下载掌阅APP,畅读海量书库
立即打开
根据数字安全三元论,结合当前我国数字安全的技术发展与市场应用现状,为了给有关部门、相关机构、学术单位和各行企业在建设数字安全能力的过程中提供一种参考模型,同时也为了给他们评估自身数字安全能力建设的成熟度提供一套参考指标,数世咨询开发了数字安全能力模型。
本书主要介绍数字安全能力模型的框架部分,使读者对数字安全能力模型拥有初步、整体上的认识。关于数字安全能力模型的指标体系和具体内容,数世咨询将会在后续蓝皮书中作详细介绍。
数字安全能力模型主要根据数字安全三元论中的安全能力、数字资产、数字活动和数据安全间的关系演变而来,再结合组织在实际生产经营过程中需要遵循和适配的国家法律法规及商业规则,最终形成以合理控制数字风险为导向、以促进组织发展为目标、以服务业务运行为前提、以保障数字资产为基础的数字安全能力模型,具体如下。
所有数字安全的决策和控制都要贯彻合理控制组织数字风险这一思想。合理主要指保证风险容忍度和业务需求迫切度两者之间的平衡。数字风险主要指可能会对组织在数字世界中的影响力、信任度和服务体验产生的积极或消极影响。
数字安全能力模型的目标是为组织提供数字安全能力建设的决策参考、数字安全能力建设成熟度的评估参考、建立沟通与合作的语系,最终通过数字安全能力的有效应用来保障、促进组织在数字世界中的可持续发展。
促进组织发展的核心是保障数据有效、高效地流动,将数据要素的价值最大化释放。
对组织而言,数字活动是以数字业务为前提的。没有业务运行,任何机构和组织就没有了成立的意义。安全能力服务于数字业务,核心价值体现在降低数字业务中的损失,以及增强数字业务的价值。
数字活动的开展依赖于数字资产提供的算力环境、网络环境、应用环境和数据资源,数字资产是数字安全能力最终的作用对象,保障数字资产的安全性、稳定性和可靠性是开展一切数字活动的基础。
图2-3所示的数字安全能力模型由“一面两环”构成。
图2-3 数字安全能力模型
(1)一面
“一面”主要指数字活动风险面,由“一左”(软件供应链)、“一右”(数据)、“一点”(端点)、“一线”(数字基础设施)、“两合规”(法律法规要求、数字化战略规划)组成。
(2)两环
“两环”的关注对象为数字安全威胁和数字业务风险,主要表示基于持续评估和风险优先级理念的安全运营。
对于数字安全能力模型的整体框架,可以从以下4点进行系统性的理解。
由于数字安全的特殊性,合法合规永远是数字安全能力建设的第一驱动力。法律法规制定的是安全底线,符合法律法规的要求是数字安全能力建设为组织提供的一种价值。合法合规不仅能为组织提供基础的安全能力,最重要的是还可以免于行政和刑事处罚,为组织提供长久且健康的经营环境。
同样,由于数字安全的发展在很大程度上依赖于政府部门的推动,所以可根据政策指引适时地研究或采用与政策相关的数字安全技术,组织在承担社会责任的同时还可以享受政策红利,如获得政府专项基金支持或者参与重大课题研究,这是利用数字安全能力为组织获得资源的一种方式,同时也是提升品牌影响力的一种方式。
除了合法合规,组织的数字化战略是数字安全能力必须严格适配的方向。数字化战略决定了组织的数字业务发展和数字技术应用,而数字安全能力依赖于数字技术来服务数字业务。适配数字化战略的数字安全能力才可以起到促进组织发展的目的,达到充分发挥安全能力的积极作用。
法规遵循与战略适配是数字安全的基石,是支撑其他层面正常运行的基础,同样也融入了其他层面。
法规遵循层面的能力和指标,主要依据与数字安全密切相关的法律法规要求及国家相关部委和有关部门出台的全国性政策。按照法律法规的条款提供能力与指标参考项,使组织在经营活动中满足各类法律法规的不同要求,严守合法合规底线。根据政策指引方向提供能力和指标参考项,使组织在经营活动中与政府形成良好的互动关系,同时获得最大限度的政策支持。
战略适配层面的能力和指标,主要依据数字安全能力支撑组织开展业务规划的适配性与经济性。按照组织开展业务规划的技术应用与安全要求制定指标项来评估安全能力,使组织在开展业务规划时拥有相适应的安全能力并且最大限度地减少资源投入。
数据要素在数字资产和数字业务应用间流动,即形成了不同场景的数字业务。根据数字安全三元论,数字业务是数字安全能力的服务对象,有效服务于数字业务才能使数字安全能力发挥出最大的价值。
数字业务由运行的数字资产和流通的数据要素构成,服务数字业务要保障数字资产、数据要素流通和业务应用的安全性,同时统筹安全与发展间的关系,利用数字安全能力使组织获得利益最大化。
数字业务的能力和指标主要依据数字资产保障的要求、数据要素流通的过程和业务应用的逻辑流程而制定。按照数字业务高效、稳定、持续运行的标准,将数字安全能力、数字技术和数字业务逻辑相结合,为不同功能的数字业务提供相匹配的数字安全能力,充分发挥出数字安全的价值。
数字安全能力在服务数字业务的同时,需要有效并安全地利用AI,贯穿整个服务过程。由于网络攻击的高速性和廉价性,攻击的对象和数量在以几何级数增长,这个数字终有一天将庞大到无法描述。面对海量的安全数据,仅依靠人工的方式进行安全分析无疑是天方夜谭。只有对AI与数字安全能力进行有机结合,提高对威胁与风险的推理和预测能力,才能体现数字安全能力的高效性。
AI与数字安全的有机结合主要包括两部分。一是提高AI本身的安全性,解决包括AI伦理、AI模型投毒等方面的问题等;二是通过与AI的结合实现更为智能的数字安全能力。
数字资产的运行使其内外部环境不断变化,数据要素的流动使其本身不断变化,业务应用的更新迭代使其涉及的一切都在不断变化,所以数字安全能力也需要随着不断变化的数字业务不断变化,而使其不断变化的关键就是有效的安全运营。
在数字世界中,当组织具备了对威胁进行主动防御的基础能力之后,会自发产生更高阶的需求,目的是有效、合理地控制合规风险及业务风险为组织带来的不可预知的负面影响,即进入以风险驱动为核心的完善调优阶段。
风险驱动的重点是要把握好两个层面。首先是理念层面,即对风险的认知。组织需要具备良好的安全文化,要非常清楚地认识到:“风险永远存在,因此要时刻对未知有所准备。而资源永远有限,只有将有限的资源投入最重要的工作,才是应对风险的合理之道。”
然后是技术层面,即对风险的控制措施。对此,数世咨询提出“基于持续风险评估和风险优先级排序”的理念,由此理念衍生出“持续风险评估定义安全运营”“数字风险优先级”。前者是指对安全运营效能进行持续性的测试、验证与度量。后者是指对数字资产的重要程度、脆弱性的可利用程度及自身资源的支撑能力和业务紧迫性进行综合性的考量与平衡。
基于持续风险评估和风险优先级排序理念的安全运营包括5个要素,即平台、人员、工具、管理和流程,通过这5个要素,数字安全能力时刻匹配不断变化的数字业务需求,保证安全能力的有效性。数字安全能力如果与数字业务的需求脱节,组织在数字安全能力相关方面的资源投入将会化为泡影,甚至将阻碍数字业务的发展,给组织带来合规和经济利益上的灾难性打击。
数字安全能力的有效性靠安全运营来实现,而安全运营的有效性,则以持续的安全验证为支撑。安全运营是否让数字安全能力真正做到了时刻匹配不断变化的数字业务需求,是否能承受风险发生的后果,唯一的检验标准就是通过实战化的手段模拟各种可能出现的威胁。
同样,安全运营也需要有效并安全地利用AI,通过相应场景的专项计算模型对海量安全数据进行处理,提高对威胁与风险的推理和预测能力,可以使安全专家从繁重的工作中解放出来,将精力投入更具挑战性的工作。
安全运营不是纸上谈兵,威胁无处不在,风险一旦发生将会对组织产生实质性的影响。无效的安全运营将会使数字安全能力成为彻头彻尾的花瓶,如果最终数字安全能力与数字业务的需求相悖,会造成不可预知的后果。