“數字貿易沒有‘數字海關’，企業想要安全經營，就得‘自證清白’。”9月3日，在2021年中國國際服務貿易交易會“數字貿易發展趨勢和前沿高峰論壇”上，奇安信集團董事長齊向東表示，數據安全是企業安全經營的生命線，企業需要通過建設數據安全系統來守住數據安全紅線。

　　數據安全合規時代到來  劃定企業安全經營“生命線”

　　數據正在成為大國博弈的焦點。當前數字技術加速發展，全球數據量爆發式增長，據統計，2035年全球產生的總數據量將超過2萬億TB，數據安全已經關系到了國家安全。世界各國和地區為此陸續出臺了法律法規限制數據跨境流動，保障其境內數據安全。

　　我國也為互聯網企業的“走出去”、“引進來”劃定了安全紅線。今年以來，我國高度重視數據跨境流動，在政策上不斷加碼。密集制定、出臺及實施《網絡安全審查辦法》、《個人信息保護法》及《數據安全法》等法律法規，數據安全合規時代正式到來。

　　對于企業而言，數據安全又是企業安全經營的生命線。當數據被不安全使用，將造成企業核心數據資產泄露，輕則帶來經濟損失，重則遭遇停業整頓。IBM Security研究顯示，2019年每起數據泄露事件給企業造成的平均損失高達424萬美元，約合2740萬人民幣。

　　數字貿易沒有“數字海關”  經營者要“自證清白”

　　“數字貿易沒有‘數字海關’，經營者要‘自證清白’。”齊向東表示，數據是無形資產，在數字貿易中，企業建立從內到外能自證清白的安全系統非常必要。他指出，傳統貿易有海關，而數字貿易沒有“海關”。企業經營者需靠自覺遵循相關法律法規，建立“自證清白”的安全系統。一方面，企業涉嫌踩紅線，經營者要自證清白，否則就要面臨安全審查；另一方面，一旦確認違規，在評估后果時，經營者要自證未造成嚴重后果，如果無法證明后果不嚴重，可能面臨嚴重處罰。

　　齊向東表示，對企業經營者而言，企業要守住數據安全的三條紅線：

　　一是守住數據采集紅線，在服務過程中要以最小化原則收集用戶隱私，且今年以來，工信部、國家網信辦等相關部門已通報、下架大量違規APP，取消數千家備案網站平臺；

　　二要守住數據存儲的紅線，數據運營商作為數據活動的處理者，必須嚴格遵守相關法律，并對所存儲數據負有安全責任；

　　三要守住數據流動的紅線，不只是供應鏈上下游數據流動，數安法對數據跨境流動也進行了明確規定。

　　如何守住數據安全紅線？齊向東認為，內部威脅是當前網絡安全的最大危害，調查顯示，超85%的網絡安全威脅來自內部，危害遠超黑客攻擊和病毒造成的損失。供應鏈、外包商、員工等都可能成為“內鬼”，竊取機密信息，造成巨大危害。從無數真實案例中，他總結了關于人的兩大“失效定律”：一切忽略任性的管理手段都會失效，一切沒有技術手段保障的管理措施都會失效。在兩大失效定律指導下，齊向東認為要從內部消除數據安全威脅，就需要建立數據安全系統，在安全體系設計中考慮人的因素，及時發現內部人員的異常行為，并及時檢測和阻斷來自內部的攻擊。

　　“數據安全系統必須是內生安全系統”，齊向東表示，用“網絡安全建設三部曲”：內生安全的理念、內生安全框架的方法，最后通過經營安全做到動態掌控，以此建立“自證清白”的內生安全系統。

　　經營安全需建立“一中心兩體系”

　　齊向東提出了經營安全需要打造認知、安全、授信三個重要能力。在數字貿易發展論壇上，他進一步闡釋，打造這三大能力，要建立“一中心兩體系”，即網絡安全態勢感知與管控中心、網絡安全防護體系以及動態授信體系。

　　“態勢感知與管控中心是大腦、四肢、武功的三合一，將認知能力落地。”齊向東強調，“大腦”是監管態勢、“四肢”是運營態勢、“武功”是攻防態勢。態勢感知與管控中心將監管態勢、運營態勢、攻防態勢合為一體，能確保及時看到威脅、揪出威脅、阻斷威脅。

　　網絡安全防護體系是安全能力的落地。齊向東提到，建立網絡安全防護體系要實現能力、數據和人才的“三聚合”，即將安全能力和IT能力聚合、將安全數據和IT數據聚合、將安全人才和IT人才聚合。而“三聚合”的前提，是把安全產品“三化”：能力化、資源化、服務化。他強調，“三化”是一場技術的創新革命，將極大推動廠家的技術創新。

　　由零信任機制提供的動態授信體系，是授信能力的落地。齊向東表示，內部威脅的痛點是信任問題，而動態授信體系是數字化時代解決信任問題的手段，通過在數據層面進行分類分級、在訪問層面進行細化控制的方式，“明確是什么部門的什么人、在什么地方、因為什么任務、訪問什么數據里的什么字段”。“經營安全，實現對安全系統的動態掌控，企業就能在數字貿易中‘自證清白’。”齊向東說。

　　“數字”成為今年服貿會的關鍵詞。奇安信集團作為唯一一家網絡安全廠商，亮相服貿會數字服務專題展區，以“冬奧標準奇安信，網絡安全快一步”為主題，全面展示新一代網絡安全框架。