本文来自微信公众号：翔哥有话要说（ID：xgyhys1212），作者：科比爸，头图来自：《一路狂奔》剧照

过去四十年，经济史最值得关注的两个宏观变量，一个是经济全球化，另一个是经济网络化、数字化。在很大程度上，两者是一回事，全球化使互联网在全球被广泛应用推动了经济增长，而互联网则让全球经济更紧密联系，物流、信息流、资金流加速运转。无数企业抓住浪潮，快速发展，创造了非常多的商业奇迹。

1997年年初，亚洲金融危机的风暴正在东南亚酝酿。那年4月18日至21日，在深圳召开了全国信息化工作会议，会上通过了一份“国家信息化九五规划和2000年远景目标”，将互联网列入国家信息基础设施建设，并提出建立国家互联网信息中心和互联网交换中心。

这是在国家层面正式将互联网纳入远景规划。当时中国互联网处在“年幼期”，最早的一批互联网创业者还在模仿发达国家的成熟模式，整个互联网对经济的贡献度可以忽略不计。

毕竟直到11月，中国互联网络信息中心首次发布的《中国Internet发展状况统计报告》显示，截止到1997年10月，中国上网计算机数仅有29.9万台，上网用户数62万，WWW站点数约1500个。

但就是互联网在中国“小荷才露尖尖角”时，国家层面就重视了网络安全问题，在那年12月30日公布了《计算机信息网络国际联网安全保护管理办法》。

可以说，中国互联网与网络安全“同年生”。

1998年是颇具历史性的年份，亚洲金融危机在全球扩散，重创全球经济，但却是全球互联网发展浪潮汹涌澎湃时。只是，初生的互联网世界也很快迎来了第一波风暴，1998年11月2日美国发生了“蠕虫计算机病毒”事件，“蠕虫”在Internet上大肆传染，全美6000多台计算机被感染，造成Internet不能正常运行，这是历史上第一个通过Internet传播的计算机病毒。

此后，病毒、网络攻击就与互联网相伴相生，互联网呈指数级发展，网络攻击也如日增多。

历来，都认为加入WTO是中国经济崛起的巨大动力，其实，在中国加入WTO的时候正赶上了互联网大爆发，使得在承接产业转移、跨国贸易大幅增加时，还赶上了新技术革命，只是，当时很少人预见到后来中国能诞生那么多互联网公司，制造业、服务业会与互联网紧密融合。

经过二十多年的发展，现在中国网民人数已达10.67亿，从2012年到2021年中国数字经济年复合增速达15.9%，移动社交、移动购物、金融理财、出行服务、移动视频、系统工具、生活服务等领域的月活跃用户规模均在数亿。互联网扩大了企业的市场半径，能以更低的成本服务更多客户，更快的速度响应客户需求，互联网与基建网双网合一，使得中国拥有全球第二大规模的数字经济，以及在各领域提供服务的数字经济企业。

除了狭义的互联网企业，制造业、交通物流、医疗、教育等行业也都全面接入互联网，运用网络技术进行升级改造。占GDP30%左右的制造业，从设计研发、生产、销售、财务、运维管理等整个环节都越来越离不开互联网，数字化与工业化深度融合，一些大型制造业企业的服务器集群规模并不输一般的互联网企业。

企业数字化程度深入，网络攻击也如影随形，随便搜一搜就能搜出《某社交媒体平台被暴力破解导致数据泄露，涉及1.7亿用户》《某汽车披露数据安全事件：部分数据遭窃取 被勒索1567万元》《某券商OA系统遭攻击，影响移动办公》《某保险公司遭受黑客攻击，大量客户信息泄露》《黑客长期潜伏国内一外贸企业邮箱，骗走200余万美元货款》等新闻。

由此可见，不仅仅是互联网/移动互联网企业会遭到网络攻击，制造业、金融业、外贸、酒店等等所有使用网络的企业都可能会遭到攻击，轻则数据泄露，重则被勒索，更有甚者就是服务器被挟持用于攻击重要目标。攻击者也不一定就是盯上有庞大服务器集群、数据的互联网企业，因为随着工业互联网的发展，制造业企业不但运用网络服务，自身也有服务器集群，其数据可能被窃取，其生产控制权限可能被劫持，其服务器可能被挟持。

随机问了几家企业，在极其有限的样本中，就发现有遭遇过攻击，对企业的影响是极其麻烦的。

也就是说，如果不重视网络安全，点状的风险扩散成严重的安全“风暴”，公司的服务器成了“帮凶”，引来难以解释的麻烦和后续整改、处罚。

一、没有安全就没有发展

国家层面非常重视互联网安全问题，在“中国互联网元年”，仅有30万左右台联网计算机时，就出台《安全保护管理办法》，近年来更是出台《网络安全法》《个人信息保护法》《数据安全法》《工业和信息化领域数据安全管理办法（试行）》等一系列法律法规，尤其是《网络安全法》规定了网络运营者、网络产品和服务提供者等主体的义务和责任，以及网络安全的管理和保护措施；对个人信息的保护也提出明确要求。

也就是网络安全主体责任压实到运营者、服务提供者。

这也是全世界越来越明确的合规要求。美国的《国家网络安全战略》要求所有处理个人数据的实体更加关注保护数据，软件厂商对技术的安全性负有更多直接的责任。欧盟的《网络弹性法案》要求投放欧盟市场的互联网硬件和软件产品的制造商、进口商和分销商必须遵守增强的网络安全要求，以及《通用数据保护条例》（GDPR）对数据进行严格监管，该条例不仅适用于欧盟境内的企业，还适用于任何涉及对欧盟居民数据进行使用的企业，违反的企业或被处以数亿欧元的罚款。

亚马逊、Meta等企业都领教过，因违反GDPR，分别被处以7.46亿欧元、12 亿欧元的罚单。

从全球范围来看，网络安全已经不仅仅是是防范被网络攻击，还涉及到数据安全、数据合规、隐私保护、内容安全等等，是一整套合规性要求，不但要求企业有相应的措施、设备、技术，还要在组织架构、企业文化等方面满足要求，也即“合规之墙”。

因此，国外一些大公司已经大幅增加网络安全方面的投入，谷歌母公司AIphabet计划在未来三年内将网络安全方面的投资增加至100亿美元。花旗集团表示将投入13亿美元用于网络安全方面的研究和开发。摩根大通则宣布推出专门的网络安全部门，以进一步保护其企业和客户的数据安全。等等。

但我实际走访发现，大部分企业对网络安全还是相当漠视的，或者说还认为仅仅是公司采购点安全软件或服务，最多在IT部门配置一个小型安全团队。

一位网络工程师告诉我，“一般有安全团队的都算重视的了，还没有安全团队的，老板大多都是目前还没被搞过，或者被搞了损失的不是自己，比如自己的网站用户信息泄露，只是用户账号密码被偷了，老板又不会受到什么直接损失。”

这可能是为什么网络安全事件频发的重要原因，过去对安全、合规要求不高，企业老板就往往不重视安全和合规，以发展为优先甚至是唯一选项，所有资源都倾注于发展，忽视安全投入，哪怕企业的体量已经很大，在出事故之前仍然怀着侥幸心理，将安全部门、合规部门视为成本中心，能省则省，将安全、合规视为桎梏，能少就少，粗放式发展形成惯性思维，蒙眼狂奔。

另一位安全服务咨询师告诉我，“国内企业的安全都靠后，先功能先发展再安全，甚至是不出事就不管安全。”

在过去，网站被撞库泄露用户数据，可能掩盖掩盖就过去了。但在合规要求日渐严格的现在，责任落实到企业主体，再发生因安全防护不达标导致被攻击数据泄露的事故，就会付出代价。

代价不仅仅是重罚，因为用户、客户也开始重视数据隐私，一旦自己使用的服务的数据被泄露，也会对该公司失去信任甚至避而远之，导致用户、客户大量流失。

某车企就发生过遭遇大规模用户数据泄露后，面临攻击者的勒索要挟，使企业遭受巨额索赔和名誉受损等多重损失。

经济发展，用户暴增，业务上网使得企业掌握的数据量呈指数级增长，而正如中国人民大学商学院教授毛基业认为的：在数据量低的阶段，安全后果相对可控；在数据量爆炸的当下，数据安全事件造成的后果是“核弹级”。

所以，全球的数据安全、合规标准完善是各国当局、民众重视起来合力推动的，只会越来越严格，处罚力度越来越大。

其实，换个角度思考，市场竞争到一定阶段后，安全就成为企业的品牌和新核心竞争力，安全做得好，能让用户信任，加大好感度，更愿意接受服务，形成口碑和品牌；安全做得好，企业的业务就有保障，能更从容发展，避免爆发安全大事件导致口碑崩塌和用户、客户流失。

当下激烈的市场竞争对企业能力的要求是全方位的，数字化往往是重要抓手。随着云计算、大数据、AI、物联网等技术飞速进步，企业数字化体系的边界在不断拓展。为了应对日益加剧的市场竞争，企业在生产、财务、营销、客服等环节不断数字化，数字化帮助很多企业在短短数年就成长为大型企业，这在很多行业都有案例。

但在企业经营越来越依赖全链条数字化的时代，任何一个节点都可能存在漏洞，只有数字化的能力，但安全的底座没有同步夯实。那么除了财务被窃取、被种木马等隐患，在营销环节也会遭遇越来越多被“黑产薅羊毛”，导致企业为获客投入的巨额营销费用被薅得一干二净。2018年底，星巴克上线“APP注册新人礼”营销活动，就被黑产利用机器大量注册虚假账号领取优惠券，致使活动被迫紧急下线。

此外，如果企业遭遇网络攻击，数字支持系统服务停摆，那么损失的就不仅仅是中断期间的销售额，还会引发声誉风险。2022年5月，印度香料航空公司因遭受勒索软件攻击，导致航班取消，旅客被迫滞留机场。10月，麦德龙遭遇网络攻击，IT和支付服务被迫中断，在德国、法国、奥地利等多国的超市受影响，在线订单延误。等等。

大公司家底厚、品牌影响力大，还能暂时承受起索赔、罚款、声誉短期受损，但还在成长期的公司一旦发生类似的情况，可能财务、声誉就会被击穿，轻则被竞争对手赶超，重则关门谢客。

所以在这个时代，安全并不是发展的对立面，而是发展的基石，安全能力也是企业核心竞争力之一。这越来越成为一种共识，根据《2023企业安全建设水平抽样调研报告》显示，超过一半的CSO认为安全能力缺失会制约企业的发展。

在企业发展的每个阶段都必须匹配相应的安全能力，小有小的需求，大有大的要求，它是帮助企业发展的助推剂，应该伴随企业的发展同步升级，贯穿于企业发展当中。在企业规模尚小的时候，就应重视安全问题，有远景规划，每个阶段进行相应的投入，这部分投入绝不是能省则省的“开销”，而是和发展业务的投入一样，是投资。

“小”投入办“大”事，只有打好安全底座，才能支撑起业务的发展，支撑起业务要做的合规要求，防护业务快速发展后面临的种种攻击，建立起的屏障保护业务合规、平稳发展。

这份必要投资，绝不能等“出了事再说”。

二、安全必须前置

在走访过程中，有业内人士吐槽，不少企业对安全投入的理解是，“老板们让咨询公司在纸面上写好安全规范和流程，做一些整改，认为就够了就安全了，轮不到安全公司染指。”

当然，也有企业早早就重视了安全问题，采购了设备、软件和服务，配置了相应的人手，甚至有些还有“技术崇拜”的倾向，认为只要配了技术和人手就高枕无忧。

但这些来自不同供应商的软件、服务、设备只是个个都是孤岛，看似堆了设备堆了前沿技术，但无法互联互通，无法形成统一体系，也缺乏维护，导致漏洞不断暴露，并且不具备随着风险变化而升级应对的能力。

企业不断在发展，所面临的风险等级会增加，合规、安全要求也会相应提高，服务一百名客户和服务一万名客户到服务千万级、亿级客户所需要的能力完全不在一个数量级，相应的所用于支撑发展的安全能力也不是一个数量级。

因此，企业需要构建一套自扩展、弹性、自适用的安全架构，这套架构不但是整体性的安全技术和服务，还根植于企业的发展战略、组织架构、组织文化里，形成一种“免疫力”，抵御各种潜在和现实的安全威胁。

这就是“数字安全免疫力”。经过多年发展，企业已经从数字化转型时代进入到数字化业务时代，由于数字化体系具有开放、高效等特征，传统事件驱动型的安全战术，“亡羊补牢”代价太大，会让企业面临巨大风险，因此不应再专注于攻防和事件的被动安全模式，而是要转变为面向未来部署和企业长远发展，构建完整的、基于风险与合规的安全体系。

这个理念在IDC发布的《加强数学安全免疫力，促进数字化时代下的韧性发展》白皮书里多有阐述。总的来说，数字安全免疫力强调前置投入，将安全要素融入至企业的战略、管理、文化、运营流程中，打通平台、技术、能力等层面的壁垒，建立数据安全治理和业务风险控制两座免疫“堡垒”，做好网络防护、数据合规、隐私保护、内容合规等，保障企业平稳发展。

 （来源：《数字安全免疫力白皮书》）

企业和人一样，有生命周期，因此在企业发展的“不同年龄”（例如企业用户规模、信息化/数字化程度）阶段，针对不同需求，接种相应“疫苗”。如同接种疫苗应由专业医护来做，数字安全同样也要由专业厂商来做，企业与其闭门造车，不如借助专业安全厂商所提供的能力/服务，针对自身情况，加强针对特定风险的抵御能力。

毕竟从风险角度来看，全球网络攻击的频次和损失日渐增多，如果说过去攻击者多少带着“炫技”的成分，那么现在的攻击越来越倾向于经济利益，IDC数据显示早期企业遭勒索金额平均在100~200美元之间，而到2021年，此类攻击导致的经济损失已达到百万美元级别。至于那种借道企业服务器“肉鸡场”对国家安全形成威胁的攻击，随着地缘局势复杂性加剧，威胁程度也在上升。

从数据量来看，根据IDC统计，2021年全球创造了84.4ZB数据，预计到2026年，全球数据量将达到221.2ZB，年复合增长率达到 21.2%。企业在发展过程中会存下大量高价值的数据，这些数据是企业未来发展的重要资产，但正如一位企业安全负责人所言：“数据在哪里，价值就在哪里，攻击就在哪里。”

过去攻击者可能只是把偷盗来的数据包小范围分享，而今数据价值的显露引发大批黑色产业的觊觎，攻击者通过爬虫、木马、漏洞等技术手段，再结合社会工程学方法进行拖库、撞库，频繁攻破企业的安全防线，实施勒索或者贩卖数据，给企业带来惨痛经济损失。

而在合规性要求严格、用户重视隐私的当下，企业遭受经济损失的同时，还会面临严重的法律风险和社会舆情压力。

这些变化，企业应该重视，甚至不仅仅是CSO要重视，企业的当家人更应该重视。

因为安全投入的价值产出不够直观和显性，也难以量化，在风险爆发前，很多时候无法引起企业决策层和管理层的足够重视，企业安全建设更多就是被动式的投入以及应对检查、评审，做面子工程，无法形成自上而下的安全意识。

企业里所有人都是围绕着当家人的意识、意志运转，如果当家人缺少对安全、合规价值的战略认知，让企业形成数字安全免疫力，别说落实到预算，连中层都传达不到。

这就给企业的安全和后续发展埋下巨大隐患，成为“不定时炸弹”。

安全领域有个悖论是：安全工作做足，一直风平浪静，老板就心疼起钱来，觉得没啥事还要花钱，很可能就把这块预算给砍了，结果防护力削弱，发生风险，造成更大的损失。

其实，相比起建立“数字安全免疫力”后，企业业务能安全发展所带来的价值，这个预算其实也是对业务投资的一部分，正如IDC中国副总裁、首席分析师武连峰所言，“投入安全的钱其实是小钱，反而如果不重视安全造成事件，那损失的钱可能是大钱。”

这个“钱”不一定只是金钱。

由于对数据的价值有了共识，所以安全行业要保护的对象始终在升级，不但国家层面在这方面有更多的法律法规和部署，企业话事人也应该更早意识到：自己的核心资产绝不能丢了。

本文来自微信公众号：翔哥有话要说（ID：xgyhys1212），作者：科比爸