黨的二十大報告提到，要加快建設網絡強國，推動形成良好網絡生態。數字化時代，數字技術作為世界科技革命和產業變革的先導力量，日益融入經濟社會發展各領域全過程，迫切需要統籌業務發展，構建數字化安全能力。

作為網絡安全企業，天融信面向數字基礎設施、產業數字化、數字產業化、數字化融合的業務安全保障需求，倡導數字化安全理念，以“數字融合、安全共生”為目標，創新提出“業務生態安全、管理一體安全、能力聚合安全、運營閉環安全、創新融合安全”的數字化融生安全框架，助力客戶規劃建設數字化安全體系，有力保障客戶數字化融合轉型的安全有序和高質量發展。《數字化融生安全框架》系列文章第二期，聚焦為數字化安全建設確立戰略目標的數字化業務生態安全，探討構建匹配數字化的業務生態安全能力，為加速適應數字化的業務生態安全建言獻策。

數字化融合轉型過程中，隨著IT改革、互聯網+、數字化轉型不斷深化，IT數字化、智能化轉型加速推進，IT技術及業務模式發生了較大變化，使得各單位網絡架構趨于復雜，尤其是IT基礎架構云化、容器化、業務支撐能力中臺化以及云計算、大數據、AI等新技術密集應用，使得傳統安全管理和防護出現木桶效應，從網絡接入、內容生產、網絡傳播、社會動員等方面和環節，給意識形態安全帶來數字化的風險和挑戰。在攻擊手段方面，利用漏洞實施的數字化鏈式攻擊也更加頻繁。數字時代的安全問題已從網絡空間向物理世界延伸，嚴重阻礙數字化業務創新發展。

“發展”呼喚數字化業務生態安全

國家“十四五”規劃提出，要推進產業數字化和數字產業化，營造開放、健康、安全的數字生態。據《IDC FutureScape：2023年中國數字化業務十大預測》報道，2023年將成為企業數字化轉型的拐點，即企業從數字化轉型時代進入到數字化業務時代，如何在數字化業務時代構建未來業務新生態和價值鏈，實現業務生態系統可持續發展是所有組織的訴求。這就必須充分考慮業務的數字化創新融合、泛在化安全風險、生態化體系安全要求，構建匹配數字化的業務生態安全能力，筑牢數字安全屏障，護航數字經濟發展。

●數字化創新融合

數字化發展加速驅動網絡空間與物理世界一體化融合。從網絡安全發展的脈絡看，安全伴隨信息化、網絡化、數字化發展正在同步快速演進，網絡安全技術與數字技術的迭代創新與融合應用，驅動安全概念數字化升級，將安全作用域拓展延伸至數字業務、應用場景等數字化融合領域。

●泛在化安全風險

新技術、新應用正在促進人類以前所未有的自由度來構建、匯集、整合和連接存在于任何地方的各類資源，形成數字泛化的智慧世界，泛在終端、泛在連接、泛在云網、泛在應用、泛在服務等組成的泛在信息資產帶來了數字安全風險的泛在化，必須得到最有效的安全保護。

●生態化體系安全

結合國家總體安全觀，數字化安全是不同領域風險交織融合的結果，是傳統威脅和非傳統威脅的辯證統一，安全問題從最初單一的技術問題演進成為具有高度整體性與系統性的問題，體系化管理泛在化的數字安全風險，已經成為企業和消費者最優先的需求之一。發展數字化業務生態安全，成為落實國家創新產業安全競爭力的重要載體和保障數字化發展安全的新引擎。

“生態”需要數字化安全治理推進

數字化安全治理是推進數字化業務生態安全的重要理念，是建設數字化安全體系的戰略要求和首要考慮。其推進要依托數字化的協同、監督、策略、評估等安全工具和能力，建立安全合規基線并持續完善。首先，要以數字化手段替代人工協同方式，提升組織協調有效性；其次，要以數字化評估工具輔助人工評估過程，提高合規管理效率；再次，要應用數字化安全治理規劃工具，促進安全策略的貫通和落實；最后，要使用數字化監督指標體系替代人工、粗線條的監督與評價，優化監督和評價方法。

“治理”提升數字化安全體系能力

數字化安全的本質是通過采取必要措施，防范網絡物理融合空間的攻擊入侵、干擾破壞和非法使用等風險，增加數字化業務預防、抵御、恢復、適應的安全彈性。數字化業務生態安全建設要從保障業務發展、安全合規遵從、安全風險防控多角度出發，建立“業務驅動+風險管控+合規遵從”的數字化安全治理能力。

●業務驅動

業務驅動是從組織的業務戰略和數字化變革出發，有利于充分利用組織的現有資源來滿足關鍵需求，從而避免建立的安全系統無法有效支持組織的業務決策。業務驅動的數字化業務生態安全，是以泛在的數字化資產保護需求和合規要求為輸入，結合安全風險策略，按照規劃建設、實施運行、監視評審、保持改進的信息系統生命周期，部署適配數字化風險的安全管理措施和技術措施，構建自適應的縱深防御體系。

●風險管控

資產與風險是天生矛盾的，資產價值越高，面臨的風險就越大。數字化泛在信息資產有著與傳統資產不同的價值特性，安全風險管控的目的就是按照避免、移轉、降低、接受的安全策略評估安全風險，緩解和平衡這一對矛盾，將風險處理到可接受的程度，保護數字化業務及其相關資產。具體的數字化安全風險評估過程需要貫穿信息系統生命周期的全部過程，仍然可以按照國家標準通用的對象確立、風險評估、風險處理、審核批準、監控與審查、溝通與咨詢六個過程進行開展。

●合規遵從

安全合規遵從包括法律法規、管理制度、監管要求、標準規范等要求，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《信息安全技術 關鍵信息基礎設施安全保護要求》《數據出境安全評估辦法》等。組織通過在一個數字化安全體系解決方案中集成風險管理和合規遵從兩種功能，可以使單位大大降低數字化業務風險，適應數字化的發展環境，以確保數字化業務始終沿著正確的方向演進。

數字化發展使數字經濟和實體經濟深度融合，助力數字經濟高質量發展。安全是數字經濟穩定發展的基石，以業務生態安全為指導的數字化安全治理和框架設計，能夠更好建立數字化的風險管控和應對策略，構建管理一體、能力聚合、運營閉環、創新融合的新時期安全體系，實現數字化安全的持續運營改進、全面監管聯動、產業情報共享，以此努力擴大守方優勢、逆轉攻防態勢，推動網絡安全向著更細化的數字化業務生態演進，幫助更多行業客戶走好數字化轉型之路。

TOPSEC

目前，天融信基于創新的數字化安全治理理念和融合共生框架，已在政府、金融、能源等行業大型客戶完成了具有業務生態屬性的體系解決方案的實踐落地。歡迎撥打天融信7×24小時客服電話400-777-0777，或聯系天融信全國各分支機構咨詢了解。

本期為《數字化融生安全框架》系列文章第二期：數字化業務生態安全。數字化管理一體安全、數字化能力聚合安全、數字化運營閉環安全、數字化創新融合安全將陸續推出，歡迎持續關注！