数字安全能力模型的研究基础,是数世咨询于2020年首次提出的网络安全三元论。三元素分别为网络攻防、信息技术和业务场景。数据成为第五大生产要素标志着数字时代来临,网络安全三元论在2023年进行了更新,升级为以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即“三元一核”的数字安全三元论,以适应数字中国建设的进程。
综上所述,数字安全的3个元素分别为安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力及数字资产的服务对象,而数据安全则是数字安全三元论的核心目标。对于这四者间关系的深度理解和相关技能的掌握是做好数字安全工作的关键,“三元一核”的数字安全三元论如图2-1所示。
图2-1 “三元一核”的数字安全三元论
数字资产是以二进制形式存储、有商业或交换价值的资源,安全能力用以预防和防护,其核心价值在于维持数字资产长期的、基础的安全,如云安全、移动安全、工业互联网安全。从工程科学的角度来看,网络安全的理论基础来源于计算机科学、通信学、密码学等。
数世咨询:“不清楚保护对象,何谈保护。”
安全能力服务于数字活动,主要体现在降损和增值。
服务则超越了基础的安全保障,其核心价值体现在降低数字活动中出现的损失,以及增加数字活动的价值,如抵御拒绝服务攻击、反欺诈等可大幅度减少业务损失,安全的手机、智能汽车等算力终端则可提高产品竞争力,数字活动有了安全保障得以健康、良性地发展。保护是纯粹的成本中心,服务则能降低损失和增加价值,间接带来效益转化。
数世咨询:“安全价值论——数字安全的三大价值依序为安全保障、降损和增值。”
安全价值论示意如图2-2所示。
图2-2 安全价值论
数字资产服务于数字活动,其价值主要体现在降本、增效和创新,属于更加直接的效益转化。
无论是对数字资产的保护,还是对数字活动的服务,其核心目标都是在 合理安全 的前提下,将数据的价值最大化。对数字资产的保护是为了更好地服务数字业务,而数字业务的价值主要由“合理安全”的数据流动来体现。
此处的“合理安全”是相对于“理想安全”提出的,是指在考虑了风险容忍度和业务需求迫切度两者之间的平衡之后,所需要具备的安全能力。