ISC2022系列报道 | 高端对话：中小微企业如何做好数字安全

2022年7月30日，第十届互联网安全大会（简称ISC 2022）在北京国家会议中心正式开幕。会议当天，一场高端对话聚焦“数字经济时代下的安全问题”，视角主要面向中小微企业如何做好数字安全，数位大咖集思广益，展开以下对话。

圆桌主持人：

钟力，大数据协同安全技术国家工程研究中心副主任

参与嘉宾：

陈晓桦，中国信息协会信息安全专业委员会常务副主任

杜跃进，360集团副总裁、首席安全官

胡伟武，龙芯中科技术股份有限公司董事长

武连峰，IDC中国副总裁兼首席分析师

圆桌主持人钟力指出，从360发布的《2022‍‍中小微企业数字安全报告》可以看出，在全面的数字化转型过程中，中小微企业自身对安全的认知和投入上的不足，造成了攻击面的不断被扩大，问题由此提出，中小微企业‍‍从自身角度，如何做好安全？

杜跃进认为解决中小微企业可持续的网络安全需要行业共同努力，‍‍中小微企业在现实面前网络安全上的投入一定是不足的，就现阶段而言，关键在于中小微企业必须清楚网络安全的重要性，并且知道自己该如何做好网络安全，在他们需要这么做的时候随时可以把这件事做好。

陈晓桦指出，中小微企业做好网络安全的重点在于“合规”和“合身”，“合规”是遵守国家法律法规底线，安全企业说合规并不是吓唬谁，这是条红线；‍‍“合身”方面，对于中小微企业而言核心是需要找到契合自身应用场景的安全解决方案或服务。他强调，中小微企业虽然受限于体量，但也必须认识到网络安全没有“银弹”，不要指望一两种产品能解决所有问题。

胡伟武则表示，中小微企业重点需要解决的仍然是生存问题，网络安全对于他们仍显奢侈。对于未来，重要的是要建立一种新的网络安全观。“过去谈论网络安全都是高大上的东西，用户都是政府、军队、‍‍大型企业，如果我们能够把安全产品性能提高上去，成本降下来，则可以让中小微企业和广大人民都受益。‍‍”

武连峰引用了IDC相关报告指出，我国中小微企业在数字化转型过程中，70%仍然处于转型的初、中级阶段，在相关的技术选型上，给予网络安全的地位仍显不足。中小微企业认识到网络安全的重要性，取决于他们对数字技术或数字化转型价值的认可，以及不安全造成的损失大小的警觉。真正能够解决中小微企业的网络安全问题，‍‍重要在于政府、行业协会、技术解决方案供应商如何为中小微‍‍企业打造一个真正适合的、性价比高的解决方案。

面对从中小微企业用户视角谈数字安全这一问题时，武连峰则基于调研认为，国内中小微企业大体分为两类，一是为终端用户服务的具有可成长空间的企业，另一类是供应链产业下游企业，按其表述来看，这些企业需要做好成本控制的同时，将安全融合到产品当中，这将是他们未来拥有更好成长空间的前提保障。

胡伟武则从管理角度提供了自己的见解，比如龙芯中科自身，其核心业务区域从安全角度需要进行物理隔离，同时也要建立逻辑隔离管控制度，比如联网需要管理员审核，对于需要连接外网的业务，一定要把安全防护做好。胡伟武至今还在用着功能型手机，同时龙芯中科不允许在办公场所开WIFI热点，他认为，企业拥有一整套安全管理制度是做好网络安全的前提。

陈晓桦指出，从供应链安全角度来看，中小微企业的内网安全将是最终需要保护的重点，对于特定企业，则需要根据自己的产品和业务需要，购买和选取合规产品服务，比如说电商企业，需要采用WAF、防火墙等设备保障在线业务，又或是加入大型的电商平台当中，平台提供一套更加完整的解决方案。

杜跃进最后总结指出，安全涉及的领域众多，以紧急且基础的软件安全为例，连微软这么多年都一直在“修修补补”。从软件设计到开发，从安全测试到漏洞挖掘，没有任何一家企业能够简单完成，要想很好的解决这件事，一定是需要加强人才培养，安全制度的设计，安全能力的建设，‍‍知识技能的储备来支撑。

THE END