企业数字安全体系建设中面临哪些痛点？

随着数字化广度和深度的持续强化，企业仍受到多个层面的现实性 痛点的困扰，且这些痛点呈现出泛在化趋势，具备一些跨行业的共性。

1.战略、组织与人才层面

战略认知的局限性：企业缺少对安全、合规价值的战略认知。安全投入的价值 产出不够直观和显性，也难以量化，因此很多时候无法引起管理层和决策层的 足够重视，也无法体现为自上而下的安全意识。企业安全建设更多体现为被动 式的投入，以及应对检查、评审的客观要求。

安全价值理解的悖论：即足够的投入所带来的高安全环境，往往会因为过于风 平浪静而无法让人体验到安全的价值。信息安全与工作效率也一直是无法分离 的矛盾体，例如在加强数据安全时，可能会因为安全流程导致数据分享效率下 降，大量的内、外部交互需要走审核流程，数据也要在经过处理后才能被用于 产品体验优化。效率成为拦截在安全和业务之间的矛盾点。

安全人才匮乏：在第三平台信息技术快速发展的大背景下，云计算、大数据、 物联网等大量新技术不断被引入，企业安全需求产生显著变化，需要学习的新 技术更多，需要面对的风险点更多，而相应人才的数量和质量却跟不上其安全 发展需求。企业普遍缺乏适应新发展的专业化人才，甚至难以组织起体系化的 安全人才团队。

2.技术层面

企业推进数智化发展所引入的大量新技术必然产生新的漏洞和威胁。云化环境、物 联网、大数据的广泛应用为企业带来了很多新的安全问题。

云化环境下的安全：云环境下的企业IT架构有很多新的变化，需要建立和提升 许多新的能力。例如其采用了大量软件定义网络（SDN）的技术，使网络架构 相对于传统IT环境有很大的不同。每个技术环节是否稳健和规范，执行防范是 否到位，薄弱环节是否能准确评估，以及如何优化和改进，需要进行体系化应 对。

物联网环境的安全：企业智能化生产环境在大量增加，产品设计、生产、交付 流程中的智能化，以及用户侧大量增加的智能化产品，都给企业经营和运营提 出了新的要求。互联信息的增加以及用户服务模式的改变（由线下转为远程服 务），都对安全形势产生了显著影响。

大数据应用体系下的安全：企业数据被持续沉淀，数据资产的价值被广泛认 知。在这样的背景下，外部攻击理念发生了巨大变化：传统意义上的攻击更多 是威胁或者炫技，而当前和未来的攻击则潜藏了巨大的经济诉求，这使得面向 数据的攻击更强烈，对企业产生的影响更深远。

旧系统的兼容与维护：老旧系统越来越难以实施安全加固策略，在发现安全问 题后，其加固和修复工作往往会无从下手。很多系统在被动式地打完补丁后， 可能无法正常运转，甚至会导致新的问题出现，使安全运维人员对安全加固产 生畏惧感。同时，产业数字化使企业以更加开放的形态面对外部环境，内、外 部的数字化交互渠道显著增加，安全边界更为模糊。例如现代企业远程办公的 场景越来越多，致使VPN的使用大量增加。VPN的使用需要配合严格的管理体 制机制，面对大量接入的需求，VPN成为被攻击的对象，不仅存在漏洞问题， 而且难以有效解决不安全的连接行为甚至是数据泄露行为带来的问题。

2.流程和运营层面

安全流程的动态变化：虽然企业安全领域一直在强化“三分技术，七分管理” 的理念，但在数智化加速发展的大趋势下，新技术、新产品所构建的平台化创 新体系使传统的安全流程越来越缺乏适配性。特别是在强调弹性、敏捷的分布 式云环境下，很多企业的安全管理更加依赖厂商的支撑，如何发挥安全投入的 价值仍是一个难题。

安全运营理念的缺失：在数字化时代，安全运营的理念已经延伸至充分利用数 字化、自动化手段监测安全动态、洞察威胁隐患、实施风险管理以及快速应对 事件的发生，同时，还需要根据事件反馈不断优化和调整安全策略。在这个升 级迭代的过程中，需要企业在资金和资源上进行持续性投入，这仍是很多企业 难以全面接受的条件。