如今，數(shù)字化已經(jīng)成為時(shí)代潮流，各行各業(yè)都在加速數(shù)字化轉(zhuǎn)型。

數(shù)字化有三個(gè)特征：一切皆可編程、萬(wàn)物均要互聯(lián)、大數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)，其本質(zhì)是軟件定義世界，城市、汽車(chē)、網(wǎng)絡(luò)都將由軟件定義。

這也意味著數(shù)字化讓整個(gè)網(wǎng)絡(luò)安全環(huán)境更加脆弱，安全風(fēng)險(xiǎn)更加無(wú)處不在，整個(gè)世界更易攻擊，造成危害也更大。

12月13日，由杭州市人民政府和浙江省商務(wù)廳主辦的2022首屆全球數(shù)字生態(tài)大會(huì)于杭州國(guó)際博覽中心成功舉辦。此外，大會(huì)同期設(shè)置“數(shù)字應(yīng)用與技術(shù)”及“數(shù)字全球化”兩大分論壇。邀請(qǐng)了來(lái)自海內(nèi)外數(shù)字領(lǐng)域頭部企業(yè)的技術(shù)專家和數(shù)字化項(xiàng)目負(fù)責(zé)人，全方位、多維度地探討了數(shù)字技術(shù)的發(fā)展路徑和趨勢(shì)以及落地應(yīng)用場(chǎng)景，以及數(shù)字經(jīng)濟(jì)時(shí)代下面臨的安全問(wèn)題。

在傳統(tǒng)互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)攻擊的主體是網(wǎng)民，造成的后果基本是電腦藍(lán)屏、文件損壞、惡意彈窗和個(gè)人信息被盜。

但在數(shù)字經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)攻擊目的是摧毀一座關(guān)鍵信息基礎(chǔ)設(shè)施，攻陷數(shù)據(jù)服務(wù)器等。當(dāng)數(shù)據(jù)和一切實(shí)體經(jīng)濟(jì)越來(lái)越關(guān)系緊密時(shí)，網(wǎng)絡(luò)和數(shù)據(jù)安全問(wèn)題就會(huì)成為牽一發(fā)而動(dòng)全身的關(guān)鍵問(wèn)題。

一、安全是數(shù)字經(jīng)濟(jì)發(fā)展的底線

沒(méi)有安全支撐的數(shù)字經(jīng)濟(jì)，就仿佛一滴血掉進(jìn)了海洋里，僅憑血腥味就能吸引無(wú)數(shù)的鯊魚(yú)。

數(shù)字經(jīng)濟(jì)時(shí)代是大數(shù)據(jù)利用時(shí)代，隨著互聯(lián)網(wǎng)發(fā)展，數(shù)據(jù)竊取、網(wǎng)絡(luò)黑市數(shù)據(jù)交易等現(xiàn)象層出不窮。這背后反映的是，在進(jìn)行數(shù)字化轉(zhuǎn)型的過(guò)程中，我們的企業(yè)面臨著更加嚴(yán)峻的網(wǎng)絡(luò)系統(tǒng)攻擊、隱私泄露等安全問(wèn)題。

北美天然氣巨頭Superior Plus遭勒索、葡萄牙最大的電視臺(tái)和報(bào)紙媒體Impresa遭到勒索軟件攻擊而癱瘓、歐洲港口石油設(shè)施被黑客攻擊導(dǎo)致油輪無(wú)法靠港、紅十字國(guó)際委員會(huì)（ICRC）遭遇高級(jí)網(wǎng)絡(luò)攻擊導(dǎo)致數(shù)據(jù)泄漏...... 

每年全球企業(yè)發(fā)生的數(shù)據(jù)泄漏、勒索攻擊安全問(wèn)題數(shù)不勝數(shù)。如果企業(yè)對(duì)于數(shù)字化轉(zhuǎn)型后的網(wǎng)絡(luò)安全工作普遍認(rèn)識(shí)不足，會(huì)造成頻繁的業(yè)務(wù)停擺和安全事故。

因此要同步推動(dòng)數(shù)字化發(fā)展與安全，數(shù)字安全是數(shù)字經(jīng)濟(jì)發(fā)展的前提和根本保障。

云安全聯(lián)盟（CSA）大中華區(qū)副院長(zhǎng)賈良玉

在大會(huì)現(xiàn)場(chǎng)，云安全聯(lián)盟（CSA）大中華區(qū)副院長(zhǎng)賈良玉提出：數(shù)字經(jīng)濟(jì)包括三層架構(gòu)五大核心基礎(chǔ)。

三大架構(gòu)包括了底層的和數(shù)字貨幣相關(guān)的基礎(chǔ)設(shè)施；中間層的數(shù)字金融、數(shù)字資產(chǎn)；最上層則是數(shù)字商業(yè)、數(shù)字產(chǎn)業(yè)、數(shù)字生活、數(shù)字政府和數(shù)字社會(huì)。

五大核心基礎(chǔ)包括了數(shù)據(jù)、算法、算力、網(wǎng)絡(luò)、存儲(chǔ)。

而數(shù)據(jù)已經(jīng)成為除土地、勞動(dòng)力、資本、技術(shù)之外的第五大生產(chǎn)要素。賈良玉指出數(shù)據(jù)資料變成資產(chǎn)，其核心要解決安全可信的問(wèn)題，數(shù)據(jù)要做到保真、確權(quán)、合規(guī)不是一件容易的事情。要想讓數(shù)據(jù)創(chuàng)造價(jià)值，首先要有安全保障，可信的流轉(zhuǎn)才能發(fā)揮數(shù)據(jù)的價(jià)值，形成價(jià)值網(wǎng)絡(luò)。

我們先來(lái)看一下世界各國(guó)是如何保障數(shù)據(jù)安全的。在歐盟，也是現(xiàn)在世界各國(guó)用的較多《通用數(shù)據(jù)保護(hù)條例》（GDPR）,他們強(qiáng)調(diào)的是平衡數(shù)據(jù)的流動(dòng)和安全；在美國(guó)，是以市場(chǎng)為主導(dǎo)，行業(yè)監(jiān)管資質(zhì)為主，制定了《加州消費(fèi)者隱私法》(CPPA)滿足隱私和數(shù)據(jù)治理的要求；中國(guó)是強(qiáng)監(jiān)管保障安全，比如發(fā)布《數(shù)據(jù)安全法》《個(gè)人隱私保護(hù)法》等。

默安科技副總裁沈錫鏞

數(shù)據(jù)安全是一方面，回顧過(guò)去，可以發(fā)現(xiàn)企業(yè)在每個(gè)階段都對(duì)安全提出了不同的需求。據(jù)默安科技副總裁沈錫鏞總結(jié)：

第一個(gè)階段：互聯(lián)網(wǎng)起飛之前，基本上還是以合規(guī)驅(qū)動(dòng)；

第二個(gè)階段所有的需求基本上都來(lái)自于互聯(lián)網(wǎng)場(chǎng)景，公司開(kāi)始自己招聘安全技術(shù)人員，保障自己的互聯(lián)網(wǎng)業(yè)務(wù)不受損。

第三個(gè)階段，進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng)階段，各行各業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型?；ヂ?lián)網(wǎng)技術(shù)開(kāi)始向各行各業(yè)蔓延，企業(yè)真正意識(shí)到純靠一些防護(hù)性的安全產(chǎn)品，沒(méi)有辦法跟上技術(shù)迭代所帶來(lái)的問(wèn)題。安全要開(kāi)始緊跟it基礎(chǔ)設(shè)施跟業(yè)務(wù)，走向源頭走向整個(gè)數(shù)字生態(tài)的全流程。

賈良玉告訴雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))：“要想發(fā)揮數(shù)字經(jīng)濟(jì)的巨大作用，要在全球范圍內(nèi)遵循共同的數(shù)字安全原則。例如中國(guó)提出了《全球數(shù)據(jù)安全倡議書(shū)》，聯(lián)合國(guó)也提出《全球數(shù)字契約》，希望大家融合起來(lái)一起建設(shè)一個(gè)多邊普惠安全開(kāi)放、公平合作、自由共享，有序發(fā)展的網(wǎng)絡(luò)空間命運(yùn)共同體?！?/p>

二、安全問(wèn)題阻礙了數(shù)字化轉(zhuǎn)型？

在信息化和數(shù)字化的背后，網(wǎng)絡(luò)安全的概念也幾經(jīng)變化，變成了完全不同范疇的模樣。最早的網(wǎng)絡(luò)安全概念是指network security，也就是網(wǎng)絡(luò)的安全的意思。近些年我們所提到的網(wǎng)絡(luò)安全，更多的是指網(wǎng)絡(luò)空間安全，從認(rèn)知上它是復(fù)雜的，監(jiān)管者關(guān)注的是合規(guī)的問(wèn)題，管理者關(guān)注的是責(zé)任的問(wèn)題，對(duì)于大部分工程師來(lái)說(shuō)關(guān)注的是技術(shù)問(wèn)題。

Gartner在報(bào)告中指出，數(shù)字業(yè)務(wù)的發(fā)展速度比傳統(tǒng)業(yè)務(wù)要快得多，因此，為實(shí)現(xiàn)最大限度的控制而設(shè)計(jì)的傳統(tǒng)安全方法將不再適用于數(shù)字創(chuàng)新的新時(shí)代需求。

因此近幾年興起云原生安全、零信任安全、供應(yīng)鏈安全等。其實(shí)沒(méi)有任何一種安全手段能夠100%的保證完全的安全。安全問(wèn)題仍舊是企業(yè)邁向數(shù)字化轉(zhuǎn)型途中最令人擔(dān)憂的問(wèn)題。 

IDC公司也曾經(jīng)調(diào)查發(fā)現(xiàn)，高達(dá)71% 的高管認(rèn)為對(duì)網(wǎng)絡(luò)安全的擔(dān)憂正在阻礙其組織內(nèi)的創(chuàng)新。2017年，WannaCry勒索病毒的影響，至今猶如眼前，150個(gè)國(guó)家，超過(guò)50萬(wàn)設(shè)備被感染，在全球造成約100億美元的經(jīng)濟(jì)損失。

即便現(xiàn)在，數(shù)字化轉(zhuǎn)型項(xiàng)目經(jīng)常會(huì)因?yàn)橐氚踩^(guò)晚，或壓根沒(méi)有引入安全等問(wèn)題而被迫叫停。事實(shí)表明：很多企業(yè)高管擔(dān)心他們的數(shù)字化轉(zhuǎn)型工作會(huì)因安全團(tuán)隊(duì)的干預(yù)而受到阻礙或限制。

但是隨著數(shù)據(jù)泄露、惡意軟件和漏洞數(shù)量的急劇增長(zhǎng)，讓人們意識(shí)到缺乏安全的數(shù)字化轉(zhuǎn)型將致使企業(yè)面臨更大的安全風(fēng)險(xiǎn)。 

雷峰網(wǎng)在與許多安全企業(yè)管理者對(duì)話的過(guò)程中發(fā)現(xiàn)，目前很多企業(yè)在這幾年的市場(chǎng)教育下，已經(jīng)逐漸意識(shí)到網(wǎng)絡(luò)安全問(wèn)題的重要性。

同時(shí)，國(guó)家也開(kāi)始下功夫，重新修訂一些法律法規(guī)，比如按照《網(wǎng)絡(luò)安全法》，以前對(duì)企業(yè)罰款從最高100萬(wàn)，現(xiàn)在提高到5000萬(wàn)或上一年度營(yíng)業(yè)額的5%，對(duì)直接負(fù)責(zé)的主管人員從最高10萬(wàn)元提高到100萬(wàn)元。這迫使企業(yè)不得不把安全做在前頭。

賈良玉告訴雷峰網(wǎng)，在企業(yè)數(shù)字化轉(zhuǎn)型的過(guò)程中，對(duì)于企業(yè)來(lái)說(shuō)，第一，要做到合規(guī)；第二企業(yè)內(nèi)生的安全需求，也就說(shuō)業(yè)務(wù)的安全需求本身。

當(dāng)意識(shí)問(wèn)題得到解決之后，企業(yè)在進(jìn)行安全建設(shè)時(shí)候，安全資源不足的問(wèn)題又被擺出來(lái)了。

首先是，大多數(shù)企業(yè)普遍缺乏安全專業(yè)人才；其次，大多數(shù)企業(yè)運(yùn)行的仍然是依賴傳統(tǒng)安全技術(shù)的復(fù)雜網(wǎng)絡(luò)，一來(lái)無(wú)法防御外部風(fēng)險(xiǎn)，二來(lái)，內(nèi)部員工可以訪問(wèn)工作信息，內(nèi)鬼泄漏數(shù)據(jù)的風(fēng)險(xiǎn)增加；另外企業(yè)還要平衡業(yè)務(wù)和安全的關(guān)系，在企業(yè)發(fā)展的不同階段，對(duì)安全的需求也不一樣。 

總的來(lái)看，企業(yè)在數(shù)字化轉(zhuǎn)型的過(guò)程中，面臨的最重要的三大安全問(wèn)題就是數(shù)據(jù)篡改，數(shù)據(jù)泄露以及業(yè)務(wù)中斷。

那么到底怎么解決呢？

三、生態(tài)合作是企業(yè)安全問(wèn)題的解藥

隨著產(chǎn)業(yè)數(shù)字化與數(shù)字產(chǎn)業(yè)化所帶來(lái)的場(chǎng)景和需求日益復(fù)雜和深化，即使是巨頭型的供應(yīng)商,也都將無(wú)法滿足客戶全部需求,生態(tài)合作是通向未來(lái)的唯一選擇。

在國(guó)家層面，安全體現(xiàn)了自上而下的整體意志。2018年以來(lái)，網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)的法律法規(guī)陸續(xù)出臺(tái)完善，為企業(yè)安全合規(guī)經(jīng)營(yíng)“劃出了紅線”。守法合規(guī)，成為數(shù)字化發(fā)展前提。

在產(chǎn)業(yè)層面，安全是產(chǎn)業(yè)數(shù)字化發(fā)展的大前提。安全風(fēng)險(xiǎn)隱藏在企業(yè)內(nèi)部的業(yè)務(wù)流，也可能潛伏在供應(yīng)鏈企業(yè)的每一個(gè)敞口。

在企業(yè)層面，安全是持續(xù)創(chuàng)新和企業(yè)責(zé)任的基礎(chǔ)。數(shù)據(jù)帶來(lái)巨大價(jià)值的同時(shí)，也帶來(lái)了責(zé)任。用戶把隱私數(shù)據(jù)放到平臺(tái)并給予信任，企業(yè)也必須承擔(dān)起數(shù)據(jù)保護(hù)的責(zé)任。

過(guò)去網(wǎng)絡(luò)安全保障的特點(diǎn)是準(zhǔn)備好安全能力然后去保護(hù)企業(yè)。但是現(xiàn)在安全能力跟數(shù)字化業(yè)務(wù)掛鉤，逐漸形成了一種相伴相生的關(guān)系。沈錫鏞告訴雷峰網(wǎng)：“只要有數(shù)字化業(yè)務(wù)的場(chǎng)景，天然的就會(huì)從一開(kāi)始考慮一些安全威脅和風(fēng)險(xiǎn)?！?/p>

以軟件供應(yīng)鏈安全問(wèn)題舉例來(lái)說(shuō)，安全在整個(gè)數(shù)字生態(tài)中牽一發(fā)而動(dòng)全身。就像在文章開(kāi)頭提到的，未來(lái)數(shù)字化是軟件驅(qū)動(dòng)的，這就涉及到很多開(kāi)源組件的安全問(wèn)題。

去年11月，全球知名開(kāi)源日志組件Apache Log4j被曝存在嚴(yán)重高危險(xiǎn)級(jí)別遠(yuǎn)程代碼執(zhí)行漏洞，其破壞力驚人，漏洞波及面和危害程度堪比2017年的“永恒之藍(lán)”漏洞。據(jù)外媒報(bào)道，漏洞發(fā)現(xiàn)以來(lái)，Steam、蘋(píng)果的云服務(wù)受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念游戲“Minecraft我的世界”數(shù)十萬(wàn)用戶被入侵。

根據(jù)Gartner的相關(guān)統(tǒng)計(jì)，到 2025年，30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞，這將會(huì)導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)停止或關(guān)鍵型網(wǎng)絡(luò)物理系統(tǒng)停止。

沈錫鏞表示：“軟件供應(yīng)鏈跟業(yè)務(wù)中斷強(qiáng)相關(guān)，這是以前的網(wǎng)絡(luò)安全所不曾涉及到的，原來(lái)網(wǎng)絡(luò)安全只有一個(gè)場(chǎng)景跟終端相關(guān)，就是DDoS，這是為什么軟件供應(yīng)鏈安全這么重要的原因?！?nbsp;

舉例來(lái)說(shuō)，傳統(tǒng)的車(chē)企原來(lái)不需要考慮數(shù)據(jù)安全的問(wèn)題，對(duì)著數(shù)字化的發(fā)展，每輛車(chē)都開(kāi)始記錄更多消費(fèi)者的數(shù)據(jù)，而黑客也開(kāi)始惦記這部分?jǐn)?shù)據(jù)，但是攻擊面并不是來(lái)自于數(shù)據(jù)本身，黑客更多是從軟件層面發(fā)現(xiàn)漏洞進(jìn)行攻擊。

華云安副總裁馬維士

華云安副總裁馬維士也告訴雷峰網(wǎng)，傳統(tǒng)的網(wǎng)絡(luò)安全都是一種被動(dòng)的防御體系，已經(jīng)不能應(yīng)對(duì)新形勢(shì)下的安全威脅?，F(xiàn)在隨著數(shù)字化轉(zhuǎn)型的深入，以及一些區(qū)塊鏈、云計(jì)算的等新技術(shù)的發(fā)展，隱蔽的攻擊越來(lái)越多，這就要求安全公司能夠針對(duì)數(shù)字化的特點(diǎn)，幫助企業(yè)解決一些隱蔽的安全問(wèn)題，給企業(yè)提供整個(gè)安全防護(hù)。未來(lái)數(shù)字化的安全防御體系，一定是主動(dòng)防御和被動(dòng)防御相結(jié)合，具備基本的攻防能力。 

未來(lái)，數(shù)字生態(tài)仍會(huì)飛速發(fā)展，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)依然任重道遠(yuǎn)。

任何一家單獨(dú)的企業(yè)都無(wú)法完成整個(gè)生態(tài)鏈上的安全建設(shè)。那么安全廠商應(yīng)該如何助力數(shù)字生態(tài)的建設(shè)？

馬維士表示：“作為安全廠商，要做好自己的定位，我們是作為一個(gè)服務(wù)者的角度，真正的服務(wù)于企業(yè)，服務(wù)于用戶，保障他們業(yè)務(wù)能夠健康的運(yùn)行?！?/p>

安全實(shí)則是整個(gè)底層基礎(chǔ)架構(gòu)的一部分，服務(wù)于整個(gè)數(shù)字生態(tài)上層的業(yè)務(wù)，并不會(huì)直接參與到某個(gè)數(shù)字生態(tài)很具體的業(yè)務(wù)里頭去，它是服務(wù)者的角色，做好安全則會(huì)促進(jìn)整個(gè)數(shù)字生態(tài)的發(fā)展。

沈錫鏞認(rèn)為，在生態(tài)建設(shè)和合作上，應(yīng)明確企業(yè)自身的技術(shù)能力邊界，有所為而有所不為，不求大而全，而求"專精特新”借助生態(tài)的力量，才能更好地服務(wù)客戶，數(shù)字生態(tài)才能更健康地可持續(xù)發(fā)展。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。