1月17日，《企业数字安全免疫力建设指南》(下称《指南》)发布暨行业实践研讨会在工信部新闻宣传中心指导下召开。此次会议汇聚了三十余位数字安全行业知名专家、学者及企业领袖，共同探讨数字经济安全未来的行业趋势、变革和应对策略。

当下，数字经济发展提速，随着数据总量增加，生成式人工智能等新技术为数字安全带来新挑战，数据安全问题日益凸显。2023年6月，IDC联合腾讯安全提出以“数字安全免疫力”的新范式应对数字化浪潮与相应的安全风险。这次会议，《指南》以企业客户真实场景、痛点、需求为研究对象，从理念认知、范式重建、量化评估、关键模块以及实践案例等方面，创建一套以数据与业务为中心，统筹发展与安全的方法论、工具集，为企业数字化各阶段的安全建设提供一线指引。

工业和信息化部新闻宣传中心(人民邮电报社)总编辑王保平表示，希望腾讯安全能够聚合行业智慧，为企业提供安全建设的“指南针”和“设计图”，帮助企业打造面向未来、适应发展的数字安全免疫力体系。

数字安全将迎来九大变革

企业数字化发展与安全建设是数字中国蓝图的重要构成部分。随着技术进步，企业安全建设理念从早期的访问控制到防火墙兴起、加密技术、流量分析等技术涌现，再到如今零信任、云安全、智能安全等创新安全理念演进，网络安全防护目标逐渐跳出传统的设备、边界，守护更为复杂和壮阔的网络空间。网络安全的趋势和攻防重点也在持续变化。

就2024年数字安全变革，《指南》揭示了九大核心趋势，包含数据要素x安全、攻防逻辑、网络安全保险模式、网络韧性、融合式风险管理、工业互联网安全、安全边界、云端安全等，点出企业在数字经济时代必须关注和应对的关键问题。

例如，生成式人工智能技术的迅猛发展正在改变传统的攻防逻辑。AIGC不仅使得网络攻击更加复杂且难以防范，还为防御方提供了新工具和手段。如何在新的攻防环境下提升防御能力，是企业面临的一大挑战。

“生成式人工智能滋生了恶意大模型的新威胁，即由非法组织或不法分子操纵，借助开源模型模仿ChatGPT等合法模型，专门用于网络犯罪、诈骗等非法行为，形成‘人工智能+犯罪’新治理挑战，对国家安全、行业创新、生产生活等方面造成危害。”中国信息通信研究院安全研究所高级工程师郑威表示：企业当务之急，是评估当前的网络安全状态，明确企业是否具备足够的安全检测和防御能力，来应对攻击、识别潜在网络安全防御脆弱性，并采取相应的加固措施来积极应对。企业应尽早将生成式AI纳入风险管理目标范围。

《指南》还提出，供应链安全问题正催化企业安全管理模式升级，企业需要建立一套融合式的风险管理机制，以确保供应链的安全和稳定。云端也已成为数据安全重要焦点场景。如何保障云端数据的机密性、完整性和可用性，是企业在上云过程中必须重视的问题。

就供应链安全问题，OWASP中国上海区域负责人、观安信息战略部安全专家王文君表示，供应链安全的一个重要驱动力是合规驱动，政策层面已在做出规范，层层递进至具体落地时，一部具有实践意义、实操价值的指南则非常重要。就云安全挑战，郑威则指出，企业上云面临更大的网络攻击暴露面、API接口攻击暴增、数据泄露及丢失严重等挑战。以汽车数据上云为例，潜在的数据安全问题包括车辆本身安全风险的问题以及用户隐私外泄等。企业系统上云的安全防护策略需结合云计算特点，构建一套基于技术和管理两大层面的安全防护策略，通过加强对云端访问控制，并加强账号和权限管理、API管理、安全开发及系统漏洞处置等保障云安全。应对汽车数据安全问题，应打造完善的数据安全防护体系，在搜集、获取、存储数据时必须确保数据安全并做好监督管控。

此外，《指南》认为数字安全变革核心趋势还包括“数据要素x安全”被视为数字经济繁荣发展的基石、网络安全保险正成为风险共担的新模式、网络韧性受重视程度超过传统的“刚性”安全理念、新的安全边界理念正在逐步形成等。整体看，面临新技术和新形势带来的挑战，企业建设数字经济安全免疫力的紧迫性愈加突出，企业需深刻认识新技术的双重影响并警惕潜在安全威胁，采取有效措施应对智能化攻击的挑战。

四个核心重建安全范式

应对数字安全问题，目前行业模式仍有局限性。王保平表示，在传统的网络安全理念中，常常“以已知应对未知”。这意味着防御者需要依赖有限的技术、产品和实战经验，来对抗未知的攻击者和攻击方式。但在不断变化的网络威胁面前，这种方式往往显得被动和力不从心。

《指南》认为，数字安全行业需要从被动防御转向主动预防和持续监测，从单一维度到多维度防护，全方位实现范式升级以适应新的威胁和技术环境。企业的数字化发展与安全建设，亟待破除安全的“成本中心”思维，用发展的眼光看待安全，建立发展与安全融合的“发展驱动”范式。安全是发展的前提，发展是安全的保障。

数字安全免疫力框架提供了以“发展”应对“未知”的全新视角。通过持续发展和创新，企业可获得更有效的“免疫抗体”，从而更早地发现、处置和消灭潜在