腾讯安全董志强：四大关键步骤促进数据安全治理闭环，提升企业免疫力

高速发展的数字时代，数据已成为推动产业发展的最重要生产要素之一，真正成为了创造经济财富的数字能源，守护数据资产的安全成为企业高质量发展不可回避的重要命题。

6月13日，腾讯安全联合IDC发布“数字安全免疫力”模型框架，其中指出，企业需要将守护企业数据和数字业务两大核心资产作为企业安全建设的目标，在数据安全治理环节，打造企业数据生态，加速合规数据价值释放，构建数字安全免疫力的“堡垒”。

在技术分享环节，腾讯杰出科学家、腾讯安全云鼎实验室负责人董志强以《数据安全成为企业数字化转型的安全DNA》为题发表演讲，他指出，作为企业数字化转型的安全DNA，数据安全治理需要从数据默认安全内生业务、数据可见、可管可控和智能化运营四大关键步骤促进闭环。

（腾讯杰出科学家、腾讯安全云鼎实验室负责人董志强）

数据安全滞后制约企业数字安全建设

数据安全是当前时代的热点话题，也是所有企业安全参与者关注的重点要素，然而多数企业当前的数据安全体系建设能力不足，对数据泄露的感知滞后。根据腾讯安全与安在联合调研1500位CSO形成的《2023企业安全建设水平抽样调研报告》显示，企业当前安全建设主要围绕网络安全展开，以安全事件应急响应为主，数据治理占比仅为8.4%。

董志强表示，数据安全是组织发展的关键命脉，新时代下数据安全面临着五大挑战：第一，数据安全建设落后于数字化进程，数字安全投入占企业数字化整体投入比例不足5%；第二，数据隐私和合规呈爆发趋势，数据成为企业生命线，处罚风险加剧；第三，数据不可见、数据流动无感知，导致数据泄露频发；第四，新兴威胁导致的数据泄露成为企业数据安全治理盲区，API数据泄露、身份攻击冲击企业数据安全防线，RaaS化导致勒索门槛进一步降低，平均每11秒就有一家企业成为勒索病毒的受害者；第五，企业对于数据泄露后知后觉，缺乏免疫机制。

企业在数据安全体系建设实践中，实现数据与安全同步规划、同步建设、同步使用仍存在困难，当意识到数据安全建设的重要性进行安全接入时，往往安全风险已随处可见。对此，董志强表示，数据安全治理，需要打造企业数据生态，加速合规数据价值释放，构建数字安全免疫力的“堡垒”。

数据安全免疫力打造企业核心资产保护壁垒

董志强指出，数据安全治理建设需要重点关注四大步骤：

第一，数据默认安全，融合到业务。数据安全深入融合业务，需要构建数据默认安全体系，融入企业安全体系设计，其中包括数据传输加密、存储加密等，将数据安全嵌入业务体系可以使组织在一定程度上具备先天的数据安全免疫能力。

第二，数据看得见，数据安全链路流转可感知。针对企业数据、个人数据、行业监管高敏数据等构建看得见的能力，并跟踪数据在企业内外部的流传。数据处于不同业务场景下，对应的安全需求也将产生变化，这就需要对非中心化、非结构化的数据进行分类分级管理。

第三，提升数据保护、防御能力，构建免疫体系。数据安全可被管控，出现风险可被快速处置，在技术能力层面，提供平台和工具为数据安全兜底。

第四，数据安全智能化运营，风险闭环。通过DataSecOps智能化运营，促进数据风险闭环并持续迭代改进。数字化数据安全的核心目标，是“零”起企业级底线保护数据泄露。

通过对自身数据安全实践经验沉淀和能力标准化，腾讯安全打造了包含数据安全中心DSGC、数据安全网关CASB、密钥管理系统KMS、机密计算与联邦学习CCP等几大关键能力，并协同腾讯云各安全能力，形成闭合的数据安全防护网，帮助企业最大化提升安全效益。

此外，董志强表示，企业需要聚焦自身业务需求对自身数据风险承受能力进行评估分析，并根据自身风险承受能力及业务需求制定针对性解决策略，用指标驱动、指标度量驱动业务配合数据安全治理，推动数据安全工作的有效开展。

目前，腾讯安全已经累计为包括数字政务、零售、汽车等金融行业企业客户提供稳定可靠的数据安全产品和服务，未来也将持续在流程体系，包括技术支撑体系及基础能力维度，持续创新，助力数字安全融入企业数字化转型的安全DNA，推动生态数据安全治理可持续。