高端對話：中小微企業如何做好數字安全

2022年7月30日，第十屆互聯網安全大會（簡稱ISC 2022）在北京國家會議中心正式開幕。會議當天，一場高端對話聚焦“數字經濟時代下的安全問題”，視角主要面向中小微企業如何做好數字安全，數位大咖集思廣益，展開以下對話。

圓桌主持人：鐘力，大數據協同安全技術國家工程研究中心副主任

參與嘉賓：陳曉樺，中國信息協會信息安全專業委員會常務副主任、杜躍進，360集團副總裁、首席安全官、胡偉武，龍芯中科技術股份有限公司董事長、武連峰，IDC中國副總裁兼首席分析師

圓桌主持人鐘力指出，從360發布的《2022??中小微企業數字安全報告》可以看出，在全面的數字化轉型過程中，中小微企業自身對安全的認知和投入上的不足，造成了攻擊面的不斷被擴大，問題由此提出，中小微企業??從自身角度，如何做好安全？

杜躍進認為解決中小微企業可持續的網絡安全需要行業共同努力，??中小微企業在現實面前網絡安全上的投入一定是不足的，就現階段而言，關鍵在于中小微企業必須清楚網絡安全的重要性，并且知道自己該如何做好網絡安全，在他們需要這么做的時候隨時可以把這件事做好。

陳曉樺指出，中小微企業做好網絡安全的重點在于“合規”和“合身”，“合規”是遵守國家法律法規底線，安全企業說合規并不是嚇唬誰，這是條紅線；??“合身”方面，對于中小微企業而言核心是需要找到契合自身應用場景的安全解決方案或服務。他強調，中小微企業雖然受限于體量，但也必須認識到網絡安全沒有“銀彈”，不要指望一兩種產品能解決所有問題。

胡偉武則表示，中小微企業重點需要解決的仍然是生存問題，網絡安全對于他們仍顯奢侈。對于未來，重要的是要建立一種新的網絡安全觀。“過去談論網絡安全都是高大上的東西，用戶都是政府、軍隊、??大型企業，如果我們能夠把安全產品性能提高上去，成本降下來，則可以讓中小微企業和廣大人民都受益。??”

武連峰引用了IDC相關報告指出，我國中小微企業在數字化轉型過程中，70%仍然處于轉型的初、中級階段，在相關的技術選型上，給予網絡安全的地位仍顯不足。中小微企業認識到網絡安全的重要性，取決于他們對數字技術或數字化轉型價值的認可，以及不安全造成的損失大小的警覺。真正能夠解決中小微企業的網絡安全問題，??重要在于政府、行業協會、技術解決方案供應商如何為中小微??企業打造一個真正適合的、性價比高的解決方案。

面對從中小微企業用戶視角談數字安全這一問題時，武連峰則基于調研認為，國內中小微企業大體分為兩類，一是為終端用戶服務的具有可成長空間的企業，另一類是供應鏈產業下游企業，按其表述來看，這些企業需要做好成本控制的同時，將安全融合到產品當中，這將是他們未來擁有更好成長空間的前提保障。

胡偉武則從管理角度提供了自己的見解，比如龍芯中科自身，其核心業務區域從安全角度需要進行物理隔離，同時也要建立邏輯隔離管控制度，比如聯網需要管理員審核，對于需要連接外網的業務，一定要把安全防護做好。胡偉武至今還在用著功能型手機，同時龍芯中科不允許在辦公場所開WIFI熱點，他認為，企業擁有一整套安全管理制度是做好網絡安全的前提。

陳曉樺指出，從供應鏈安全角度來看，中小微企業的內網安全將是最終需要保護的重點，對于特定企業，則需要根據自己的產品和業務需要，購買和選取合規產品服務，比如說電商企業，需要采用WAF、防火墻等設備保障在線業務，又或是加入大型的電商平臺當中，平臺提供一套更加完整的解決方案。

杜躍進最后總結指出，安全涉及的領域眾多，以緊急且基礎的軟件安全為例，連微軟這么多年都一直在“修修補補”。從軟件設計到開發，從安全測試到漏洞挖掘，沒有任何一家企業能夠簡單完成，要想很好的解決這件事，一定是需要加強人才培養，安全制度的設計，安全能力的建設，??知識技能的儲備來支撐。