“数字化是所有中小企业面临的挑战与机遇，未来五到十年之后，不做数字化转型的企业就会被淘汰。” 6月9日，三六零(下称“360”)公司创始人周鸿祎在2022中小企业数字化论坛上表示。同时，周鸿祎表示，360将推出Saas产品“企业安全云”，面向中小微企业免费提供终端、网络、软件、数据、资产及防勒索等全方位数字化安全与管理服务。
      周鸿祎表示，中小微企业往往是关键基础设施和大型企业供应链中的一环，极容易成为国家数字安全的短板，从国家数字经济发展的全局考虑，中小微企业不能掉队，数字化不能变成只是少数有钱企业的专利，数字安全一个都不能少。
      事实上，近几年数字安全事件屡见不鲜，提升数字安全，保护数字资产，已经成为越来越多的企业关心的话题，而其中，企业管理者的数字安全意识，企业的数字安全文化往往成为被忽视的话题。

2022年5月，俄罗斯黑客组织KillNet正式向美国、德国、英国、意大利等西方10国“宣战”，数小时后，意大利国家警察官网就成为了第一个“受害者”，在持续崩溃三十个小时之后才得以恢复。
      2022年4月，北京健康宝遭受境外网络攻击的消息登上微博热搜。北京市委宣传部对外新闻处副处长隗斌介绍，北京健康宝在使用高峰期间，遭受到境外网络攻击。北京健康宝保障团队进行了及时有效应对，受攻击期间健康宝相关服务未受影响。
      2021年12月，阿里云计算有限公司被工信部网络安全管理局暂停作为网络安全威胁信息共享平台合作单位6个月，起因是，阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。
      2021年4月，来自106个国家的超过5.33亿Facebook用户数据被泄露，其中包括不少知名人士和公众人物，甚至Facebook创始人扎克伯克也在其中。而事实上早在2019年，Facebook就曾因泄露5000万用户数据给剑桥分析公司，而收到美国联邦贸易委员会50亿美元的天价罚单。
……

相信所有人都能感觉到，黑客、网络攻击、数据泄露……这些曾经只存在于科幻电影中的名词，已经离我们越来越近。特别是新冠肺炎疫情以来，数字经济发展提速，企业数字化转型脚步加快，整个社会正跑步迈入数字文明时代，而随着数字化向社会各领域的加速渗透，网络安全风险与挑战也与日俱增，数字安全已经成为经济发展中一个绕不开的话题。

顶层设计——构建数字经济安全体系

今年5月17日，全国政协通过专题协商会形式，对“推动数字经济持续健康发展”进行协商建言。全国政协委员、360集团创始人周鸿祎在会上表示，“随着数字经济与各行业融合，未来所有的产业都将数字化。数字经济发展的胜负手就是 ‘安全’，筑牢了安全的屏障，就是提高了发展的效率和质量；守住了安全的底线，就是守住了发展的成果。因此要从保障数字经济发展的大局出发，以底线思维，考虑极端情况，统筹传统安全与非传统安全，将网络安全升级为数字安全，真正构建数字安全体系，为智慧城市、产业数字化等保驾护航。”

事实上，近些年来在数字化转型进程中，我国已建立了较为完善的数据合规法律体系，随着《网络安全法》《数据安全法》和《个人信息保护法》等法律法规相继发布和实施，数据流通及使用在法律、政策层面的顶层设计初步完善。

今年1月12日，国务院依据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，正式发布《“十四五”数字经济发展规划》（以下简称《规划》），要求着力强化数字经济安全体系，提升数据安全保障水平，数字安全又一次在顶层设计规划层面受到高度重视。

《规划》第四章要求，支持市场主体依法合规开展数据采集，聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节，提升数据资源处理能力，培育壮大数据服务产业……推动数据分类分级管理，强化数据安全风险评估、监测预警和应急处置。

《规划》第九章要求，着力强化数字经济安全体系，提升数据安全保障水平。规范数据采集、传输、存储、处理、共享、销毁全生命周期管理，推动数据使用者落实数据安全保护责任……健全完善数据跨境流动安全管理相关制度规范。推动提升重要设施设备的安全可靠水平，增强重点行业数据安全保障能力。进一步强化个人信息保护，规范身份信息、隐私信息、生物特征信息的采集、传输和使用，加强对收集使用个人信息的安全监管能力。

与此同时，国家也在加大对侵犯隐私和泄露数据等违法行为的打击力度。据工信部公布的数据显示，2021年全年工信部组织对208万款App进行了技术检测，通报违规1549款、下架514款，有力整治违法违规行为。

显然，正如《中国纪检监察报》评论所说，过去部分互联网企业针对个人信息“野蛮掘金的时代”已经成为过去。在新的数字安全体系下，企业应该重新寻找自己的位置。

企业管理——数字安全意识亟待加强

传统企业对于安全生产的重视基本已形成共识，但随着企业数字化转型加速，越来越多的传统企业投入数字化大潮，数字技术融入到每个人的生活和工作，数字安全已经不再是互联网企业专业人士的 “独门绝技”，而应成为数字时代人人需要理解的常识。

从这个角度上来说，当前很多企业管理者和员工，数字安全观念还相对淡薄。以下这组数据或能说明一些问题——

2017卡巴斯基实验室和B2B International调查报告显示：2017年，每年有46%的IT安全事故是由企业员工造成的。52%的受调查企业承认员工是他们IT安全中最薄弱的一环。
SolarWinds数据显示，2019年，在所有的网络意外中，超过65%是由内部的失误而引起的意外，内部因素对网络安全有更大威胁。
Verizon 2020年数据泄露调查报告显示，2017-2019年，数据泄露事件根源中，唯一逐年递增的行为类型是内部人员的错误，如错误操作、错误配置等，错误配置相比于上一年增加了2倍多。

人是安全问题的根源，也是安全防御的核心。这在网络安全行业其实已经是一种共识，安全体系要发挥作用，必须要建立以人为核心的运营机制。只有构建了完整的安全运营团队，才能真正实现检测和响应，最终提升防御能力，降低响应时间，才能真正解决问题。因此，企业数字安全体系的建设，需要基于人来构建业务体系设计和安全技术体系，通过人与技术的协同，建立以人为核心的安全体系。而在这个过程中，数字安全意识的树立无疑是重中之重。

如何建立数字安全意识，首先不能把数字安全只当作专业人士或者专业工具的事，要对所有员工开展培训、宣传强化员工的数据安全意识，把数据安全文化纳入企业文化体系。其次是规范数据采集、流转和使用流程，建立数据安全管理制度。最后是明确数据安全责任，落实到每一位员工。

数字经济时代，数据已经成为重要的基础性战略资源，更是企业的核心资产，数据应用能力决定着企业的市场竞争力。而《网络安全法》《数据安全法》《个人隐私保护法》等相关法律的施行，不仅明确了政府部门的监督管理职责，更对数据管理者、运营者以及个人信息处理者的数据保护责任进行了明确的规范。这些都在为企业敲响警钟，加强企业的数字安全意识，提升数字安全管理水平，平衡安全与发展的关系，应该成为每一个企业需要重视和解决的问题。

文/Frank