“加强数字安全保障不仅是因为政策要求，还因为企业确实需要规避被网络攻击的风险，减少本可以避免的损失，这是企业的刚需。”近日，三六零（601360.SH，下称“360”）首席安全官杜跃进在世界智能大会上发表了题为“数字安全进入能力主义时代”的演讲。

​

杜跃进表示，数字安全的本质是人和人的对抗，它并不能够简单地用自然科学领域的规律来解决问题，不存在某种单一的技术彻底解决安全问题，因此企业需要从过去的安全产品为中心的思路转向以数字安全能力为中心的体系化思路上来。

据统计，一次勒索攻击平均会让一个企业的业务中断9.9天，87% 的企业业务中断超过1小时就会造成业务损失。根据有关机构发布的数据，2020年全球因网络犯罪造成的损失总计超过一万亿美金。“对于大量的企业，很可能因为网络攻击直接倒闭，这一点都不开玩笑。”杜跃进称。

如何应对数字安全风险？杜跃进认为，合规只是一个基本要求和底线，依靠堆积安全产品的方法，已经不能帮助企业有效应对网络安全威胁。目前，对于数字安全而言，能力成熟度是安全治理的重要抓手。

已经有一些事实可以佐证这一判断。近两年大量和安全相关的标准开始聚焦能力或者能力成熟度，国内外安全战略政策开始重视和加快推进安全能力或能力成熟度相关的内容。比如，美国国防部加快推动网络安全能力成熟度CMMC认证、美国能源部升级网络安全能力成熟度C2M2标准、欧盟网络信息安全局发布国家网络安全能力评估框架。国内，工信部十四五大数据产业发展规划则提出开展数据安全能力成熟度评估，城市网络安全能力成熟度评估被评为2021年中国管理科学最有价值案例。

“没有安全底座，就没有健康发展，数字安全事关数字革命的成败。”杜跃进表示，对于正在数字化转型的各行各业来说，当前最重要的任务就是提升数字安全能力，这是一切数字化工作正常进行的前提。而未来的安全，将是基于数据、依靠协同的安全能力体系，并在实际运营中持续进化，如此才能更好地护航企业数字化转型，整体性提升数字安全水平。