數字生態建設背後，“數字安全”扮演什麼角色？

如今，數字化已經成為時代潮流，各行各業都在加速數字化轉型。

數字化有三個特徵：一切皆可程式設計、萬物均要互聯、大資料驅動業務，其本質是軟體定義世界，城市、汽車、網路都將由軟體定義。

這也意味著數字化讓整個網路安全環境更加脆弱，安全風險更加無處不在，整個世界更易攻擊，造成危害也更大。

12月13日，由杭州市人民政府和浙江省商務廳主辦的2022首屆全球數字生態大會於杭州國際博覽中心成功舉辦。此外，大會同期設定“數字應用與技術”及“數字全球化”兩大分論壇。邀請了來自海內外數字領域頭部企業的技術專家和數字化專案負責人，全方位、多維度地探討了數字技術的發展路徑和趨勢以及落地應用場景，以及數字經濟時代下面臨的安全問題。

在傳統網際網路時代，網路攻擊的主體是網民，造成的後果基本是電腦藍色畫面、檔案損壞、惡意彈窗和個人資訊被盜。

但在數字經濟時代，網路攻擊目的是摧毀一座關鍵資訊基礎設施，攻陷資料伺服器等。當資料和一切實體經濟越來越關係緊密時，網路和資料安全問題就會成為牽一髮而動全身的關鍵問題。

一、安全是數字經濟發展的底線

沒有安全支撐的數字經濟，就彷彿一滴血掉進了海洋裡，僅憑血腥味就能吸引無數的鯊魚。

數字經濟時代是大資料利用時代，隨著網際網路發展，資料竊取、網路黑市資料交易等現象層出不窮。這背後反映的是，在進行數字化轉型的過程中，我們的企業面臨著更加嚴峻的網路系統攻擊、隱私洩露等安全問題。

北美天然氣巨頭Superior Plus遭勒索、葡萄牙最大的電視臺和報紙媒體Impresa遭到勒索軟體攻擊而癱瘓、歐洲港口石油設施被駭客攻擊導致油輪無法靠港、紅十字國際委員會（ICRC）遭遇高階網路攻擊導致資料洩漏……

每年全球企業發生的資料洩漏、勒索攻擊安全問題數不勝數。如果企業對於數字化轉型後的網路安全工作普遍認識不足，會造成頻繁的業務停擺和安全事故。

因此要同步推動數字化發展與安全，數字安全是數字經濟發展的前提和根本保障。

雲安全聯盟（CSA）大中華區副院長賈良玉

在大會現場，雲安全聯盟（CSA）大中華區副院長賈良玉提出：數字經濟包括三層架構五大核心基礎。

三大架構包括了底層的和數字貨幣相關的基礎設施；中間層的數字金融、數字資產；最上層則是數字商業、數字產業、數字生活、數字政府和數字社會。

五大核心基礎包括了資料、演算法、算力、網路、儲存。

而資料已經成為除土地、勞動力、資本、技術之外的第五大生產要素。賈良玉指出資料資料變成資產，其核心要解決安全可信的問題，資料要做到保真、確權、合規不是一件容易的事情。要想讓資料創造價值，首先要有安全保障，可信的流轉才能發揮資料的價值，形成價值網路。

我們先來看一下世界各國是如何保障資料安全的。在歐盟，也是現在世界各國用的較多《通用資料保護條例》（GDPR），他們強調的是平衡資料的流動和安全；在美國，是以市場為主導，行業監管資質為主，制定了《加州消費者隱私法》（CPPA）滿足隱私和資料治理的要求；中國是強監管保障安全，比如釋出《資料安全法》《個人隱私保護法》等。

默安科技副總裁沈錫鏞

資料安全是一方面，回顧過去，可以發現企業在每個階段都對安全提出了不同的需求。據默安科技副總裁沈錫鏞總結：

第一個階段：網際網路起飛之前，基本上還是以合規驅動；

第二個階段所有的需求基本上都來自於網際網路場景，公司開始自己招聘安全技術人員，保障自己的網際網路業務不受損。

第三個階段，進入產業網際網路階段，各行各業進入數字化轉型。網際網路技術開始向各行各業蔓延，企業真正意識到純靠一些防護性的安全產品，沒有辦法跟上技術迭代所帶來的問題。安全要開始緊跟it基礎設施跟業務，走向源頭走向整個數字生態的全流程。

賈良玉告訴雷峰網：“要想發揮數字經濟的巨大作用，要在全球範圍內遵循共同的數字安全原則。例如中國提出了《全球資料安全倡議書》，聯合國也提出《全球數字契約》，希望大家融合起來一起建設一個多邊普惠安全開放、公平合作、自由共享，有序發展的網路空間命運共同體。”

二、安全問題阻礙了數字化轉型？

在資訊化和數字化的背後，網路安全的概念也幾經變化，變成了完全不同範疇的模樣。最早的網路安全概念是指network security，也就是網路的安全的意思。近些年我們所提到的網路安全，更多的是指網路空間安全，從認知上它是複雜的，監管者關注的是合規的問題，管理者關注的是責任的問題，對於大部分工程師來說關注的是技術問題。

Gartner在報告中指出，數字業務的發展速度比傳統業務要快得多，因此，為實現最大限度的控制而設計的傳統安全方法將不再適用於數字創新的新時代需求。

因此近幾年興起雲原生安全、零信任安全、供應鏈安全等。其實沒有任何一種安全手段能夠100%的保證完全的安全。安全問題仍舊是企業邁向數字化轉型途中最令人擔憂的問題。

IDC公司也曾經調查發現，高達71% 的高管認為對網路安全的擔憂正在阻礙其組織內的創新。2017年，WannaCry勒索病毒的影響，至今猶如眼前，150個國家，超過50萬裝置被感染，在全球造成約100億美元的經濟損失。

即便現在，數字化轉型專案經常會因為引入安全過晚，或壓根沒有引入安全等問題而被迫叫停。事實表明：很多企業高管擔心他們的數字化轉型工作會因安全團隊的干預而受到阻礙或限制。

但是隨著資料洩露、惡意軟體和漏洞數量的急劇增長，讓人們意識到缺乏安全的數字化轉型將致使企業面臨更大的安全風險。

雷峰網在與許多安全企業管理者對話的過程中發現，目前很多企業在這幾年的市場教育下，已經逐漸意識到網路安全問題的重要性。

同時，國家也開始下功夫，重新修訂一些法律法規，比如按照《網路安全法》，以前對企業罰款從最高100萬，現在提高到5000萬或上一年度營業額的5%，對直接負責的主管人員從最高10萬元提高到100萬元。這迫使企業不得不把安全做在前頭。

賈良玉告訴雷峰網，在企業數字化轉型的過程中，對於企業來說，第一，要做到合規；第二企業內生的安全需求，也就說業務的安全需求本身。

當意識問題得到解決之後，企業在進行安全建設時候，安全資源不足的問題又被擺出來了。

首先是，大多數企業普遍缺乏安全專業人才；其次，大多數企業執行的仍然是依賴傳統安全技術的複雜網路，一來無法防禦外部風險，二來，內部員工可以訪問工作資訊，內鬼洩漏資料的風險增加；另外企業還要平衡業務和安全的關係，在企業發展的不同階段，對安全的需求也不一樣。

總的來看，企業在數字化轉型的過程中，面臨的最重要的三大安全問題就是資料篡改，資料洩露以及業務中斷。

那麼到底怎麼解決呢？

三、生態合作是企業安全問題的解藥

隨著產業數字化與數字產業化所帶來的場景和需求日益複雜和深化，即使是巨頭型的供應商，也都將無法滿足客戶全部需求，生態合作是通向未來的唯一選擇。

在國家層面，安全體現了自上而下的整體意志。2018年以來，網路安全和資料安全相關的法律法規陸續出臺完善，為企業安全合規經營“劃出了紅線”。守法合規，成為數字化發展前提。

在產業層面，安全是產業數字化發展的大前提。安全風險隱藏在企業內部的業務流，也可能潛伏在供應鏈企業的每一個敞口。

在企業層面，安全是持續創新和企業責任的基礎。資料帶來巨大價值的同時，也帶來了責任。使用者把隱私資料放到平臺並給予信任，企業也必須承擔起資料保護的責任。

過去網路安全保障的特點是準備好安全能力然後去保護企業。但是現在安全能力跟數字化業務掛鉤，逐漸形成了一種相伴相生的關係。沈錫鏞告訴雷峰網：“只要有數字化業務的場景，天然的就會從一開始考慮一些安全威脅和風險。”

以軟體供應鏈安全問題舉例來說，安全在整個數字生態中牽一髮而動全身。就像在文章開頭提到的，未來數字化是軟體驅動的，這就涉及到很多開源元件的安全問題。

去年11月，全球知名開源日誌元件Apache Log4j被曝存在嚴重高危險級別遠端程式碼執行漏洞，其破壞力驚人，漏洞波及面和危害程度堪比2017年的“永恆之藍”漏洞。據外媒報道，漏洞發現以來，Steam、蘋果的雲服務受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念遊戲“Minecraft我的世界”數十萬使用者被入侵。

根據Gartner的相關統計，到 2025年，30%的關鍵資訊基礎設施組織將遇到安全漏洞，這將會導致關鍵資訊基礎設施運營停止或關鍵型網路物理系統停止。

沈錫鏞表示：“軟體供應鏈跟業務中斷強相關，這是以前的網路安全所不曾涉及到的，原來網路安全只有一個場景跟終端相關，就是DDoS，這是為什麼軟體供應鏈安全這麼重要的原因。”

舉例來說，傳統的車企原來不需要考慮資料安全的問題，對著數字化的發展，每輛車都開始記錄更多消費者的資料，而駭客也開始惦記這部分資料，但是攻擊面並不是來自於資料本身，駭客更多是從軟體層面發現漏洞進行攻擊。

華雲安副總裁馬維士

華雲安副總裁馬維士也告訴雷峰網，傳統的網路安全都是一種被動的防禦體系，已經不能應對新形勢下的安全威脅。現在隨著數字化轉型的深入，以及一些區塊鏈、雲計算的等新技術的發展，隱蔽的攻擊越來越多，這就要求安全公司能夠針對數字化的特點，幫助企業解決一些隱蔽的安全問題，給企業提供整個安全防護。未來數字化的安全防禦體系，一定是主動防禦和被動防禦相結合，具備基本的攻防能力。

未來，數字生態仍會飛速發展，加強網路安全建設依然任重道遠。

任何一家單獨的企業都無法完成整個生態鏈上的安全建設。那麼安全廠商應該如何助力數字生態的建設？

馬維士表示：“作為安全廠商，要做好自己的定位，我們是作為一個服務者的角度，真正的服務於企業，服務於使用者，保障他們業務能夠健康的執行。”

安全實則是整個底層基礎架構的一部分，服務於整個數字生態上層的業務，並不會直接參與到某個數字生態很具體的業務裡頭去，它是服務者的角色，做好安全則會促進整個數字生態的發展。

沈錫鏞認為，在生態建設和合作上，應明確企業自身的技術能力邊界，有所為而有所不為，不求大而全，而求“專精特新”藉助生態的力量，才能更好地服務客戶，數字生態才能更健康地可持續發展。