齊向東：產業數字化轉型需做好“三防”

在國家大力發展數字經濟的背景下，整個社會正在迎來數字化轉型的浪潮。安全是數字時代的根基，隨著《個人信息保護法》《數據安全法》等相關法律法規的落地，數據安全正在從“有法可依”向“有法必依”轉變。

在越來越強的合規要求下，從社會到企業，如何做好數字化轉型中的數據安全工作？對此，奇安信集團董事長齊向東在7月29日的2022全球數字經濟大會開幕式暨主論壇上表示，健全數據安全保護體系，需要從“守法、投錢、培養人”三個方面不斷完善；企業要做好數據安全工作，則應該做到“防違法、防盜竊、防勒索”。

具體而言，齊向東表示，“守法”即企業和個人必須提高遵紀守法意識，明確數據安全“紅線意識”。現實生活中，對數據的非法采挖事件仍然屢禁不止。這主要是因為部分企業、個人的“紅線意識”不夠強。例如，僅工信部2021年就通報整改違規APP達1500多款，對500多個拒不整改的APP做下架處理。

“投錢”則是要加大網絡安全投入。在網絡安全投入水平方面，我國與歐美等發達國家還存在一定差距。根據美國政府發布的2023財年預算，美國非國防聯邦機構的IT預算是658億美元，其中網絡安全預算高達109億美元，網絡安全占IT預算的比例達到16.57%。目前，我國工信部已經發布《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》，其中提出電信等重點行業網絡安全投入占信息化投入比例達10%。但目前我國的政企機構，大部分都不能達到這個要求，還有巨大的上升空間。

在“培養人”方面，需要建立校企聯合培養的固定機制，充分發揮網絡安全企業在攻防一線的實戰優勢，和高校一起制定本科生和碩士博士的培養方案，共同培養面向產業需求、具有實戰能力的高水平人才隊伍。網絡安全的競爭，歸根結底是人才競爭。如果沒有高水平的人才，一切技術創新、產品研發、攻防對抗都無從談起。

“防違法、防盜竊、防勒索”，是齊向東針對產業數字化轉型過程中的數字安全問題給出的建議。

“防違法”是底線，齊向東建議，企業可以借助第三方安全企業的力量，在合法合規的情況下，做好數字化轉型。

“防盜竊”重點是防“內鬼”。齊向東指出，企業必須重點關注兩種“內鬼”。其一是內部員工，大量真實案例已經證明，內部員工并不能完全可信，美國威瑞森的統計顯示，數據泄露事件，82%和內部人有關。防“內鬼”重點是對管理員、技術員、操作員這“三員”的管理，不能僅僅依靠制度，而要靠技術，做到能審查、能告警、能攔截。其核心是管理好特權賬號，要對特權賬號的開設、使用、注銷進行全生命周期的統一管理，治理“一號多用”，解決“弱口令”問題。同時，用零信任策略，確保合適的人、在合適的時間、以合適的方式，訪問合適的數據，確保行為操作合規。

其二是供應商，即供應鏈。政府、企業的數字化設備和系統幾乎都是從第三方供應商采購的，在供應鏈的開發、交付、使用三大環節中，每個環節都可能引入風險，且上游環節的安全問題會被傳遞到下游并放大。一方面，自主開發源代碼天然存在缺陷；另一方面，采用開源軟件的項目也容易留下漏洞。這么多的漏洞，只要有一點突破，就能層層滲透，導致數據被竊取。齊向東建議，應對供應鏈風險，可以通過天問平臺、代碼衛士和開源衛士，及時發現安全風險。

“防勒索”是針對當前高發的勒索攻擊態勢。據奇安信應急響應中心統計的數據顯示，2021年，大中型政企機構的應急響應事件中勒索攻擊占到了近30%。防勒索需要建立縱深防御的內生安全體系。內生安全體系像人體免疫系統一樣，有自適應、自主、自成長的特點。通過縱深防御，整合數據、技術和服務能力，從決策層面、操作層面實現全面監控，多道防線交叉驗證，即使網絡被攻破，也能夠做到業務不中斷、數據不出事、合規不踩線。

對云上的數據安全保護，齊向東在采訪中表示，需要采取三方制衡的模式來應對。用戶是甲方，云服務商是乙方，還需要專業的第三方安全廠商做好數據的安全“監理”工作，不僅幫助用戶更好地保護數據安全，還能幫助云服務商不斷提升平臺的數據安全防護水平。

“沒有網絡安全就沒有國家安全”，齊向東強調，在數字時代，沒有網絡安全就沒有企業的經營安全，沒有網絡安全就沒有企業的數字化未來。網絡安全是數字經濟和數字基礎的底板工程，數字化時代一定要做到安全先行。