数字时代波涛汹涌，企业如何答好网络安全这张“试卷”？

原标题：数字时代波涛汹涌，企业如何答好网络安全这张“试卷”？

在数字大潮涌动之时，网络安全威胁风险日益增加，网络安全挑战叠加出现。

公开数据显示，2020年全球数据泄漏的纪录达到310亿条，超过了过去15年的总和。今年3月，电脑巨头宏碁遭到勒索攻击，黑客开出了高额的赎金，约合人民币3.25亿元。

7月3日，瑞典最大的连锁超市Coop支付系统遭到黑客袭击，全国800多家店铺被迫停业。就在几天前，美国软件开发商 Kaseya Ltd遭受勒索攻击，并索要价值7000万美元（约合人民币4.5亿元）的比特币赎金。

从世界范围看，网络安全和风险问题日益突出，并且向政治、经济、文化、国防等领域传导渗透，全球范围内网络安全重大事件频发，APT攻击、勒索攻击、工控设备攻击、供应链攻击、数据窃取等各种攻击事件层出不穷，网络攻击也成为大国间对抗的热点话题。

网络安全迎来新“拐点” ，新型安全市场进入加速增长期

一边是不断出现的网络安全新挑战，一边是日益增长的网络安全新需求，网络安全发展正迎来一个新“拐点”。2021年7月，工信部发布的《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》提出，到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。一批网络安全关键核心技术实现突破，达到先进水平。

与此同时，网络产业投入更加活跃。统计数据显示，2021年上半年，我国共有4500多家公司开展网络安全业务，相比上年增加了23.1%。随着新一轮科技革命和产业变革的蓬勃兴起，我国网络安全行业也蕴含着巨大的发展潜力，以威胁管理、安全辅助与运营、工业控制系统云安全领域为代表的新型安全市场进入加速增长期。

在网络安全产业迅猛发展的同时，网络安全政策密集出台，网络安全法律法规体系日臻完善。

去年以来，《网络安全审查办法》制定发布，《密码法》正式施行，《个人信息保护法（草案）》已向社会征求意见，《数据安全法（草案）》将于9月起正式实施，将进一步拉动企业对信息安全产品和服务的需求，持续增强产业活力。

对企业而言，伴随“云移大物智”等新技术兴起，需要充分评估不同场景下的网络安全风险，如不同网络接入带来的安全互联互通问题；网络边界模糊引起的多源异构身份互信互认问题；大量数据集中汇集带来的数据泄露问题；勒索软件、APT、供应链威胁等带来的新型网络安全问题等，传统的网络安全架构已无法应对新技术带来的安全风险，网络安全面临新的挑战。

在数字化转型的背景下，企业对于网络安全更应该全面思考定位问题，评估安全与新技术、新业务的融合问题，重构安全保障框架，护航企业数字化转型。

注重平战结合的战略思维，构建全视角、更细粒度的“网络安全观”

随着网络安全朝着更深层次演进，企业网络安全的场景和需求也将更加垂直和细分。

场景方面，企业网络空间的应用场景应覆盖终端安全、网络安全、应用安全、数据安全等通用安全领域，同时加强特色安全领域，如工控安全、移动互联网安全、供应链安全等不同场景、不同流程下的安全防御，实现全部数字化应用场景的安全保障。

新技术、新业务的快速发展，也进一步催生出新的网络安全需求和安全理念，从“合规化”转变为“运营化”，从“可视化”转变为“实战化”，从“被动防御”转变为“积极防御&反制进攻”。构建以防护、检测、响应、预警于一体的自适应安全防护体系，从静态、被动的防护转变为动态、主动的防护，实现一体化、自动化的安全防护能力，提升大数据时代防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力，从而确保企业自身关键信息基础设施安全稳定运行。

另外，企业还应该更加注重零信任、SASE等新安全理念与现有业务的融合。零信任为企业不同对象赋予唯一身份，对不同身份实体或行为(人员、设备、应用服务、数据)进行持续认证与访问控制，保证不同场景下，访问实体身份可信、操作可控、行为可追溯。

在可运行的业务环境中，通过信息技术应用创新构建自主可控的IT产业标准和生态，保障产品和技术安全可控，解决基础软硬件和网络安全领域面临的供应链安全问题。

在数字化转型过程中，企业的网络安全还应该做到持续运营、平战结合。

以等保合规为基准，通过安全流程与制度建设，把实战中的行为与过程进行规范化，构建平战结合、常态化、制度化的快速应急响应治理机制。同时加强对安全人才及全员安全意识的培养，引入安全专家服务，把安全专家的经验和能力融入到运营体系中。

构建协同指挥机制，以战领建，发现安全措施的薄弱环节，依靠威胁情报与信息共享体系，优化安全策略，从而形成对安全防御保障体系的反馈闭环机制。

另外，还应该通过全天候、全方位的安全运营服务，强化实时研判响应能力，持续增强安全监测评估、主动预防、应急处置等能力，对企业提供实战化整体安全运营保障。

围绕全场景、可信任、实战化，还需要符合新时期企业特色的网络安全保障体系整体框架，突破网络安全防护监测处置一体化、安全综合监管、多维异质数据流动安全管控等关键技术，形成其主动防御网络安全保障体系。

如今，已有一些安全企业基于以上思路，提出了全新安全框架，为企业保驾护航。

最近，绿盟科技正式发布智慧安全3.0理念体系，这是继2015年智慧安全2.0战略发布后，在安全理念上的又一次战略升维。

该理念提出以体系化建设为指引，构建“全场景、可信任、实战化”的安全运营能力，达到“全面防护，智能分析，自动响应”的防护效果。

智慧安全3.0建设框架综合考虑资产、应用、身份、数据四类核心要素，展开智能安全综合防控工程等12项工程建设，共同赋能构建融合安全防御体系；

从多场景融合出发，进行能力服务化，云原生化设计，结合情报联动，持续演进安全产品新能力，实现“开放可连接，智能可运营，攻防可实战”的效果；

以中台化思路构建安全运营平台，打破单点安全与数据孤岛，形成“数据可复用，能力服务化，服务可运营”的平台生态；

通过多级安全运营中心，结合安全专家与客户项目管理体系，从对抗出发构建大中台支撑，实践安全运营体系。

同时，绿盟科技积极探索数据安全与网络安全的融合，功能安全与信息安全的融合，人工智能等新技术与安全的融合应用；践行安全开发，打造可信任产品体系；发展新赛道，推出SASE服务、车联网安全、反欺诈平台等新方案。

除了企业自身提高网络安全意识、安全厂商为企业输送安全能力外，企业之间的安全合作也变得十分重要。

正如复杂理论的代表人物Moor所说，“网络经济世界的运行并不都是你死我活的斗争，而是像生态系统一样，企业与其他组织之间存在共同进化关系。

在企业的商业生态系统中，为了企业的生存和发展，彼此间应该合作，努力营造与维护一个共生的商业系统。”

特别声明：本文为合作媒体授权DoNews专栏转载，文章版权归原作者及原出处所有。文章系作者个人观点，不代表DoNews专栏的立场，转载请联系原作者及原出处获取授权。