8月26日，奇安信集团董事长齐向东在北京网络安全大会（BCS 2021）发表主题演讲时表示，DT时代网络安全需要“动态掌控”，只有经营好安全体系，才能实现企业经营安全。

以下为奇安信集团董事长齐向东在BCS 2021大会上的演讲全文：

尊敬的各位领导、来宾，观众朋友们，大家好！欢迎参加第三届北京网络安全大会。

今天我的演讲题目是“经营安全 安全经营”。经营和安全，安全和经营，这两个词如果分开来看，很简单，每个人都会有自己的理解。但把它们放在一起，“经营安全 安全经营”这8个字，包含了思辨的逻辑关系和DT时代的价值观。

“经营安全 安全经营”，不是无源之水、无本之木。回顾过去，2019年，我们提出“内生安全”，把安全能力内置到信息化环境中，它是DT时代的安全理念；2020年，我们提出“内生安全框架”，用系统工程的方法建成内生安全体系，它是内生安全理念落地的方法；今年，我们提出“经营安全 安全经营”，意思是，只有煞费苦心地经营你的安全体系，才能保障你的经营活动安全运转。

“经营安全”实际上是对网络安全的动态掌控。这三年大会的主题，共同组成了政府和企业实施网络安全的“三部曲”：理念、方法、动态掌控。按照这个三部曲的节奏去理解安全、实践安全、发展安全，未来我们生活的世界，必将出现万物生长的繁荣景象。

今天我提炼了两个关键词：DT时代、动态掌控。

第一个关键词：DT时代。

这几年，我们逐渐感觉到，时代正在发生深刻的变化。如何解读这种变化，决定了我们以什么样的方式去面对未来。

 DT时代的三大明显变化

第一个明显变化是，数据问题让国际关系变得越来越复杂。从欧盟颁布GDPR到推进数字税计划，从华为5G、TikTok被美国政府封杀到滴滴事件，我们可以明显感受到，世界各国对于数据主权的争夺越来越激烈，这种竞争在未来相当长一段时间都将是持续性的。

第二个明显变化是，数据资产成为了勒索攻击的头号目标。有人称勒索攻击成为了网络安全“流行病”，勒索的赎金越来越高，造成的威胁越来越大。今年以来，勒索攻击造成了断油、断肉、断播、断零售，赎金从2000万美元到3000万美元，再到7000万美元，屡创新高。

第三个明显变化是，针对关键基础设施数字化系统的攻击愈演愈烈。仅今年上半年，就发生了多起攻击件，攻击对象包括美国自来水水厂、输油管道、南非港口、伊朗铁路的数字化系统，直接影响了人们生活、社会稳定和国家安全。

这些变化，几乎都与数字系统和海量数据有关，标志着人类社会已经从IT时代进入了DT时代。

DT时代的核心，是D，data，也就是数据。数据是人的延伸、交易的延伸、服务的延伸；数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的，但是因为有不同的力量，站在不同的立场，以不同的方式来使用这些数据，数据就有了一体两面性。数据可以拿来做好事，数据也可以拿来做坏事。数据和人性一样，是非常复杂的。我们该如何与这种复杂性共生，是DT时代的一个重要命题。

 DT时代的三个显著特征

为了更好地理解这种复杂性，我总结了DT时代的三个显著特征。

第一个特征，企业经营者的安全责任，从以前的有限责任变成了无限责任。传统经济中，交易是“银货两讫”，交易结束后，企业经营者的责任基本也就结束了。但DT时代，几乎所有的交易都数字化了，一系列新技术、新应用、新场景和具体业务、具体用户结合在一起，共同构成了一个复杂系统。在这个复杂系统里，流动着复杂数据，发生着复杂交易。交易结束了，企业经营者的安全责任并未结束。

举个例子，以前，我们打车招手即停，到了目的地，交易就结束了；现在，我们用手机打车，产生了很多数据，即使出行结束了，用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。最近，一位办企业的朋友向我咨询，员工违规违法导致数据丢失，企业要承担责任吗？我回答他：“数据泄露违法的锅，法人甩不掉。”企业法人的责任大小看两方面：一是后果，如果危害了国家安全，责任就大了；二是看过程，如果企业没有按要求建设必要的网络安全系统，责任也就大了。这和传统的煤矿爆炸是一样的道理，如果矿场没有安全措施、制度和流程，那么矿主一定要承担主要责任。

可以说，只要用户的数据还存在，企业的责任就不会终结。保护每一个复杂交易的数据安全，成为了贯穿企业经营的生命线，是企业经营者的无限责任。

第二个特征，企业的经营活动，成为了国家网络安全的一部分。今年7月，滴滴上市第二天，网络安全审查办公室根据《国家安全法》、《网络安全法》，对滴滴实行审查；7月10日，《网络安全审查办法》修订草案公开征求意见，明确提出掌握超过100万用户个人信息的运营者赴国外上市，必须申报网络安全审查；8月17日，国务院发布《关键信息基础设施安全保护条例》，明确行业主管部门、企业作为关键信息基础设施运营者要承担主体防护责任；8月20日，《个人信息保护法》出台，明确了个人信息处理和跨境提供的规则……这一系列密集出台的法律法规充分证明，企业的经营活动已经和国家安全、社会安全发生了密切联系。

第三个特征，网络攻击破坏企业经营，变成了高频事件。今年7月，一家从事IT管理的软件服务商出现系统漏洞，牵连了全球上千家企业，受影响最大的一家零售连锁企业，旗下至少800家门店被迫停业；同样在7月，开源办公软件Zimbra爆出新漏洞，威胁了20万家企业的经营活动……这些网络攻击事件提醒我们，网络安全的威胁对经营活动的破坏力，变得如此巨大，难以承受。

DT时代，无论是安全系统，还是经营活动，都具备了相当的复杂性。在未来相当长一段时期，想要安全经营，就要学会在经营中与这种复杂性打交道，这是生存和发展的关键。

所以，今年我们提出“经营安全 安全经营”。只有煞费苦心地经营你的安全系统，才能保障你的经营活动安全运转。

第二个关键词：动态掌控。

我今天演讲主题的第一句话是经营安全，在此之前，没有人把这两个词这样排列在一起。以前，我们提到网络安全，一般都说规划网络安全、建设网络安全、运营网络安全，还有网络安全运行。

那么，“经营”这个词，和以往有什么不同呢？

在IT时代，人们认为网络安全建设是一个简单活儿。IT系统解决的是效率问题，比如无纸化办公。IT系统的部署场景是固定的，比如政企机构的办公大楼。IT系统解决安全问题的方法是隔离，不同的业务部门建设不同的网络，叫专网，在专网的边界上安装简单的安全产品。因此，IT时代，网络安全公司的规模都比较小。

在DT时代，网络安全发生了颠覆性变化，变成了一个复杂活。DT系统解决的是生产力问题，比如数字经济，数据是生产要素，数据有生产、使用和交易问题。DT系统是大数据架构的复杂系统，要拆墙、拔烟囱，靠安装简单的安全产品或者某种“银弹”，防住一切网络攻击是不可能的。DT时代，安全变成了一个复杂的过程，先是通过运营发现问题，然后针对问题完善年度建设计划，之后再通过五年规划升级体系建设，让安全动起来，形成良性循环。总之，DT时代，数据的被泄密、被篡改、被删除、被盗窃都是大事，网络安全对政企机构造成的影响，是巨大的和致命的。

所以，我们提出了“经营”这个词，经营安全是对网络安全的动态掌控，只有让安全能力动起来，不断循环升级，才能破解复杂难题。

实现动态掌控需要三个前提条件

经营安全的第一个前提条件是目标，要让安全能力与日俱增，保护复杂系统和复杂交易。

复杂系统，复杂交易，复杂经营，三者是动态连接的。在未来相当长一个历史时期，新技术、新应用、新场景不断涌现，因为新而且复杂，注定安全系统要不断完善，需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标，也可以理解为用内生安全框架实现安全的弹性或扩展性。

经营安全的第二个前提条件是投入，要用足够的资源，来满足我们对安全无限的需求。

安全是没有性价比的，是以结果为导向的。DT时代，网络安全成了“一失万无”的事，按照投入产出的因果关系，有投入才会有产出。这意味着，我们必须对安全有足够的资源投入。这个资源既包括钱，也包括人。工信部在《网络安全产业高质量发展三年行动计划（征求意见稿）》中提出，到2023年重点行业网络安全投入占信息化投入的比例要达到10%。

经营安全的第三个前提条件是运营，要用专业高效的安全运营服务，来抵御复杂的网络攻击。

网络安全是高度复杂的攻防对抗，尤其是在DT时代，边界消失，连接网络的终端泛化，给网络攻击者提供了充当伪装者的条件，攻击伪装者混在业务之中，很难一眼看穿。再加上有些网络攻击者有国家背景支持，单靠政企机构自己单一的力量无法抵御这种复杂攻击。打个比喻，保障人身安全不能单靠个体的力量，还需要专业的警察来维护社会治安。在发达国家，把网络安全托管给专业的安全公司来运营就非常盛行。

 提升安全掌控力需要三个重要能力

有了这三个前提条件，我们还需要三个重要能力，来提升对安全的掌控力。

经营安全的第一个重要能力，是认知能力。

强大的认知能力能帮人们把握事物基本规律、判断事物发展方向、构建自身与世界的关系。网络安全的认知能力也是如此，只有及时看到威胁、揪出威胁、阻断威胁，才能确保安全能力行之有效。

态势感知是建立认知能力的核心。2016年4月19日，习近平总书记在全国网络安全与信息化工作座谈会上指出：“要全天候全方位感知网络安全态势。”总书记强调“没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’，长期‘潜伏’在里面，一旦有事就发作了。”

这几年，态势感知在我国发展很快，传统网络安全厂商和新兴的初创企业都在加大对态势感知的投入。我们总结，目前的态势感知主要分为三种：一种主要用于监管机构，我们称之为监管类态势感知；一种主要用于企业内网，我们称之为运营类态势感知；还一种主要用于实战演练，我们称之为攻防类态势感知。

这三类态势感知，每一类单打独斗都不具备全面的认知能力。有的侧重互联网宏观态势的监测，缺乏针对性；有的侧重日常的安全运行维护，缺乏攻防能力；有的侧重战时的攻防对抗，缺乏平时常态化的运营。更为突出的问题是，只看局部不看整体，有的没有覆盖生产业务系统；有的没有覆盖三级、四级末端的网络；有的没有覆盖物联网、云、数据库和计算平台。

只有将这三类态势感知有机协同在一起，形成实战化态势感知，才能全面提升认知能力。三类态势感知能有机协同，需要构建统一的计算平台、标准和运营系统。有人把态势感知等同于安全大脑，这是不全面的。它是大脑（包括五官）、四肢和武功的三合一。大脑是监管态势，能看见威胁；四肢是运营态势，能揪出威胁；武功是攻防态势，能阻断威胁。

认知能力的关键是安全运营。就像人的认知能力来自学习和实践，网络安全的认知能力来源于实战攻防的运营，通过运营实现攻击告警、调查溯源、拦截阻断的往复循环。

安全运营的基础是资配漏补。资配漏补是资产、配置、漏洞和补丁的统称。先要把软件、硬件、协议等资梳理清楚，建立档案，用系统管起来。在网络安全攻防中，人是战斗的士兵，资产就是城池。如果自己有多少城池都不清楚，做出的网络安全规划一定是不全面的。只有把自己的资产地图画出来，网络攻防战才能有规划、有打法；我们还要做好配置管理、漏洞管理和补丁管理。只有当资配漏补都做好了，我们才能发现安全产品的不足和安全体系的缺陷。日积月累下来，不合格的产品会逐渐退出，合格的产品会越来越好，安全体系会越来越健全。

经营安全的第二个重要能力，是安全能力。

以前，我们把安全市场分为产品市场和服务市场，产品和服务是两回事。现在，要把产品变成一种能力，把能力变成一种资源，并用服务的方式使用资源。换句话说，把安全产品能力化、资源化、服务化。

安全产品能力化，首先要把安全的硬件产品软件化。这是一个艰巨的任务，因为过去为了降低成本，往往选用配置较低的硬件平台。同时，为了提高性能，往往把软件和硬件平台深度耦合。所以，把软件从专属的硬件平台上抠出来，适配更通用的硬件平台，几乎需要对代码重构、重写；

安全产品资源化，首先要实现数据和API标准化。各种各样的安全产品从数据采集、治理、存储、分析，到结果输出使用、API服务，都应该遵从统一的标准，更要与网、云、数据、应用的标准对接。这样，客户就可以用一朵安全云，把所需要的安全产品以资源的形式纳入其中。安全能力资源对外服务过程中产生的日志，自然就形成了安全大数据，可以据此推出能提供更多安全能力的安全大数据中台服务；

安全产品服务化，首先要做到调度指挥。把安全能力以资源服务形式嵌入到需要的每个角落，并且这种安全能力的质量是可评估的。例如，发生网络攻击的当时没有告警，但事后通过分析溯源，定位出是防火墙漏掉了这次攻击，我们就会去改进防火墙技术，或者用资源服务的方式快速地换用其它家的防火墙。

这种安全能力服务，还便于商业模式创新。以前我们采购安全产品，通过招标确定供应商，一经选定之后，就没有机会使用其它品牌的产品了。安全能力资源服务的形式，可以选定多家安全公司的产品部署在安全云上，不使用不付费，依据使用的多少来结算。购买产品模式拼的是商务关系和测试方案，而能力资源服务模式拼的是实战效果，这种模式更能推动厂家技术创新。

经营安全的第三个重要能力，是授信能力。

结语

总结起来，DT时代的网络安全是一件复杂的事，只有经营安全，才能实现对网络安全的动态掌控，而动态掌控力的提升有赖于三种能力：认知能力、安全能力和授信能力。

一位古希腊哲学家提出过一个著名的悖论，叫做“飞矢不动”。说的是把一只短箭投出去，它在空中飞行，它是运动的。但是如果把时间切割开，单独去看每一个瞬间的短箭，它是一样的，好像并没有运动。

“飞矢不动”的悖论告诉我们一个道理，静止是相对的，运动是绝对的。安全也是一样，它看不见摸不着，但是当网络攻击发生了，我们也就感受到了安全的存在。

这也是我今天提出在DT时代，“经营安全 安全经营”这八个字的用意。和时间同在，和变化同在，和运动同在，和安全同在。我相信，只要我们携起手来，共同经营好网络安全防线，就一定能迎来一个更富竞争力、万物生长的数字中国。谢谢大家！