企业数字安全建设背景及趋势如何？

加强数字安全免疫力刻不容缓。

1.企业正面临日趋复杂的安全威胁

在数字经济高速发展和数实融合不断迈向纵深的今天，企业安全正面临着前所未有 的挑战。这些挑战给企业的业务和运营带来全方位的冲击，甚至已经关乎企业的生 存基础。数字化进程一方面推动企业变得更加敏捷、开放，另一方面也使得安全风 险更加多样和不可预测，导致更为严重的安全事件。企业在面临数据泄露、业务停 滞等危险的同时，声誉也将受到重创。

信息泄露事件频发，企业蒙受经济和声誉双重损失

数字经济大背景下，数据逐渐成为企业的核心资产和关键生产要素，数据既是企业 产生价值的源头，也是承载价值的本体。根据IDC统计，2021年，全球创造了 84.4ZB数据，预计到2026年，全球数据量将达到221.2ZB，年复合增长率达到 21.2%。正如一位企业安全负责人所言：“数据在哪里，价值就在哪里，攻击就在 哪里。”数据价值的显露引发大批黑色产业的觊觎。攻击者通过爬虫、木马、漏洞 等技术手段，结合社会工程学方法进行拖库、撞库，实施勒索，频繁攻破企业的安 全防线，给企业带来惨痛经济损失的同时，也使企业面临严重的法律风险和社会舆 情压力。IDC数据显示，早期企业遭勒索金额平均在100～200美元之间，而到2021 年，此类攻击导致的经济损失已达到百万美元级别。

在中国，数据泄露事件同样频发，威胁着社会和企业的稳定健康发展。以中国本土 某车企为例，在遭遇大规模用户数据泄露后，还面临攻击者的勒索要挟，使企业遭 受巨额索赔和名誉受损等多重损失。总体来看，外部攻击、内部泄露以及系统和设 备本身的漏洞是造成数据泄露的主要原因。

大量潜在的复杂攻击，导致业务数字化面临多重威胁

伴随业务的数字化发展，数字化与业务融合所产生的全新类型的风险越来越多，企 业业务安全直接面临安全大考。某种意义上说，依托互联网产生的商业服务行为几 乎先天与网络风险以及网络欺诈相伴。例如，在数字支付所支撑的电商交易过程 中，个人用户的身份信息经常被冒用，并由此产生一系列非法的操作；在企业利用 数字化拓展办公空间以及承载跨地域业务时，身份欺诈行为可能带来大量的、难以 预测的风险。在美国，根据联邦调查局发布的《2022年互联网犯罪报告》，2022年 的金融欺诈攻击行为相较前一年增加了64%。

在数字化环境下，大型企业内部复杂的账号体系管理、计划执行、运营活动等过程 成为业务安全的重点关注对象。数字化运营是企业安全保障的重心，特别是在与互 联网密切相关的大量数字化原生企业中，运营活动通过互联网触达海量的个人用户 群体，每时每刻都在面对虚假注册、刷单、恶意操作等大量不可预知的行为。

此 外，如果企业内控体系不够健全，流程不够完善，很容易出现业务上的漏洞，可能 造成无法预知的巨额损失。 此外，一些具有极大经济价值的大型企业机构，还可能会长期遭受APT（高级可持 续攻击）的威胁。这些有组织的、针对特定对象的持续攻击活动，综合运用组织、 技术、社会工程学以及供应链等组合手段，具有极强的隐蔽性和不可预测性。此 外，以ChatGPT为代表的AI技术的加速进步，也将使攻击行为和攻击规模变得更加 巨大且难防。

日益提升的数据安全和隐私的保护意识

面对日益严重的企业安全威胁，各级政府和社会机构都在持续推动相应的立法行动 和组织协同，旨在强化包括数据安全在内的体系化安全监管和执法能力，提升全民 的信息安全和隐私保护意识。对企业来说，这既意味着在日益健全的法规框架下， 监管将更加严格，企业安全的责任也更加重大，同时也意味着在出现安全事件后， 企业面临的潜在处罚将更加严厉。

中国：2017年6月1日《中华人民共和国网络安全法》正式实施，规定了网络运 营者、网络产品和服务提供者等主体的义务和责任，以及网络安全的管理和保 护措施；对个人信息的保护也提出明确要求，违反《网络安全法》相关个人信息保护规定的企业或个人将受到不同程度的处罚。此后，《中华人民共和国数 据安全法》（2021实施）、《个人信息保护法》（2021颁布）等法律法规相继 出台，加快推动围绕网络空间、数据、个人信息隐私的法治化建设进程，初步 形成了以“有法可依”为基础的全面体制、机制保障。2019年12月1日，国家 发布了《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》（后文 简称“等保2.0”），配合法律层面的要求，对网络安全等级保护进行了拓展和 外延。此外，为了以更统筹的方式推进数字中国的建设，2023年3月，我国明 确组建国家数据局，进一步兼顾发展与监管的平衡，在与企业相关的数据安 全、数据资产管理、数据交易等领域，探索出更加符合当前形势的新体制、新 模式。

世界：欧盟在2018年推出了更为严格的《通用数据保护条例》（GDPR），对 已有的数据保护制度进行扩展，以确保公民拥有更多的个人数据方面的权力， 加强数据服务商与服务对象之间的互信，为企业开展数据服务提供更加明确、 规范的法律依据。GDPR不仅适用于欧盟境内的企业，还适用于任何涉及对欧盟 居民数据进行使用的企业。对不合规行为的处罚力度最高可达公司全球营业额 的4%。此外，美国也相继推出了HIPPA、萨班斯、芯片法案等一系列法律文 件，对与信息安全有关的诸多领域进行了严厉的法律约束。

2.构筑数字安全免疫力是大势所趋

企业信息安全领域经过多年的发展，形成了很多较为稳定、成熟的企业安全架构和 安全合规体系等框架和模型。但是随着云计算、大数据、AI、移动办公、物联网、 区块链等技术的飞速进步，企业数字化体系的边界在不断拓展。为了应对日益加剧 的市场竞争，企业不断开展业务创新活动。围绕数字化体系的敏捷、高效、灵活等 要素，都对企业提出了更高的要求，传统“亡羊补牢”式的安全战术会令其面临巨 大的挑战。企业的安全眼光不应再局限于一时一事的具体事件层面，拘泥于传统基 于攻防和事件的被动安全模式，而是需要开始转变为面向未来部署和企业长远发 展，以构建起完整的、基于风险与合规的安全体系。企业应建立前瞻性的安全理 念，从“治已病”发展为“治未病”。

和生物体一样，企业也正面临一个更为复杂多变的时代：宏观环境不可预测，业务 模式不断创新，技术发展日新月异。除不断提升现有的安全防护措施和手段外，企 业愈发需要全方位提升自身的免疫力，以更从容应对不可预知的突发威胁，并在遭 受威胁后能以更快的速度恢复健康运行状态，让企业保持蓬勃发展的生命力，更好 地赋能业务，更好地保障数字化转型。