過(guò)去四十年，經(jīng)濟(jì)史最值得關(guān)注的兩個(gè)宏觀變量，一個(gè)是經(jīng)濟(jì)全球化，另一個(gè)是經(jīng)濟(jì)網(wǎng)絡(luò)化、數(shù)字化。在很大程度上，兩者是一回事，全球化使互聯(lián)網(wǎng)在全球被廣泛應(yīng)用推動(dòng)了經(jīng)濟(jì)增長(zhǎng)，而互聯(lián)網(wǎng)則讓全球經(jīng)濟(jì)更緊密聯(lián)系，物流、信息流、資金流加速運(yùn)轉(zhuǎn)。無(wú)數(shù)企業(yè)抓住浪潮，快速發(fā)展，創(chuàng)造了非常多的商業(yè)奇跡。

1997年年初，亞洲金融危機(jī)的風(fēng)暴正在東南亞醞釀。那年4月18日至21日，在深圳召開(kāi)了全國(guó)信息化工作會(huì)議，會(huì)上通過(guò)了一份“國(guó)家信息化九五規(guī)劃和2000年遠(yuǎn)景目標(biāo)”，將互聯(lián)網(wǎng)列入國(guó)家信息基礎(chǔ)設(shè)施建設(shè)，并提出建立國(guó)家互聯(lián)網(wǎng)信息中心和互聯(lián)網(wǎng)交換中心。

(資料圖片)

這是在國(guó)家層面正式將互聯(lián)網(wǎng)納入遠(yuǎn)景規(guī)劃。當(dāng)時(shí)中國(guó)互聯(lián)網(wǎng)處在“年幼期”，最早的一批互聯(lián)網(wǎng)創(chuàng)業(yè)者還在模仿發(fā)達(dá)國(guó)家的成熟模式，整個(gè)互聯(lián)網(wǎng)對(duì)經(jīng)濟(jì)的貢獻(xiàn)度可以忽略不計(jì)。

畢竟直到11月，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心首次發(fā)布的《中國(guó)Internet發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截止到1997年10月，中國(guó)上網(wǎng)計(jì)算機(jī)數(shù)僅有29.9萬(wàn)臺(tái)，上網(wǎng)用戶(hù)數(shù)62萬(wàn)，WWW站點(diǎn)數(shù)約1500個(gè)。

但就是互聯(lián)網(wǎng)在中國(guó)“小荷才露尖尖角”時(shí)，國(guó)家層面就重視了網(wǎng)絡(luò)安全問(wèn)題，在那年12月30日公布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》。

可以說(shuō)，中國(guó)互聯(lián)網(wǎng)與網(wǎng)絡(luò)安全“同年生”。

1998年是頗具歷史性的年份，亞洲金融危機(jī)在全球擴(kuò)散，重創(chuàng)全球經(jīng)濟(jì)，但卻是全球互聯(lián)網(wǎng)發(fā)展浪潮洶涌澎湃時(shí)。只是，初生的互聯(lián)網(wǎng)世界也很快迎來(lái)了第一波風(fēng)暴，1998年11月2日美國(guó)發(fā)生了“蠕蟲(chóng)計(jì)算機(jī)病毒”事件，“蠕蟲(chóng)”在Internet上大肆傳染，全美6000多臺(tái)計(jì)算機(jī)被感染，造成Internet不能正常運(yùn)行，這是歷史上第一個(gè)通過(guò)Internet傳播的計(jì)算機(jī)病毒。

此后，病毒、網(wǎng)絡(luò)攻擊就與互聯(lián)網(wǎng)相伴相生，互聯(lián)網(wǎng)呈指數(shù)級(jí)發(fā)展，網(wǎng)絡(luò)攻擊也如日增多。

歷來(lái)，都認(rèn)為加入WTO是中國(guó)經(jīng)濟(jì)崛起的巨大動(dòng)力，其實(shí)，在中國(guó)加入WTO的時(shí)候正趕上了互聯(lián)網(wǎng)大爆發(fā)，使得在承接產(chǎn)業(yè)轉(zhuǎn)移、跨國(guó)貿(mào)易大幅增加時(shí)，還趕上了新技術(shù)革命，只是，當(dāng)時(shí)很少人預(yù)見(jiàn)到后來(lái)中國(guó)能誕生那么多互聯(lián)網(wǎng)公司，制造業(yè)、服務(wù)業(yè)會(huì)與互聯(lián)網(wǎng)緊密融合。

經(jīng)過(guò)二十多年的發(fā)展，現(xiàn)在中國(guó)網(wǎng)民人數(shù)已達(dá)10.67億，從2012年到2021年中國(guó)數(shù)字經(jīng)濟(jì)年復(fù)合增速達(dá)15.9%，移動(dòng)社交、移動(dòng)購(gòu)物、金融理財(cái)、出行服務(wù)、移動(dòng)視頻、系統(tǒng)工具、生活服務(wù)等領(lǐng)域的月活躍用戶(hù)規(guī)模均在數(shù)億。互聯(lián)網(wǎng)擴(kuò)大了企業(yè)的市場(chǎng)半徑，能以更低的成本服務(wù)更多客戶(hù)，更快的速度響應(yīng)客戶(hù)需求，互聯(lián)網(wǎng)與基建網(wǎng)雙網(wǎng)合一，使得中國(guó)擁有全球第二大規(guī)模的數(shù)字經(jīng)濟(jì)，以及在各領(lǐng)域提供服務(wù)的數(shù)字經(jīng)濟(jì)企業(yè)。

除了狹義的互聯(lián)網(wǎng)企業(yè)，制造業(yè)、交通物流、醫(yī)療、教育等行業(yè)也都全面接入互聯(lián)網(wǎng)，運(yùn)用網(wǎng)絡(luò)技術(shù)進(jìn)行升級(jí)改造。占GDP30%左右的制造業(yè)，從設(shè)計(jì)研發(fā)、生產(chǎn)、銷(xiāo)售、財(cái)務(wù)、運(yùn)維管理等整個(gè)環(huán)節(jié)都越來(lái)越離不開(kāi)互聯(lián)網(wǎng)，數(shù)字化與工業(yè)化深度融合，一些大型制造業(yè)企業(yè)的服務(wù)器集群規(guī)模并不輸一般的互聯(lián)網(wǎng)企業(yè)。

企業(yè)數(shù)字化程度深入，網(wǎng)絡(luò)攻擊也如影隨形，隨便搜一搜就能搜出《某社交媒體平臺(tái)被暴力破解導(dǎo)致數(shù)據(jù)泄露，涉及1.7億用戶(hù)》《某汽車(chē)披露數(shù)據(jù)安全事件：部分?jǐn)?shù)據(jù)遭竊取 被勒索1567萬(wàn)元》《某券商O(píng)A系統(tǒng)遭攻擊，影響移動(dòng)辦公》《某保險(xiǎn)公司遭受黑客攻擊，大量客戶(hù)信息泄露》《黑客長(zhǎng)期潛伏國(guó)內(nèi)一外貿(mào)企業(yè)郵箱，騙走200余萬(wàn)美元貨款》等新聞。

由此可見(jiàn)，不僅僅是互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)企業(yè)會(huì)遭到網(wǎng)絡(luò)攻擊，制造業(yè)、金融業(yè)、外貿(mào)、酒店等等所有使用網(wǎng)絡(luò)的企業(yè)都可能會(huì)遭到攻擊，輕則數(shù)據(jù)泄露，重則被勒索，更有甚者就是服務(wù)器被挾持用于攻擊重要目標(biāo)。攻擊者也不一定就是盯上有龐大服務(wù)器集群、數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)，因?yàn)殡S著工業(yè)互聯(lián)網(wǎng)的發(fā)展，制造業(yè)企業(yè)不但運(yùn)用網(wǎng)絡(luò)服務(wù)，自身也有服務(wù)器集群，其數(shù)據(jù)可能被竊取，其生產(chǎn)控制權(quán)限可能被劫持，其服務(wù)器可能被挾持。

隨機(jī)問(wèn)了幾家企業(yè)，在極其有限的樣本中，就發(fā)現(xiàn)有遭遇過(guò)攻擊，對(duì)企業(yè)的影響是極其麻煩的。

也就是說(shuō)，如果不重視網(wǎng)絡(luò)安全，點(diǎn)狀的風(fēng)險(xiǎn)擴(kuò)散成嚴(yán)重的安全“風(fēng)暴”，公司的服務(wù)器成了“幫兇”，引來(lái)難以解釋的麻煩和后續(xù)整改、處罰。

一、沒(méi)有安全就沒(méi)有發(fā)展

國(guó)家層面非常重視互聯(lián)網(wǎng)安全問(wèn)題，在“中國(guó)互聯(lián)網(wǎng)元年”，僅有30萬(wàn)左右臺(tái)聯(lián)網(wǎng)計(jì)算機(jī)時(shí)，就出臺(tái)《安全保護(hù)管理辦法》，近年來(lái)更是出臺(tái)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等一系列法律法規(guī)，尤其是《網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者等主體的義務(wù)和責(zé)任，以及網(wǎng)絡(luò)安全的管理和保護(hù)措施；對(duì)個(gè)人信息的保護(hù)也提出明確要求。

也就是網(wǎng)絡(luò)安全主體責(zé)任壓實(shí)到運(yùn)營(yíng)者、服務(wù)提供者。

這也是全世界越來(lái)越明確的合規(guī)要求。美國(guó)的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》要求所有處理個(gè)人數(shù)據(jù)的實(shí)體更加關(guān)注保護(hù)數(shù)據(jù)，軟件廠商對(duì)技術(shù)的安全性負(fù)有更多直接的責(zé)任。歐盟的《網(wǎng)絡(luò)彈性法案》要求投放歐盟市場(chǎng)的互聯(lián)網(wǎng)硬件和軟件產(chǎn)品的制造商、進(jìn)口商和分銷(xiāo)商必須遵守增強(qiáng)的網(wǎng)絡(luò)安全要求，以及《通用數(shù)據(jù)保護(hù)條例》對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格監(jiān)管，該條例不僅適用于歐盟境內(nèi)的企業(yè)，還適用于任何涉及對(duì)歐盟居民數(shù)據(jù)進(jìn)行使用的企業(yè)，違反的企業(yè)或被處以數(shù)億歐元的罰款。

亞馬遜、Meta等企業(yè)都領(lǐng)教過(guò)，因違反GDPR，分別被處以7.46億歐元、12 億歐元的罰單。

從全球范圍來(lái)看，網(wǎng)絡(luò)安全已經(jīng)不僅僅是是防范被網(wǎng)絡(luò)攻擊，還涉及到數(shù)據(jù)安全、數(shù)據(jù)合規(guī)、隱私保護(hù)、內(nèi)容安全等等，是一整套合規(guī)性要求，不但要求企業(yè)有相應(yīng)的措施、設(shè)備、技術(shù)，還要在組織架構(gòu)、企業(yè)文化等方面滿(mǎn)足要求，也即“合規(guī)之墻”。

因此，國(guó)外一些大公司已經(jīng)大幅增加網(wǎng)絡(luò)安全方面的投入，谷歌母公司AIphabet計(jì)劃在未來(lái)三年內(nèi)將網(wǎng)絡(luò)安全方面的投資增加至100億美元。花旗集團(tuán)表示將投入13億美元用于網(wǎng)絡(luò)安全方面的研究和開(kāi)發(fā)。摩根大通則宣布推出專(zhuān)門(mén)的網(wǎng)絡(luò)安全部門(mén)，以進(jìn)一步保護(hù)其企業(yè)和客戶(hù)的數(shù)據(jù)安全。等等。

但我實(shí)際走訪發(fā)現(xiàn)，大部分企業(yè)對(duì)網(wǎng)絡(luò)安全還是相當(dāng)漠視的，或者說(shuō)還認(rèn)為僅僅是公司采購(gòu)點(diǎn)安全軟件或服務(wù)，最多在IT部門(mén)配置一個(gè)小型安全團(tuán)隊(duì)。

一位網(wǎng)絡(luò)工程師告訴我，“一般有安全團(tuán)隊(duì)的都算重視的了，還沒(méi)有安全團(tuán)隊(duì)的，老板大多都是目前還沒(méi)被搞過(guò)，或者被搞了損失的不是自己，比如自己的網(wǎng)站用戶(hù)信息泄露，只是用戶(hù)賬號(hào)密碼被偷了，老板又不會(huì)受到什么直接損失?！?/p>

這可能是為什么網(wǎng)絡(luò)安全事件頻發(fā)的重要原因，過(guò)去對(duì)安全、合規(guī)要求不高，企業(yè)老板就往往不重視安全和合規(guī)，以發(fā)展為優(yōu)先甚至是唯一選項(xiàng)，所有資源都傾注于發(fā)展，忽視安全投入，哪怕企業(yè)的體量已經(jīng)很大，在出事故之前仍然懷著僥幸心理，將安全部門(mén)、合規(guī)部門(mén)視為成本中心，能省則省，將安全、合規(guī)視為桎梏，能少就少，粗放式發(fā)展形成慣性思維，蒙眼狂奔。

另一位安全服務(wù)咨詢(xún)師告訴我，“國(guó)內(nèi)企業(yè)的安全都靠后，先功能先發(fā)展再安全，甚至是不出事就不管安全。”

在過(guò)去，網(wǎng)站被撞庫(kù)泄露用戶(hù)數(shù)據(jù)，可能掩蓋掩蓋就過(guò)去了。但在合規(guī)要求日漸嚴(yán)格的現(xiàn)在，責(zé)任落實(shí)到企業(yè)主體，再發(fā)生因安全防護(hù)不達(dá)標(biāo)導(dǎo)致被攻擊數(shù)據(jù)泄露的事故，就會(huì)付出代價(jià)。

代價(jià)不僅僅是重罰，因?yàn)橛脩?hù)、客戶(hù)也開(kāi)始重視數(shù)據(jù)隱私，一旦自己使用的服務(wù)的數(shù)據(jù)被泄露，也會(huì)對(duì)該公司失去信任甚至避而遠(yuǎn)之，導(dǎo)致用戶(hù)、客戶(hù)大量流失。

某車(chē)企就發(fā)生過(guò)遭遇大規(guī)模用戶(hù)數(shù)據(jù)泄露后，面臨攻擊者的勒索要挾，使企業(yè)遭受巨額索賠和名譽(yù)受損等多重?fù)p失。

經(jīng)濟(jì)發(fā)展，用戶(hù)暴增，業(yè)務(wù)上網(wǎng)使得企業(yè)掌握的數(shù)據(jù)量呈指數(shù)級(jí)增長(zhǎng)，而正如中國(guó)人民大學(xué)商學(xué)院教授毛基業(yè)認(rèn)為的：在數(shù)據(jù)量低的階段，安全后果相對(duì)可控；在數(shù)據(jù)量爆炸的當(dāng)下，數(shù)據(jù)安全事件造成的后果是“核彈級(jí)”。

所以，全球的數(shù)據(jù)安全、合規(guī)標(biāo)準(zhǔn)完善是各國(guó)當(dāng)局、民眾重視起來(lái)合力推動(dòng)的，只會(huì)越來(lái)越嚴(yán)格，處罰力度越來(lái)越大。

其實(shí)，換個(gè)角度思考，市場(chǎng)競(jìng)爭(zhēng)到一定階段后，安全就成為企業(yè)的品牌和新核心競(jìng)爭(zhēng)力，安全做得好，能讓用戶(hù)信任，加大好感度，更愿意接受服務(wù)，形成口碑和品牌；安全做得好，企業(yè)的業(yè)務(wù)就有保障，能更從容發(fā)展，避免爆發(fā)安全大事件導(dǎo)致口碑崩塌和用戶(hù)、客戶(hù)流失。

當(dāng)下激烈的市場(chǎng)競(jìng)爭(zhēng)對(duì)企業(yè)能力的要求是全方位的，數(shù)字化往往是重要抓手。隨著云計(jì)算、大數(shù)據(jù)、AI、物聯(lián)網(wǎng)等技術(shù)飛速進(jìn)步，企業(yè)數(shù)字化體系的邊界在不斷拓展。為了應(yīng)對(duì)日益加劇的市場(chǎng)競(jìng)爭(zhēng)，企業(yè)在生產(chǎn)、財(cái)務(wù)、營(yíng)銷(xiāo)、客服等環(huán)節(jié)不斷數(shù)字化，數(shù)字化幫助很多企業(yè)在短短數(shù)年就成長(zhǎng)為大型企業(yè)，這在很多行業(yè)都有案例。

但在企業(yè)經(jīng)營(yíng)越來(lái)越依賴(lài)全鏈條數(shù)字化的時(shí)代，任何一個(gè)節(jié)點(diǎn)都可能存在漏洞，只有數(shù)字化的能力，但安全的底座沒(méi)有同步夯實(shí)。那么除了財(cái)務(wù)被竊取、被種木馬等隱患，在營(yíng)銷(xiāo)環(huán)節(jié)也會(huì)遭遇越來(lái)越多被“黑產(chǎn)薅羊毛”，導(dǎo)致企業(yè)為獲客投入的巨額營(yíng)銷(xiāo)費(fèi)用被薅得一干二凈。2018年底，星巴克上線“APP注冊(cè)新人禮”營(yíng)銷(xiāo)活動(dòng)，就被黑產(chǎn)利用機(jī)器大量注冊(cè)虛假賬號(hào)領(lǐng)取優(yōu)惠券，致使活動(dòng)被迫緊急下線。

此外，如果企業(yè)遭遇網(wǎng)絡(luò)攻擊，數(shù)字支持系統(tǒng)服務(wù)停擺，那么損失的就不僅僅是中斷期間的銷(xiāo)售額，還會(huì)引發(fā)聲譽(yù)風(fēng)險(xiǎn)。2022年5月，印度香料航空公司因遭受勒索軟件攻擊，導(dǎo)致航班取消，旅客被迫滯留機(jī)場(chǎng)。10月，麥德龍?jiān)庥鼍W(wǎng)絡(luò)攻擊，IT和支付服務(wù)被迫中斷，在德國(guó)、法國(guó)、奧地利等多國(guó)的超市受影響，在線訂單延誤。等等。

大公司家底厚、品牌影響力大，還能暫時(shí)承受起索賠、罰款、聲譽(yù)短期受損，但還在成長(zhǎng)期的公司一旦發(fā)生類(lèi)似的情況，可能財(cái)務(wù)、聲譽(yù)就會(huì)被擊穿，輕則被競(jìng)爭(zhēng)對(duì)手趕超，重則關(guān)門(mén)謝客。

所以在這個(gè)時(shí)代，安全并不是發(fā)展的對(duì)立面，而是發(fā)展的基石，安全能力也是企業(yè)核心競(jìng)爭(zhēng)力之一。這越來(lái)越成為一種共識(shí)，根據(jù)《2023企業(yè)安全建設(shè)水平抽樣調(diào)研報(bào)告》顯示，超過(guò)一半的CSO認(rèn)為安全能力缺失會(huì)制約企業(yè)的發(fā)展。

在企業(yè)發(fā)展的每個(gè)階段都必須匹配相應(yīng)的安全能力，小有小的需求，大有大的要求，它是幫助企業(yè)發(fā)展的助推劑，應(yīng)該伴隨企業(yè)的發(fā)展同步升級(jí)，貫穿于企業(yè)發(fā)展當(dāng)中。在企業(yè)規(guī)模尚小的時(shí)候，就應(yīng)重視安全問(wèn)題，有遠(yuǎn)景規(guī)劃，每個(gè)階段進(jìn)行相應(yīng)的投入，這部分投入絕不是能省則省的“開(kāi)銷(xiāo)”，而是和發(fā)展業(yè)務(wù)的投入一樣，是投資。

“小”投入辦“大”事，只有打好安全底座，才能支撐起業(yè)務(wù)的發(fā)展，支撐起業(yè)務(wù)要做的合規(guī)要求，防護(hù)業(yè)務(wù)快速發(fā)展后面臨的種種攻擊，建立起的屏障保護(hù)業(yè)務(wù)合規(guī)、平穩(wěn)發(fā)展。

這份必要投資，絕不能等“出了事再說(shuō)”。

二、安全必須前置

在走訪過(guò)程中，有業(yè)內(nèi)人士吐槽，不少企業(yè)對(duì)安全投入的理解是，“老板們讓咨詢(xún)公司在紙面上寫(xiě)好安全規(guī)范和流程，做一些整改，認(rèn)為就夠了就安全了，輪不到安全公司染指。”

當(dāng)然，也有企業(yè)早早就重視了安全問(wèn)題，采購(gòu)了設(shè)備、軟件和服務(wù)，配置了相應(yīng)的人手，甚至有些還有“技術(shù)崇拜”的傾向，認(rèn)為只要配了技術(shù)和人手就高枕無(wú)憂。

但這些來(lái)自不同供應(yīng)商的軟件、服務(wù)、設(shè)備只是個(gè)個(gè)都是孤島，看似堆了設(shè)備堆了前沿技術(shù)，但無(wú)法互聯(lián)互通，無(wú)法形成統(tǒng)一體系，也缺乏維護(hù)，導(dǎo)致漏洞不斷暴露，并且不具備隨著風(fēng)險(xiǎn)變化而升級(jí)應(yīng)對(duì)的能力。

企業(yè)不斷在發(fā)展，所面臨的風(fēng)險(xiǎn)等級(jí)會(huì)增加，合規(guī)、安全要求也會(huì)相應(yīng)提高，服務(wù)一百名客戶(hù)和服務(wù)一萬(wàn)名客戶(hù)到服務(wù)千萬(wàn)級(jí)、億級(jí)客戶(hù)所需要的能力完全不在一個(gè)數(shù)量級(jí)，相應(yīng)的所用于支撐發(fā)展的安全能力也不是一個(gè)數(shù)量級(jí)。

因此，企業(yè)需要構(gòu)建一套自擴(kuò)展、彈性、自適用的安全架構(gòu)，這套架構(gòu)不但是整體性的安全技術(shù)和服務(wù)，還根植于企業(yè)的發(fā)展戰(zhàn)略、組織架構(gòu)、組織文化里，形成一種“免疫力”，抵御各種潛在和現(xiàn)實(shí)的安全威脅。

這就是“數(shù)字安全免疫力”。經(jīng)過(guò)多年發(fā)展，企業(yè)已經(jīng)從數(shù)字化轉(zhuǎn)型時(shí)代進(jìn)入到數(shù)字化業(yè)務(wù)時(shí)代，由于數(shù)字化體系具有開(kāi)放、高效等特征，傳統(tǒng)事件驅(qū)動(dòng)型的安全戰(zhàn)術(shù)，“亡羊補(bǔ)牢”代價(jià)太大，會(huì)讓企業(yè)面臨巨大風(fēng)險(xiǎn)，因此不應(yīng)再專(zhuān)注于攻防和事件的被動(dòng)安全模式，而是要轉(zhuǎn)變?yōu)槊嫦蛭磥?lái)部署和企業(yè)長(zhǎng)遠(yuǎn)發(fā)展，構(gòu)建完整的、基于風(fēng)險(xiǎn)與合規(guī)的安全體系。

這個(gè)理念在IDC發(fā)布的《加強(qiáng)數(shù)學(xué)安全免疫力，促進(jìn)數(shù)字化時(shí)代下的韌性發(fā)展》白皮書(shū)里多有闡述?？偟膩?lái)說(shuō)，數(shù)字安全免疫力強(qiáng)調(diào)前置投入，將安全要素融入至企業(yè)的戰(zhàn)略、管理、文化、運(yùn)營(yíng)流程中，打通平臺(tái)、技術(shù)、能力等層面的壁壘，建立數(shù)據(jù)安全治理和業(yè)務(wù)風(fēng)險(xiǎn)控制兩座免疫“堡壘”，做好網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)合規(guī)、隱私保護(hù)、內(nèi)容合規(guī)等，保障企業(yè)平穩(wěn)發(fā)展。

（來(lái)源：《數(shù)字安全免疫力白皮書(shū)》）

企業(yè)和人一樣，有生命周期，因此在企業(yè)發(fā)展的“不同年齡”（階段，針對(duì)不同需求，接種相應(yīng)“疫苗”。如同接種疫苗應(yīng)由專(zhuān)業(yè)醫(yī)護(hù)來(lái)做，數(shù)字安全同樣也要由專(zhuān)業(yè)廠商來(lái)做，企業(yè)與其閉門(mén)造車(chē)，不如借助專(zhuān)業(yè)安全廠商所提供的能力/服務(wù)，針對(duì)自身情況，加強(qiáng)針對(duì)特定風(fēng)險(xiǎn)的抵御能力。

畢竟從風(fēng)險(xiǎn)角度來(lái)看，全球網(wǎng)絡(luò)攻擊的頻次和損失日漸增多，如果說(shuō)過(guò)去攻擊者多少帶著“炫技”的成分，那么現(xiàn)在的攻擊越來(lái)越傾向于經(jīng)濟(jì)利益，IDC數(shù)據(jù)顯示早期企業(yè)遭勒索金額平均在100~200美元之間，而到2021年，此類(lèi)攻擊導(dǎo)致的經(jīng)濟(jì)損失已達(dá)到百萬(wàn)美元級(jí)別。至于那種借道企業(yè)服務(wù)器“肉雞場(chǎng)”對(duì)國(guó)家安全形成威脅的攻擊，隨著地緣局勢(shì)復(fù)雜性加劇，威脅程度也在上升。

從數(shù)據(jù)量來(lái)看，根據(jù)IDC統(tǒng)計(jì)，2021年全球創(chuàng)造了84.4ZB數(shù)據(jù)，預(yù)計(jì)到2026年，全球數(shù)據(jù)量將達(dá)到221.2ZB，年復(fù)合增長(zhǎng)率達(dá)到 21.2%。企業(yè)在發(fā)展過(guò)程中會(huì)存下大量高價(jià)值的數(shù)據(jù)，這些數(shù)據(jù)是企業(yè)未來(lái)發(fā)展的重要資產(chǎn)，但正如一位企業(yè)安全負(fù)責(zé)人所言：“數(shù)據(jù)在哪里，價(jià)值就在哪里，攻擊就在哪里?！?/p>

過(guò)去攻擊者可能只是把偷盜來(lái)的數(shù)據(jù)包小范圍分享，而今數(shù)據(jù)價(jià)值的顯露引發(fā)大批黑色產(chǎn)業(yè)的覬覦，攻擊者通過(guò)爬蟲(chóng)、木馬、漏洞等技術(shù)手段，再結(jié)合社會(huì)工程學(xué)方法進(jìn)行拖庫(kù)、撞庫(kù)，頻繁攻破企業(yè)的安全防線，實(shí)施勒索或者販賣(mài)數(shù)據(jù)，給企業(yè)帶來(lái)慘痛經(jīng)濟(jì)損失。

而在合規(guī)性要求嚴(yán)格、用戶(hù)重視隱私的當(dāng)下，企業(yè)遭受經(jīng)濟(jì)損失的同時(shí)，還會(huì)面臨嚴(yán)重的法律風(fēng)險(xiǎn)和社會(huì)輿情壓力。

這些變化，企業(yè)應(yīng)該重視，甚至不僅僅是CSO要重視，企業(yè)的當(dāng)家人更應(yīng)該重視。

因?yàn)榘踩度氲膬r(jià)值產(chǎn)出不夠直觀和顯性，也難以量化，在風(fēng)險(xiǎn)爆發(fā)前，很多時(shí)候無(wú)法引起企業(yè)決策層和管理層的足夠重視，企業(yè)安全建設(shè)更多就是被動(dòng)式的投入以及應(yīng)對(duì)檢查、評(píng)審，做面子工程，無(wú)法形成自上而下的安全意識(shí)。

企業(yè)里所有人都是圍繞著當(dāng)家人的意識(shí)、意志運(yùn)轉(zhuǎn)，如果當(dāng)家人缺少對(duì)安全、合規(guī)價(jià)值的戰(zhàn)略認(rèn)知，讓企業(yè)形成數(shù)字安全免疫力，別說(shuō)落實(shí)到預(yù)算，連中層都傳達(dá)不到。

這就給企業(yè)的安全和后續(xù)發(fā)展埋下巨大隱患，成為“不定時(shí)炸彈”。

安全領(lǐng)域有個(gè)悖論是：安全工作做足，一直風(fēng)平浪靜，老板就心疼起錢(qián)來(lái)，覺(jué)得沒(méi)啥事還要花錢(qián)，很可能就把這塊預(yù)算給砍了，結(jié)果防護(hù)力削弱，發(fā)生風(fēng)險(xiǎn)，造成更大的損失。

其實(shí)，相比起建立“數(shù)字安全免疫力”后，企業(yè)業(yè)務(wù)能安全發(fā)展所帶來(lái)的價(jià)值，這個(gè)預(yù)算其實(shí)也是對(duì)業(yè)務(wù)投資的一部分，正如IDC中國(guó)副總裁、首席分析師武連峰所言，“投入安全的錢(qián)其實(shí)是小錢(qián)，反而如果不重視安全造成事件，那損失的錢(qián)可能是大錢(qián)。”

這個(gè)“錢(qián)”不一定只是金錢(qián)。

由于對(duì)數(shù)據(jù)的價(jià)值有了共識(shí)，所以安全行業(yè)要保護(hù)的對(duì)象始終在升級(jí)，不但國(guó)家層面在這方面有更多的法律法規(guī)和部署，企業(yè)話事人也應(yīng)該更早意識(shí)到：自己的核心資產(chǎn)絕不能丟了。

關(guān)鍵詞：