2023年6月17日，第三届数字安全大会在北京隆重召开，本届大会由数世咨询、CIO时代联合主办，新基建创新研究院作为智库支持。本次大会吸引了来自全国各地500多位行业CIO和网络安全负责人、白帽子及主流安全厂商到场，同时当天有近万人通过线上观看此次直播盛会。

数字时代“安全”成为CSO们的“核心关注”，腾讯安全数据安全商业化总监徐展以《加强数字安全免疫力，促进数字化时代韧性发展》为主题分享，指出“数字安全免疫力”，就像我们依靠运动锻炼身体、依靠注射疫苗提前应对疾病、遇到疾病要把握底层原因对症下药一样，数字安全免疫力理念推崇更积极、主动的安全观，用“治未病”的理念替代“治已病”。

腾讯安全数据安全商业化总监徐展

第三届数字安全大会演讲精华

以下为演讲实录摘要：

我们已经从信息化时代，过渡到数字化时代，进入到当前的数智化时代。在过程中，企业对于安全建设的驱动力发生了显著变化。

以前，我们把信息当作孤岛，只有在被攻击后，才考虑安全建设。进入数字化时代，随着云计算、物联网等应用的普及，企业面临更复杂的风险，而安全建设的动力更多来自于法规监管和防御攻击的需求。进入数智化时代，AI和大数据模型的应用使企业流程智能化，机器在企业决策中的作用越来越大。这时，我们必须构建一个新的安全范式，把安全与发展紧密结合。

腾讯安全联合安全媒体对1500家企业进行了调研，发现存在两个问题。第一，大部分企业在数字安全的投入上严重不足。第二，大部分企业对于安全建设的理念落后，对自身的安全建设评分低于60分。

腾讯在过去20多年的发展过程中，积累了丰富的AI能力、威胁情报能力和人的攻防能力。我们建议，企业应该以数据和业务为中心，构建一个包括数据安全堡垒、业务安全堡垒以及安全运营闭环的安全免疫力框架，同时在外围设立三个免疫屏障，以产品技术为导向，通过持续的迭代和完善，构建出全方位的安全防护体系。

数据安全已成为企业发展的关键。面临的挑战包括：数据安全建设滞后于数字化进程;数据隐私和合规压力增加;企业的暗数据增多，导致数据泄露;新的数据威胁，如API泄露，身份攻击和勒索攻击;以及企业对数据泄露的反应迟缓。

为应对这些挑战，腾讯安全提出一个数据安全免疫力框架，包括四个方面：

一、数据默认安全：将数据安全和整体安全建设视为一体，从业务建设初期就考虑数据全生命周期的安全防护。

二、数据看得见：能看到并跟踪数据在企业内部的流转，给数据打上标签，使其流向可追踪。

三、数据保护、防御能力：构建能管控风险并能处置的数据安全体系。

四、数据安全智能化运营，风险闭环：通过DataSecOps数据安全运营体系，做风险闭环，做持续的检查、核查，不断完善风险能力。

根据不同的业务场景，采取相应的安全免疫力建设方式，包括数据防泄漏、加密、零信任、数据分类识别、脱敏等策略。同时，也要建立数据治理的框架，对数据安全进行评估和风险排查，贯穿数据安全建设的每一个流程，并保证数据安全建设的方法的有效性。

腾讯安全中心将数据安全作为关键度量指标进行数字化，以此驱动各部门进行数据安全建设。我们的数据运营安全体系涵盖了数据全生命周期，包括生产、传输、存储、防护和保护。

我们也制定了一套数据安全运营保障体系，通过政策和流程机制，以及巡检机制等手段，来确保整个数据安全的目标得以实现。

在数据跨境治理方面，我们在数据出海前后均进行评估和保护。数据跨境前，我们对数据进行分类分级，以快速评估;数据跨境中，我们通过数据细密度的全监管，梳理不必要的访问，实现敏感数据的加密和脱敏;数据跨境后，我们通过持续识别数据跨境风险，达到全流程闭环。

腾讯安全也构建了基于数据安全治理、隐私计算、机密计算平台的风险治理框架。我们希望通过持续的流程保障，底层核心能力的建设，来不断完善自身的数据安全能力建设，助力整个行业的数据生态安全建设。