如今，數(shù)字化已經(jīng)成為時代潮流，各行各業(yè)都在加速數(shù)字化轉(zhuǎn)型。

數(shù)字化有三個特征：一切皆可編程、萬物均要互聯(lián)、大數(shù)據(jù)驅(qū)動業(yè)務(wù)，其本質(zhì)是軟件定義世界，城市、汽車、網(wǎng)絡(luò)都將由軟件定義。

這也意味著數(shù)字化讓整個網(wǎng)絡(luò)安全環(huán)境更加脆弱，安全風(fēng)險更加無處不在，整個世界更易攻擊，造成危害也更大。

12月13日，由杭州市人民政府和浙江省商務(wù)廳主辦的2022首屆全球數(shù)字生態(tài)大會于杭州國際博覽中心成功舉辦。此外，大會同期設(shè)置“數(shù)字應(yīng)用與技術(shù)”及“數(shù)字全球化”兩大分論壇。邀請了來自海內(nèi)外數(shù)字領(lǐng)域頭部企業(yè)的技術(shù)專家和數(shù)字化項(xiàng)目負(fù)責(zé)人，全方位、多維度地探討了數(shù)字技術(shù)的發(fā)展路徑和趨勢以及落地應(yīng)用場景，以及數(shù)字經(jīng)濟(jì)時代下面臨的安全問題。

在傳統(tǒng)互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)攻擊的主體是網(wǎng)民，造成的后果基本是電腦藍(lán)屏、文件損壞、惡意彈窗和個人信息被盜。

但在數(shù)字經(jīng)濟(jì)時代，網(wǎng)絡(luò)攻擊目的是摧毀一座關(guān)鍵信息基礎(chǔ)設(shè)施，攻陷數(shù)據(jù)服務(wù)器等。當(dāng)數(shù)據(jù)和一切實(shí)體經(jīng)濟(jì)越來越關(guān)系緊密時，網(wǎng)絡(luò)和數(shù)據(jù)安全問題就會成為牽一發(fā)而動全身的關(guān)鍵問題。

一、安全是數(shù)字經(jīng)濟(jì)發(fā)展的底線

沒有安全支撐的數(shù)字經(jīng)濟(jì)，就仿佛一滴血掉進(jìn)了海洋里，僅憑血腥味就能吸引無數(shù)的鯊魚。

數(shù)字經(jīng)濟(jì)時代是大數(shù)據(jù)利用時代，隨著互聯(lián)網(wǎng)發(fā)展，數(shù)據(jù)竊取、網(wǎng)絡(luò)黑市數(shù)據(jù)交易等現(xiàn)象層出不窮。這背后反映的是，在進(jìn)行數(shù)字化轉(zhuǎn)型的過程中，我們的企業(yè)面臨著更加嚴(yán)峻的網(wǎng)絡(luò)系統(tǒng)攻擊、隱私泄露等安全問題。

北美天然氣巨頭Superior Plus遭勒索、葡萄牙最大的電視臺和報紙媒體Impresa遭到勒索軟件攻擊而癱瘓、歐洲港口石油設(shè)施被黑客攻擊導(dǎo)致油輪無法靠港、紅十字國際委員會（ICRC）遭遇高級網(wǎng)絡(luò)攻擊導(dǎo)致數(shù)據(jù)泄漏……

每年全球企業(yè)發(fā)生的數(shù)據(jù)泄漏、勒索攻擊安全問題數(shù)不勝數(shù)。如果企業(yè)對于數(shù)字化轉(zhuǎn)型后的網(wǎng)絡(luò)安全工作普遍認(rèn)識不足，會造成頻繁的業(yè)務(wù)停擺和安全事故。

因此要同步推動數(shù)字化發(fā)展與安全，數(shù)字安全是數(shù)字經(jīng)濟(jì)發(fā)展的前提和根本保障。

在大會現(xiàn)場，云安全聯(lián)盟（CSA）大中華區(qū)副院長賈良玉提出：數(shù)字經(jīng)濟(jì)包括三層架構(gòu)五大核心基礎(chǔ)。

三大架構(gòu)包括了底層的和數(shù)字貨幣相關(guān)的基礎(chǔ)設(shè)施；中間層的數(shù)字金融、數(shù)字資產(chǎn)；最上層則是數(shù)字商業(yè)、數(shù)字產(chǎn)業(yè)、數(shù)字生活、數(shù)字政府和數(shù)字社會。

五大核心基礎(chǔ)包括了數(shù)據(jù)、算法、算力、網(wǎng)絡(luò)、存儲。

而數(shù)據(jù)已經(jīng)成為除土地、勞動力、資本、技術(shù)之外的第五大生產(chǎn)要素。賈良玉指出數(shù)據(jù)資料變成資產(chǎn)，其核心要解決安全可信的問題，數(shù)據(jù)要做到保真、確權(quán)、合規(guī)不是一件容易的事情。要想讓數(shù)據(jù)創(chuàng)造價值，首先要有安全保障，可信的流轉(zhuǎn)才能發(fā)揮數(shù)據(jù)的價值，形成價值網(wǎng)絡(luò)。

我們先來看一下世界各國是如何保障數(shù)據(jù)安全的。在歐盟，也是現(xiàn)在世界各國用的較多《通用數(shù)據(jù)保護(hù)條例》（GDPR），他們強(qiáng)調(diào)的是平衡數(shù)據(jù)的流動和安全；在美國，是以市場為主導(dǎo)，行業(yè)監(jiān)管資質(zhì)為主，制定了《加州消費(fèi)者隱私法》(CPPA)滿足隱私和數(shù)據(jù)治理的要求；中國是強(qiáng)監(jiān)管保障安全，比如發(fā)布《數(shù)據(jù)安全法》《個人隱私保護(hù)法》等。

數(shù)據(jù)安全是一方面，回顧過去，可以發(fā)現(xiàn)企業(yè)在每個階段都對安全提出了不同的需求。據(jù)默安科技副總裁沈錫鏞總結(jié)：

第一個階段：互聯(lián)網(wǎng)起飛之前，基本上還是以合規(guī)驅(qū)動；

第二個階段所有的需求基本上都來自于互聯(lián)網(wǎng)場景，公司開始自己招聘安全技術(shù)人員，保障自己的互聯(lián)網(wǎng)業(yè)務(wù)不受損。

第三個階段，進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng)階段，各行各業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型?；ヂ?lián)網(wǎng)技術(shù)開始向各行各業(yè)蔓延，企業(yè)真正意識到純靠一些防護(hù)性的安全產(chǎn)品，沒有辦法跟上技術(shù)迭代所帶來的問題。安全要開始緊跟it基礎(chǔ)設(shè)施跟業(yè)務(wù)，走向源頭走向整個數(shù)字生態(tài)的全流程。

賈良玉告訴雷峰網(wǎng)：“要想發(fā)揮數(shù)字經(jīng)濟(jì)的巨大作用，要在全球范圍內(nèi)遵循共同的數(shù)字安全原則。例如中國提出了《全球數(shù)據(jù)安全倡議書》，聯(lián)合國也提出《全球數(shù)字契約》，希望大家融合起來一起建設(shè)一個多邊普惠安全開放、公平合作、自由共享，有序發(fā)展的網(wǎng)絡(luò)空間命運(yùn)共同體?！?/p>

二、安全問題阻礙了數(shù)字化轉(zhuǎn)型？

在信息化和數(shù)字化的背后，網(wǎng)絡(luò)安全的概念也幾經(jīng)變化，變成了完全不同范疇的模樣。最早的網(wǎng)絡(luò)安全概念是指network security，也就是網(wǎng)絡(luò)的安全的意思。近些年我們所提到的網(wǎng)絡(luò)安全，更多的是指網(wǎng)絡(luò)空間安全，從認(rèn)知上它是復(fù)雜的，監(jiān)管者關(guān)注的是合規(guī)的問題，管理者關(guān)注的是責(zé)任的問題，對于大部分工程師來說關(guān)注的是技術(shù)問題。

Gartner在報告中指出，數(shù)字業(yè)務(wù)的發(fā)展速度比傳統(tǒng)業(yè)務(wù)要快得多，因此，為實(shí)現(xiàn)最大限度的控制而設(shè)計的傳統(tǒng)安全方法將不再適用于數(shù)字創(chuàng)新的新時代需求。

因此近幾年興起云原生安全、零信任安全、供應(yīng)鏈安全等。其實(shí)沒有任何一種安全手段能夠100%的保證完全的安全。安全問題仍舊是企業(yè)邁向數(shù)字化轉(zhuǎn)型途中最令人擔(dān)憂的問題。

IDC公司也曾經(jīng)調(diào)查發(fā)現(xiàn)，高達(dá)71% 的高管認(rèn)為對網(wǎng)絡(luò)安全的擔(dān)憂正在阻礙其組織內(nèi)的創(chuàng)新。2017年，WannaCry勒索病毒的影響，至今猶如眼前，150個國家，超過50萬設(shè)備被感染，在全球造成約100億美元的經(jīng)濟(jì)損失。

即便現(xiàn)在，數(shù)字化轉(zhuǎn)型項(xiàng)目經(jīng)常會因?yàn)橐氚踩^晚，或壓根沒有引入安全等問題而被迫叫停。事實(shí)表明：很多企業(yè)高管擔(dān)心他們的數(shù)字化轉(zhuǎn)型工作會因安全團(tuán)隊(duì)的干預(yù)而受到阻礙或限制。

但是隨著數(shù)據(jù)泄露、惡意軟件和漏洞數(shù)量的急劇增長，讓人們意識到缺乏安全的數(shù)字化轉(zhuǎn)型將致使企業(yè)面臨更大的安全風(fēng)險。

雷峰網(wǎng)在與許多安全企業(yè)管理者對話的過程中發(fā)現(xiàn)，目前很多企業(yè)在這幾年的市場教育下，已經(jīng)逐漸意識到網(wǎng)絡(luò)安全問題的重要性。

同時，國家也開始下功夫，重新修訂一些法律法規(guī)，比如按照《網(wǎng)絡(luò)安全法》，以前對企業(yè)罰款從最高100萬，現(xiàn)在提高到5000萬或上一年度營業(yè)額的5%，對直接負(fù)責(zé)的主管人員從最高10萬元提高到100萬元。這迫使企業(yè)不得不把安全做在前頭。

賈良玉告訴雷峰網(wǎng)，在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，對于企業(yè)來說，第一，要做到合規(guī)；第二企業(yè)內(nèi)生的安全需求，也就說業(yè)務(wù)的安全需求本身。

當(dāng)意識問題得到解決之后，企業(yè)在進(jìn)行安全建設(shè)時候，安全資源不足的問題又被擺出來了。

首先是，大多數(shù)企業(yè)普遍缺乏安全專業(yè)人才；其次，大多數(shù)企業(yè)運(yùn)行的仍然是依賴傳統(tǒng)安全技術(shù)的復(fù)雜網(wǎng)絡(luò)，一來無法防御外部風(fēng)險，二來，內(nèi)部員工可以訪問工作信息，內(nèi)鬼泄漏數(shù)據(jù)的風(fēng)險增加；另外企業(yè)還要平衡業(yè)務(wù)和安全的關(guān)系，在企業(yè)發(fā)展的不同階段，對安全的需求也不一樣。

總的來看，企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，面臨的最重要的三大安全問題就是數(shù)據(jù)篡改，數(shù)據(jù)泄露以及業(yè)務(wù)中斷。

那么到底怎么解決呢？

三、生態(tài)合作是企業(yè)安全問題的解藥

隨著產(chǎn)業(yè)數(shù)字化與數(shù)字產(chǎn)業(yè)化所帶來的場景和需求日益復(fù)雜和深化，即使是巨頭型的供應(yīng)商，也都將無法滿足客戶全部需求，生態(tài)合作是通向未來的唯一選擇。

在國家層面，安全體現(xiàn)了自上而下的整體意志。2018年以來，網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)的法律法規(guī)陸續(xù)出臺完善，為企業(yè)安全合規(guī)經(jīng)營“劃出了紅線”。守法合規(guī)，成為數(shù)字化發(fā)展前提。

在產(chǎn)業(yè)層面，安全是產(chǎn)業(yè)數(shù)字化發(fā)展的大前提。安全風(fēng)險隱藏在企業(yè)內(nèi)部的業(yè)務(wù)流，也可能潛伏在供應(yīng)鏈企業(yè)的每一個敞口。

在企業(yè)層面，安全是持續(xù)創(chuàng)新和企業(yè)責(zé)任的基礎(chǔ)。數(shù)據(jù)帶來巨大價值的同時，也帶來了責(zé)任。用戶把隱私數(shù)據(jù)放到平臺并給予信任，企業(yè)也必須承擔(dān)起數(shù)據(jù)保護(hù)的責(zé)任。

過去網(wǎng)絡(luò)安全保障的特點(diǎn)是準(zhǔn)備好安全能力然后去保護(hù)企業(yè)。但是現(xiàn)在安全能力跟數(shù)字化業(yè)務(wù)掛鉤，逐漸形成了一種相伴相生的關(guān)系。沈錫鏞告訴雷峰網(wǎng)：“只要有數(shù)字化業(yè)務(wù)的場景，天然的就會從一開始考慮一些安全威脅和風(fēng)險?！?/p>

以軟件供應(yīng)鏈安全問題舉例來說，安全在整個數(shù)字生態(tài)中牽一發(fā)而動全身。就像在文章開頭提到的，未來數(shù)字化是軟件驅(qū)動的，這就涉及到很多開源組件的安全問題。

去年11月，全球知名開源日志組件Apache Log4j被曝存在嚴(yán)重高危險級別遠(yuǎn)程代碼執(zhí)行漏洞，其破壞力驚人，漏洞波及面和危害程度堪比2017年的“永恒之藍(lán)”漏洞。據(jù)外媒報道，漏洞發(fā)現(xiàn)以來，Steam、蘋果的云服務(wù)受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念游戲“Minecraft我的世界”數(shù)十萬用戶被入侵。

根據(jù)Gartner的相關(guān)統(tǒng)計，到 2025年，30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞，這將會導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營停止或關(guān)鍵型網(wǎng)絡(luò)物理系統(tǒng)停止。

沈錫鏞表示：“軟件供應(yīng)鏈跟業(yè)務(wù)中斷強(qiáng)相關(guān)，這是以前的網(wǎng)絡(luò)安全所不曾涉及到的，原來網(wǎng)絡(luò)安全只有一個場景跟終端相關(guān)，就是DDoS，這是為什么軟件供應(yīng)鏈安全這么重要的原因。”

舉例來說，傳統(tǒng)的車企原來不需要考慮數(shù)據(jù)安全的問題，對著數(shù)字化的發(fā)展，每輛車都開始記錄更多消費(fèi)者的數(shù)據(jù)，而黑客也開始惦記這部分?jǐn)?shù)據(jù)，但是攻擊面并不是來自于數(shù)據(jù)本身，黑客更多是從軟件層面發(fā)現(xiàn)漏洞進(jìn)行攻擊。

華云安副總裁馬維士也告訴雷峰網(wǎng)，傳統(tǒng)的網(wǎng)絡(luò)安全都是一種被動的防御體系，已經(jīng)不能應(yīng)對新形勢下的安全威脅?，F(xiàn)在隨著數(shù)字化轉(zhuǎn)型的深入，以及一些區(qū)塊鏈、云計算的等新技術(shù)的發(fā)展，隱蔽的攻擊越來越多，這就要求安全公司能夠針對數(shù)字化的特點(diǎn)，幫助企業(yè)解決一些隱蔽的安全問題，給企業(yè)提供整個安全防護(hù)。未來數(shù)字化的安全防御體系，一定是主動防御和被動防御相結(jié)合，具備基本的攻防能力。

未來，數(shù)字生態(tài)仍會飛速發(fā)展，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)依然任重道遠(yuǎn)。

任何一家單獨(dú)的企業(yè)都無法完成整個生態(tài)鏈上的安全建設(shè)。那么安全廠商應(yīng)該如何助力數(shù)字生態(tài)的建設(shè)？

馬維士表示：“作為安全廠商，要做好自己的定位，我們是作為一個服務(wù)者的角度，真正的服務(wù)于企業(yè)，服務(wù)于用戶，保障他們業(yè)務(wù)能夠健康的運(yùn)行?！?/p>

安全實(shí)則是整個底層基礎(chǔ)架構(gòu)的一部分，服務(wù)于整個數(shù)字生態(tài)上層的業(yè)務(wù)，并不會直接參與到某個數(shù)字生態(tài)很具體的業(yè)務(wù)里頭去，它是服務(wù)者的角色，做好安全則會促進(jìn)整個數(shù)字生態(tài)的發(fā)展。

沈錫鏞認(rèn)為，在生態(tài)建設(shè)和合作上，應(yīng)明確企業(yè)自身的技術(shù)能力邊界，有所為而有所不為，不求大而全，而求”專精特新”借助生態(tài)的力量，才能更好地服務(wù)客戶，數(shù)字生態(tài)才能更健康地可持續(xù)發(fā)展。