企业数字化转型应如何保障数据安全？

中国经济导报、中国战略新兴产业杂志、中国发展网记者杜壮

随着新一代信息基础设施更广泛和深入服务于社会经济，网络安全是涉及业务、管理、流程、团队等各方面的系统工程，带来的安全问题更为严峻，对于正在进行数字化转型的企业来说，数据安全变得更为重要，因此亟需采用新的战略思路来全面增强网络安全的防护能力。

近日在第九届互联网安全大会上，360创始人、董事长周鸿祎表示，数字化有三个特征：一切皆可编程、万物均要互联、大数据驱动业务，本质是软件定义世界，城市、汽车、网络都将由软件定义。这也意味着数字化让整个网络安全环境更加脆弱，安全风险更加无处不在，整个世界更易攻击，造成危害也更大。因此，网络安全需要一套新战法和新框架。

网络安全不是产品而是服务

当前，世界经济数字化转型，已经成为大势所趋，安全挑战与日俱增，网络安全的重要性前所未有的。我国目前的网络空间安全基础比较薄弱，国际环境尚不容乐观，产业与领先国家相比，还存在较大差距。

网络世界的攻防通常不为人们所熟知，但是周鸿祎在大会上首次披露：“360一共捕获了境外46个国家级黑客，监测到3600多次攻击，涉及2万余个攻击目标，仅今年上半年，360就捕获针对我国发起攻击的APT组织12个。”

周鸿祎会后在接受记者采访时坦言，网络安全市场，实际上市场规模很小。网络安全长期以来是信息化的一个附属品，大家花100亿做信息化的系统都愿意投资，最后可能只花1%的投入买点软硬件，就觉得安全了事了。所以很多人对网络安全，没有意识到它带来什么威胁。

中国工程院院士、中国互联网协会咨询委员会主任邬贺铨对记者表示，安全是伴随着智能化、网络化发展的，不过现在大数据、云计算、区块链等技术也给网络安全带来变化，需要调整。如今的网络安全则具有流动性，会发生在不同的企业，因此数据安全具有一定的共性。我们要利用这种共性，把网络安全从过去的销售产品为主转变为提供服务为主。

“现在很多企业都开始进行数字化转型，我们不可能要求所有的中小企业配备网络安全人才，以及配备很强的网络安全防御的产品，这种情况下就需要依靠第三方提供网络安全服务。目前有些网络安全企业已经这样做了，接受了具体企业的委托。对于这些网络安全企业来说，这不仅仅是服务一个企业，而是根据被服务企业所积累的经验，继而可以服务上万企业。这样既节省了人力，也提升了对网络事件的感知，一定程度上实现了网络安全威胁情报的共享。”邬贺铨认为，对于大多数企业来说，目前缺少数据安全意识，因此需要依靠第三方，网络安全不是产品而是服务。

网络安全需要一套新战法和新框架

那么，企业在数字化转型的过程中如何搭建数据安全体系？

在接受记者采访时，周鸿祎表示，现在很多企业和政府已经意识到20年钱没少花，买了好多产品，但是大家面临实网攻防的时候，发现还是有很多问题。特别在面临国外网络攻击的时候，很多单位自己被攻击了都不知道，更不要谈防止攻击。这说明原来只是靠产品不断的迭代、不断堆砌，和建立自己真正的能力是不一样的。

周鸿祎认为，数字化有三个特征：一切皆可编程、万物均要互联、大数据驱动业务，本质是软件定义世界，城市、汽车、网络都将由软件定义。这也意味着数字化让整个网络安全环境更加脆弱，安全风险更加无处不在，整个世界更易攻击，造成危害也更大。因此，网络安全需要一套新战法和新框架。

周鸿祎表示，这套新战法将以“作战、对抗、攻防思维”为指导，安全体系与数字体系融合，攻防能力与管控能力融合。而新一代安全能力框架，其主要作用是为党政军企单位提供一个建设安全能力的参考框架。

在周鸿祎看来，安全能力框架能够整合各种生态产品，扩展支撑各行各业的各种数字化场景，例如工业互联网、车联网、能源互联网、智慧城市等，形成面向场景的安全解决方案。

周鸿祎打了个比方，他说：“今天提的能力框架，有点像给大家建医院，你去一个城市现在可以卖药，药不能说不解决问题，药也能解决问题，但是不能建立长期的一套运营体系。你要当地提升整个医疗健康水平，你必须要投资建医院，要有手术室、门诊楼，住院部有ICU，还要采用安全设备，最重要的是还要有医生护士等整个运营体系，所以我们建网络安全医院，会帮用户把一些安全基础设施做起来之后，配备很多安全专家，就像医院配备医生一样，把安全体系做起来。这套思路比较新，大家有一个接受的过程，目前来看现在这个接受状态越来越好。因为有了这个体系之后，在这个基础上可以很好赋能和支持原来传统的安全解决方案。

“360想完成一个梦想，也是我自己的一个初心，就是打通各地、各行业的安全大脑体系，形成威胁情报和数据的互相查询，构建起一个国家级范围的分布式安全大脑，真正提升整个国家的安全能力。”周鸿祎说。

数字化转型是复杂的系统工程

从以往国家级、城市级数字化转型项目实践来看，保卫数字化转型是一个复杂的系统工程。周鸿祎说：“由于网络安全威胁将超越传统的安全威胁，成为数字化时代的最大威胁。不能再把网络安全当作信息化的附庸，依靠堆砌碎片化产品试图解决不断变化的安全问题，而是应该直面安全挑战，以‘作战、对抗、攻防思维’为指导，体系化建设安全能力。”

中国网络空间安全协会理事长王秀军在会上表示，网络安全技术是产业发展的基础，我们要加大基础研究，以科学技术为先导，下大力气突破关键技术，努力掌握我国数字化转型的安全主动权。

王秀军建议，有关部门进一步加大对网络安全企业技术创新的政策支持，扶持高增长潜力和强创新能力的各类企业，特别是中小企业的成长发展，以拓宽企业融资渠道。另一方面广泛开展企业安全能力评估，将新技术安全和企业数据安全作为衡量企业经营能力的重要指标，建议广大企业主动作为，将技术创新技术攻关作为企业生存和长期发展的灵魂和基石，加快实现从发展专利到技术产品的有效转化应用，以落地应用反哺技术创新，构建良性循环，培育具有自主知识产权的核心技术，优先发展和应用具有国际领先的安全技术产品和服务。

邬贺铨表示，网络安全需要打通产业链上下游共享情报，建立协同联动的联防联控机制，随着数字化建设逐步加快，万物互联的时代到来，数据将由信息孤岛向共享高效利用发展，使得生产更高效和便利。但也带来一定的风险，在这种情况下，依靠单个企业的防御能力已不足以应对，需要在关联企业间，形成威胁网络安全情报共享，制定威胁情报共享的标准，清楚定义，尤其是安全数据的输出和威胁情报的查询共享问题，协同联防。