奇安邬怡以系统工程方法筑牢企业数字化转型安全底板

7月1日，在2022息安全高级论坛暨RSA热点研讨会上，奇安集团战略咨询规划部副总经理邬怡表示，息技术与业务运营深度结合、融为一体，企业业务运营高度依赖IT的稳定运行，网络安全风险等同于业务风险。

“安全正在从底层基础架构，向应用、业务方向进行深度融合、覆盖。”邬怡表示，从2018年到今年的RSAC安全主题演变发现，安全的重点从基础安全，逐步向数据安全、供应链安全、身份安全等方向转型。这一转变的背后，数字化的影响是不容忽视的。

数字化成为当今世界转型升级的新动能，对于企业来说，数字化转型是企业经营管理模式的全面变革，需要全体人员的共同参与。根据IDG对全球领先的702位IT和商业决策者调查结果显示，企业的数字化转型将为企业带来员工生产力的提升、数据驱动业务价值提升、客户体验提升等8方面的价值。

网络安全是数字化转型成功的关键，不安全，则无业务。邬怡指出，企业网络安全体系建设是数字化转型的“底板工程”，网络安全是业务发展的前提。“数字化业务运营高度依赖IT的平稳、可靠运行。这也意味着，当业务与息化深度融合，网络安全风险等同于业务运营风险。”

邬怡表示，十四五时期，网络安全已从“配合”逐渐升级到与息化同步规划建设，形成独立的主线。

从安全管理模式来讲，企业的网络安全管理模式将从“被动”的配套模式升级为以“三同步”为原则的体系化规划建设模式；从安全能力上来讲，应从零散演进到体系化，实现安全能力可扩展、可集成、可协同，关注体系化作战和持续的安全效果；从建设模式来看，从此前的产品独立部署转变为深度结合、全面覆盖，通过实战化运行将安全融入IT 工作，开展常态化保障数字化业务运营。

邬怡还总结了数字化转型阶段，安全管理理念的四个变化

•一是安全“损失”的含义发生变化数字化阶段，网络安全损失从息资产损失提升为业务运营价值损失，同时企业还可能面临法律责任风险，网络安全风险可能会导致“一失万无”的严重后果；

•二是管理理念发生变化从息化初级阶段的合规管理、息化高级阶段的风险管理，转变为数字化运营阶段的“三同步”；

•三是安全假设发生变化“边界之内皆安全”的假设已不再成立，新的安全假设将更加有效的牵引安全防御措施设计，帮助防守方识别及保护战术目标，并提示防守方明确战略任务保障措施；

•四是，要完善网络安全“防御姿态”管理其关键是要以体系化技术防御为支撑，形成常态化运行机制、关键要把安全运行工作条令化（SOP）、安全团队建制化，从而形成可持续性防御能力，做到“随时能战、战之能胜”，从而达到保障业务的目标。

面对数字化转型下的诸多变化如何最终落地，邬怡表示，应从安全规划视角，以系统工程方法支撑顶层规划，将息化和安全在各个层面和各个角色对齐，促进安全内生于息化，以网络安全规划为指引进行安全能力叠加演进，实现网络安全与息化“三同步”的建设模式，确保安全能力与息化的融合。