互聯(lián)互通驅(qū)動(dòng)著技術(shù)的不斷顛覆，積極應(yīng)對(duì)網(wǎng)絡(luò)安全問題成為全球共識(shí)，安永要做的工作就是通過自動(dòng)化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級(jí)。

——安永公司亞太區(qū)CYBER主管合伙人?Richard Watson

當(dāng)今的世界有危險(xiǎn)，有機(jī)遇，很明顯我們現(xiàn)在面臨著技術(shù)顛覆的時(shí)代。造成顛覆的原因是什么？原因包括越來越快的信息傳輸速度，比如5G技術(shù)，還有器械設(shè)備的互聯(lián)互通，以及自動(dòng)化技術(shù)的發(fā)展。技術(shù)的顛覆對(duì)企業(yè)的業(yè)務(wù)來講意味著什么？企業(yè)需要改變運(yùn)作模式、商業(yè)模式，我們現(xiàn)在的業(yè)務(wù)周期變得越來越短，各個(gè)行業(yè)之間不斷融合，橫跨的業(yè)務(wù)板塊越來越多樣，市場(chǎng)變化越來越迅速。

在技術(shù)顛覆的時(shí)代，廣泛存在的是融合，有IT與OT環(huán)境的融合，還有網(wǎng)絡(luò)與機(jī)械設(shè)備的融合等。隨著AI技術(shù)的演變，以及自動(dòng)化技術(shù)、傳感器、云計(jì)算等發(fā)展，各部分運(yùn)作系統(tǒng)之間的隔離正在被破除。這種技術(shù)發(fā)展帶來的連接性可能會(huì)將以前的一些本地問題變成全球性問題，帶來更大的企業(yè)聲譽(yù)風(fēng)險(xiǎn)，造成重大的財(cái)務(wù)損失，甚至還會(huì)對(duì)人身安全造成影響。另外，這種連接性還會(huì)給整個(gè)OT系統(tǒng)帶來嚴(yán)重的干擾。如果員工在沒有被監(jiān)督的情況下接觸到了OT系統(tǒng)并做了錯(cuò)誤操作，之前因?yàn)楦鞑糠窒到y(tǒng)之間是相互隔離的，所以一般不會(huì)發(fā)生問題，但現(xiàn)在一切都是相互連接的，所以問題會(huì)到處傳染，并且在工業(yè)生產(chǎn)過程當(dāng)中，問題會(huì)被愈來愈放大。

由于云技術(shù)的引入，OT環(huán)境不斷地被放大，而且在整個(gè)操作系統(tǒng)當(dāng)中，OT社區(qū)有了更高的意識(shí)，更易受到針對(duì)OT的病毒攻擊，比如一些制造廠就受到了惡意勒索病毒的攻擊，這些都激起了大家建設(shè)安全網(wǎng)絡(luò)環(huán)境的意識(shí)。

我們測(cè)試了很多OT系統(tǒng)，發(fā)現(xiàn)了很多有意思的事情，不管是在交通領(lǐng)域，還是在制造領(lǐng)域，實(shí)際上有一些基礎(chǔ)網(wǎng)絡(luò)應(yīng)用原則沒有被應(yīng)用到OT系統(tǒng)中。例如，我們?cè)贠T系統(tǒng)里面用的是明文密碼，但這在IT系統(tǒng)當(dāng)中是不可以的。另外，OT系統(tǒng)打補(bǔ)丁是很困難的，在IT系統(tǒng)中我們可以通過下載更新補(bǔ)丁來完善系統(tǒng)，因此相較于IT系統(tǒng)，OT系統(tǒng)更易遭到惡意軟件的攻擊。

接下來我想要談一談亞太地區(qū)的一些公司和組織是如何應(yīng)對(duì)網(wǎng)絡(luò)安全方面的問題。首先，現(xiàn)在的公司和企業(yè)，不再采用基于標(biāo)準(zhǔn)的方法，而是更多地采用基于風(fēng)險(xiǎn)的方法來應(yīng)對(duì)網(wǎng)絡(luò)安全問題。其次，企業(yè)要清楚了解風(fēng)險(xiǎn)的類型和大小，進(jìn)而制定控制、改善風(fēng)險(xiǎn)的措施，如果有更高的安全標(biāo)準(zhǔn)作為基準(zhǔn)，那么我們要盡量去符合它。實(shí)際上我們最終的目標(biāo)不是一味地去滿足高標(biāo)準(zhǔn)，而是減少風(fēng)險(xiǎn)發(fā)生的概率，所以我們要了解我們暴露在什么樣的威脅下，我們要知道競(jìng)爭(zhēng)對(duì)手是什么樣的。

我們要以長遠(yuǎn)的眼光看待未來網(wǎng)絡(luò)安全的情景，要讓管理層認(rèn)識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)制造業(yè)的影響，引發(fā)重視，讓網(wǎng)絡(luò)安全置于企業(yè)管理層的中心位置，提前規(guī)劃和組織安全防護(hù)的系統(tǒng)框架，未雨綢繆，有效預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生。

我們可以看到，整個(gè)亞太地區(qū)的網(wǎng)絡(luò)安全應(yīng)對(duì)措施在不斷地變化，而且出現(xiàn)了更多以數(shù)據(jù)為中心的方法。以一個(gè)在供應(yīng)鏈領(lǐng)域的網(wǎng)絡(luò)安全問題為例，在交換數(shù)據(jù)的過程中，我們要明確我們是和誰在分享數(shù)據(jù)，要清楚了解和我們分享數(shù)據(jù)的網(wǎng)絡(luò)的安全成熟性是否符合安全要求。如果我們花了很多錢保護(hù)數(shù)據(jù)，結(jié)果卻把數(shù)據(jù)傳輸給了一個(gè)安全性很差的網(wǎng)絡(luò)，這樣之前的安全防護(hù)工作不就功虧一簣了嗎？所以整個(gè)供應(yīng)鏈都要建立起網(wǎng)絡(luò)防范機(jī)制。

現(xiàn)在的一些網(wǎng)絡(luò)安全計(jì)劃、隱私計(jì)劃、數(shù)據(jù)管理計(jì)劃相互融合改進(jìn)，實(shí)際上是為了更好地保障數(shù)據(jù)安全。就獲取數(shù)據(jù)的方式上，我們有以下兩個(gè)方面的措施：一方面可以根據(jù)不同的用戶場(chǎng)景來設(shè)計(jì)不同的數(shù)據(jù)獲取方式，另一方面可以規(guī)定不同的部門采用不同的方式獲取數(shù)據(jù)以規(guī)避風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全中心如果使用一些自動(dòng)化的預(yù)警機(jī)制，就可以有效地調(diào)整工作流程，來降低風(fēng)險(xiǎn)發(fā)生的概率，所以自動(dòng)化在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著越來越重要的作用。安永要做的工作就是通過自動(dòng)化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級(jí)。

企業(yè)最感興趣的還是信任，信任是進(jìn)行任何商業(yè)行為所需的貨幣。網(wǎng)絡(luò)安全可以幫助企業(yè)與利益相關(guān)方建立信任?，F(xiàn)在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理成為了產(chǎn)品決策和業(yè)務(wù)決策過程中不可或缺的一部分。我們要建立全新的安全基礎(chǔ)設(shè)施，就要了解有哪些實(shí)時(shí)的風(fēng)險(xiǎn)，而對(duì)于企業(yè)來說，只有以透明公開的方式來做網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)控制，才能贏得利益相關(guān)方的信任。

最后，管理層和董事會(huì)應(yīng)該進(jìn)一步了解并重視網(wǎng)絡(luò)安全領(lǐng)域。我們要做的是針對(duì)網(wǎng)絡(luò)事件進(jìn)行正確應(yīng)答，同時(shí)針對(duì)數(shù)據(jù)采用安全的訪問方式，而不是阻止外部對(duì)數(shù)據(jù)的訪問。我們應(yīng)該明確的一點(diǎn)是企業(yè)的整體都應(yīng)該對(duì)網(wǎng)絡(luò)安全負(fù)責(zé)，而不是某一部分人。

我講述的內(nèi)容總結(jié)起來有以下四個(gè)關(guān)鍵點(diǎn)：一是互聯(lián)互通驅(qū)動(dòng)技術(shù)的顛覆，會(huì)改變很多應(yīng)用場(chǎng)景;二是我們要采取基于風(fēng)險(xiǎn)的方法來應(yīng)對(duì)網(wǎng)絡(luò)安全，而不是基于標(biāo)準(zhǔn)的方法;三是網(wǎng)絡(luò)安全是企業(yè)立足的支柱之一，能夠構(gòu)筑企業(yè)信任;四是董事會(huì)和高管面對(duì)不斷新生的機(jī)遇，要正確看待問題，聚焦正確的活動(dòng)，實(shí)施正確的措施。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）