数字安全的认知-数字化转型网www.szhzxw.cn

数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。

在网络安全领域从业20余年，经历了关于网络安全相关各种命名、称呼、术语的变迁。也感受到各行各业对网络安全的认知不断提升。从最早的信息安全，网络安全（Network Security）到网络空间安全（Cyber Security）,以及近期引起讨论的数字安全（Digtal Security）,一方面体现了网络技术、数字技术的发展，另一方面体现了这些新技术在融入千行百业过程中不断得到有关安全方面的关注。那么数字安全与网络安全是什么关系，我有如下理解。

明确两者的关系，需要从数字安全这一术语是如何产生的。数字安全是在数字经济发展的大背景下提出的，自2016年，G20峰会发布《二十国集团数字经济发展与合作倡议》，将数字经济定义为以数字化知识和信息为关键生产要素，以现代信息网络为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力和一系列经济活动。数字技术与经济社会以前所未有的广度和深度交汇融合，人类社会正在被网络化连接、数据化描述、融合化发展。数字经济以数字化丰富要素供给，以网络化提高配置效率，以智能化提升产出效能。数据成为新的生产要素，5G、人工智能、区块链为核心的新型基础设施建设，将加速信息流通，优化资源配置，提升生产效率，为经济增长注入新的动力。因此，数字化面临的安全挑战不仅包括传统的计算机安全、网络安全，还包括新出现的数据安全、人工智能安全，以及数字经济、数字政府、数字社会中各种应用场景的复杂安全问题。例如卫星互联网既拓展了现有互联网的疆域，刷新了网络安全的维度；无人机在电网巡检、工业联网、精准医疗、车联网、物流和运输以及居家生活等方面的应用，隐藏的安全风险已不再是简单的网络和信息安全问题，而是网络安全、信息安全、物理安全甚至人身安全的交叉融合，改变了传统的安全图景。因此数据安全逐渐成为关注重点，供应链面临“卡脖子”与网络攻击双重风险，人工智能的安全问题提到议事日程。数字安全继承和发展了网络安全场景下的所有内容，不仅仅是升级版，是对思维方式、管理模式和技术手段变革。无论网络安全或者数字安全如何发展，都需要解决并思考以下问题。

1、数字安全依然是站在风险管控的角度考虑问题，没有一成不变的风险。

在工作中，经常会遇到一些现象，就是大家把所有精力都投入到修漏洞、打补丁上去，似乎把被发现或者通报的漏洞解决后，安全就可以高枕无忧了。从风险的角度考虑，判断一个系统或者应用所面临的安全风险的高低，不仅与其存在的漏洞或者脆弱性有关系，还与该系统提供的服务的重要程度、可能面临的攻击情况、已经有的防护措施等均有关系，漏洞仅构成风险的一部分。因此，基于风险来看待安全问题会使安全防护工作考虑更全面，安全投入更合理。当考虑到众多构成风险的因素时，使我们更加清晰地认识到，网络安全及数字安全工作所涉及的方方面面非常多，每一个因素的改变都是风险的影响变量，因此，风险也是不断变化的。

2、安全问题的解决是系统化工程，是管理、技术、运营、人员有机运转的结果。

过去大家把解决安全问题的主要筹码压在了购买产品方面，防火墙、防病毒、入侵检测系统、WAF、态势感知平台等等，似乎买了这些产品，就如同在城池外面修了护城河、构筑了防御工事，一切都安全了。殊不知，目前大部分安全技术手段都是基于规则的，没有规则或者说一成不变的规则的安全设备就如同修了大门没上锁一样，构筑防御工事没有卫兵站岗，岂不是白白投入、毫无效果。

说到管理制度与要求，我也经常会被问到，如何编写制度文件或者有没有写过的制度规范可以分享一下，我通常都会欣然同意，但是也会补充一句，“需要结合自己单位的具体情况进行修改”。通常情况下，编写制度的依据来自两个方面，一是国家的法律法规要求，比如，网络安全法、等保、关保等的具体要求，结合本单位情况进行具体细化，另一个重要依据是经过风险评估或者日常工作中发现的会造成安全隐患的问题，觉得有些事情“需要管一管”了，因此落成了制度要求。可见，别人的制度可以参考，但是还是要有针对自己量身定制的制度规范，这样容易执行并且有效果。

有了制度、有了产品，如何让产品或者技术手段支持制度的落实，如何监督制度执行并优化制度，如何保证技术产品发挥最大作用，就需要有专业的技术团队来持续维护、运转一套机制，现在我们通常称之为安全运营，就是要发挥、挖掘与安全有关的制度、技术手段的能力，创造各种运营流程，让安全的各个环节联动起来，就像一套滑轮，各个齿轮之间紧密咬合，形成持续运转的装置，形成飞轮效应。这里面最重要的是人员构成，也就是团队的整体能力带动整套机制的运转，达到降低安全风险的效果。

3、把数据安全定义成一项业务，更容易理解相关工作。

过去，网络安全工作更像是一个基于IT的附属性工作或者归为运维内容，纯技术活。做网络运维的、系统运维的都能临时拉出来去搞网络安全，买个设备部署上就可以了，参加个攻防比赛，临时组队突击培训就可以了，真正网络安全的岗位似乎可有可无。但是，随着网络安全形势日益严峻，国家对网络安全的要求不断提高，加之管理者对安全问题的不断关注及对网络安全的认知不断提升，网络安全工作也在不断向系统化、体系化、业务化方向发展。如果把网络安全工作当成一个业务，那么就要考虑业务对象、业务流程、业务目标、业务指标、业务支撑手段等一系列问题，对比财务工作，就会有财务人员、财务流程、财务系统、财务审计、监管的要求，这样对比，安全工作该干什么就一目了然。这个时候，谁再向您夸大他的产品能力“包治百病”是不是就可以一笑了之了。同样，这个时候再考虑态势感知平台、安全运营平台、安全管理平台的建设发展，是不是就应该先考虑咱们的安全业务到底要干什么事情、解决什么问题、需要什么指标、谁是用户等等需求，是不是就不容易被“忽悠”了。

4、数字安全工作仍然需要走信息化、数字化、智能化的道路，安全大数据的利用将解决很多瓶颈问题。

既然数字安全作为一个业务，那么信息化、数字化、智能化这条道路是不可避免的，我曾经想过是不是有跨越发展的可能，但是觉得比较难。因为每一个“化”都在为后面的“化”做准备，这个准备包括，工作模式、流程的探索与固化、数据的积累、规则与算法的沉淀等，但是这个发展过程会随着行业认知的加速而进入快车道。在向智能化发展过程中，安全大数据的积累与利用将成为安全业务发展的加速器，会解决目前人员不足、未知威胁等瓶颈问题。

5、数字安全专业人员是发展的根本保障。

数字安全从业人员对安全认知的高度决定了安全工作的成效。作为专业人员要不断审视制度的合理性、技术的先进性、规则的有效性、风险的管控度等问题，并在这个过程中不断调整，反馈问题，他们是安全工作发展的掌舵人、调节器、润滑油。安全工作涉及的管理技术领域非常广泛，比如对于安全管理人员，既要了解国家、行业等的规章制度，同时要在一定程度上了解所涉及的技术领域，通常形容应具备的知识是“一英里宽、一英寸深”。对于技术人员，又可以根据不同维度分为，网络技术、操作系统技术、数据库技术、应用开发技术、事件分析技术等，随着数字化发展，“云、大、物、移、智”这些技术都要不断跟踪。可以对比医院的科室或者医生的专业就比较好理解，不同专业的医生看不同的病，在网络安全领域也类似。因此，对于安全专业人员的培养也是多方面的，那么安全团队的组成也要综合评估其服务的对象以及所在的领域，不能一听说是“做安全的”，就觉得可以各个岗位通吃。因此，培养网络安全专业人员也需要不断探索好的方式方法，即提升他们的能力，也要留住人留住心。

以上仅是关于数字安全需要考虑的部分问题的一些看法，不同的专业方向的从业者根据自己的岗位所面临的问题会有所不同，但在安全整体的大的框架下考虑具体的问题，可能对决策的制定更有帮助，也就是先有全局观，后有具体措施，防止“头痛医头，脚痛医脚”。个人的一点看法，抛砖引玉，供思考。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn

数字化转型网数据专题包含哪些内容