全方案持续优化。 本白皮书归纳出面向CISO和安全负责人以及执行人的评估问卷，以帮助企业了解自身免疫力现状。同时，白皮书还提供包含“体检”“疫苗”“生活方式”在内的系列行动建议，围绕云原生、零信任、安全运营、数字安全、金融风险等场景，给出了提升数字安全免疫力的最佳实践，以帮助企业更好地推进数字安全免疫力建设，借助强大的免疫力“韧性”抵御未知风险。 02 1.1企业正面临日趋复杂的安全威胁 第一章 加强数字安全免疫力刻不容缓 图1企业安全建设的主要驱动力 来源：IDC，2023 在数字经济高速发展和数实融合不断迈向纵深的今天，企业安全正面临着前所未有的挑战。这些挑战给企业的业务和运营带来全方位的冲击，甚至已经关乎企业的生存基础。数字化进程一方面推动企业变得更加敏捷、开放，另一方面也使得安全风险更加多样和不可预测，导致更为严重的安全事件。企业在面临数据泄露、业务停滞等危险的同时，声誉也将受到重创。 安全事件层出不穷 业务数字化发展迈向纵深监管力度逐步攀升 信息泄露事件频发，企业蒙受经济和声誉双重损失 数字经济大背景下，数据逐渐成为企业的核心资产和关键生产要素，数据既是企业产生价值的源头，也是承载价值的本体。根据IDC统计，2021年，全球创造了84.4ZB数据，预计到2026年，全球数据量将达到221.2ZB，年复合增长率达到 21.2%。正如一位企业安全负责人所言：“数据在哪里，价值就在哪里，攻击就在哪里。”数据价值的显露引发大批黑色产业的觊觎。攻击者通过爬虫、木马、漏洞等技术手段，结合社会工程学方法进行拖库、撞库，实施勒索，频繁攻破企业的安全防线，给企业带来惨痛经济损失的同时，也使企业面临严重的法律风险和社会舆情压力。IDC数据显示，早期企业遭勒索金额平均在100～200美元之间，而到2021年，此类攻击导致的经济损失已达到百万美元级别。 图2全球重大数据泄露事件概览，2018-2022 万5亿豪条喜达屋酒店 大3.4数亿据条公司Exactis 83亿条 移Ad动va运nc营ed商WirelessNetwork 生10物亿识条别数据库Aadhaar 俄20罗TB斯石油公司德国分部日1.4本T电B装德国分部 电17子.5商亿务条集成商Hariexpress 安50全亿公条司KeepnetLabs 电20子0G设B备三星 社7.5交亿平条台LinkedIn 社5.3交亿平条台Facebook 饮16料1G公B司可口可乐 社2.8交亿游条戏公司Zynga 运1.5动亿装条备企业UnderArmour 持7.7续亿集条成服务商TravisCI 化4.4妆亿品条巨头雅诗兰黛 视1.6频亿消条息服务Dubsmash图1.3形9设亿计条工具网站Canva金1.0融6控亿股条公司CapitalOne 2018 2019 2020 2021 2022 虚69拟00宠万物条社区Neopets 电98信0万运条营商Optus 虚54拟0万宠条物社区Twitter 来源：IDC，2023 在中国，数据泄露事件同样频发，威胁着社会和企业的稳定健康发展。以中国本土某车企为例，在遭遇大规模用户数据泄露后，还面临攻击者的勒索要挟，使企业遭受巨额索赔和名誉受损等多重损失。总体来看，外部攻击、内部泄露以及系统和设备本身的漏洞是造成数据泄露的主要原因。 大量潜在的复杂攻击，导致业务数字化面临多重威胁 伴随业务的数字化发展，数字化与业务融合所产生的全新类型的风险越来越多，企业业务安全直接面临安全大考。某种意义上说，依托互联网产生的商业服务行为几乎先天与网络风险以及网络欺诈相伴。例如，在数字支付所支撑的电商交易过程中，个人用户的身份信息经常被冒用，并由此产生一系列非法的操作；在企业利用数字化拓展办公空间以及承载跨地域业务时，身份欺诈行为可能带来大量的、难以预测的风险。在美国，根据联邦调查局发布的《2022年互联网犯罪报告》，2022年的金融欺诈攻击行为相较前一年增加了64%。 在数字化环境下，大型企业内部复杂的账号体系管理、计划执行、运营活动等过程成为业务安全的重点关注对象。数字化运营是企业安全保障的重心，特别是在与互联网密切相关的大量数字化原生企业中，运营活动通过互联网触达海量的个人用户群体，每时每刻都在面对虚假注册、刷单、恶意操作等大量不可预知的行为。此外，如果企业内控体系不够健全，流程不够完善，很容易出现业务上的漏洞，可能造成无法预知的巨额损失。 此外，一些具有极大经济价值的大型企业机构，还可能会长期遭受APT（高级可持续攻击）的威胁。这些有组织的、针对特定对象的持续攻击活动，综合运用组织、技术、社会工程学以及供应链等组合手段，具有极强的隐蔽性和不可预测性。此外，以ChatGPT为代表的AI技术的加速进步，也将使攻击行为和攻击规模变得更加巨大且难防。 日益提升的数据安全和隐私的保护意识 面对日益严重的企业安全威胁，各级政府和社会机构都在持续推动相应的立法行动和组织协同，旨在强化包括数据安全在内的体系化安全监管和执法能力，提升全民的信息安全和隐私保护意识。对企业来说，这既意味着在日益健全的法规框架下，监管将更加严格，企业安全的责任也更加重大，同时也意味着在出现安全事件后，企业面临的潜在处罚将更加严厉。 中国：2017年6月1日《中华人民共和国网络安全法》正式实施，规定了网络运营者、网络产品和服务提供者等主体的义务和责任，以及网络安全的管理和保护措施；对个人信息的保护也提出明确要求，违反《网络安全法》相关个人信 息保护规定的企业或个人将受到不同程度的处罚。此后，《中华人民共和国数据安全法》（2021实施）、《个人信息保护法》（2021颁布）等法律法规相继出台，加快推动围绕网络空间、数据、个人信息隐私的法治化建设进程，初步形成了以“有法可依”为基础的全面体制、机制保障。2019年12月1日，国家发布了《GB/T22239-2019信息安全技术网络安全等级保护基本要求》（后文简称“等保2.0”），配合法律层面的要求，对网络安全等级保护进行了拓展和外延。此外，为了以更统筹的方式推进数字中国的建设，2023年3月，我国明确组建国家数据局，进一步兼顾发展与监管的平衡，在与企业相关的数据安全、数据资产管理、数据交易等领域，探索出更加符合当前形势的新体制、新模式。 面对威胁升级，企业将持续增加安全投入。IDC数据显示，2022年全球网络安全整体投资规模为1,955.1亿美元，并有望在2026年增至2,979.1亿美元，五年复合增长率（CAGR）达11.9%。中国网络安全市场也保持高速增长态势，预计到2026年，中国网络安全支出规模预计可到288.6亿美元，五年复合增长率将达到18.8%，增速位列全球第一。 世界：欧盟在2018年推出了更为严格的《通用数据保护条例》（GDPR），对已有的数据保护制度进行扩展，以确保公民拥有更多的个人数据方面的权力，加强数据服务商与服务对象之间的互信，为企业开展数据服务提供更加明确、规范的法律依据。GDPR不仅适用于欧盟境内的企业，还适用于任何涉及对欧盟居民数据进行使用的企业。对不合规行为的处罚力度最高可达公司全球营业额的4%。此外，美国也相继推出了HIPPA、萨班斯、芯片法案等一系列法律文件，对与信息安全有关的诸多领域进行了严厉的法律约束。 图3中国网络安全市场支出预测，2022-2026（$M） $30,000 单位:百万美元 $20,000 30.0% 20.0% $10,000 $0 2022 2023 2024 2025 2026 10.0% 0.0% 网络安全市场支出YoY 来源：IDC，2023 1.2构筑数字安全免疫力是大势所趋 企业安全理念的变化 企业信息安全领域经过多年的发展，形成了很多较为稳定、成熟的企业安全架构和安全合规体系等框架和模型。但是随着云计算、大数据、AI、移动办公、物联网、区块链等技术的飞速进步，企业数字化体系的边界在不断拓展。为了应对日益加剧的市场竞争，企业不断开展业务创新活动。围绕数字化体系的敏捷、高效、灵活等要素，都对企业提出了更高的要求，传统“亡羊补牢”式的安全战术会令其面临巨大的挑战。企业的安全眼光不应再局限于一时一事的具体事件层面，拘泥于传统基于攻防和事件的被动安全模式，而是需要开始转变为面向未来部署和企业长远发展，以构建起完整的、基于风险与合规的安全体系。企业应建立前瞻性的安全理念，从“治已病”发展为“治未病”。 新冠肺炎疫情等突发事件让整个社会深切地认识到，当“特效药”缺席时，群体和个体自身的免疫力显得尤为重要，免疫能力高低很大程度决定了身体在应对疾病威胁时的应对能力和结果表现。 图4数字安全免疫力及价值模型图 和生物体一样，企业也正面临一个更为复杂多变的时代：宏观环境不可预测，业务模式不