一、白话链式安全

大东：小白你在看新闻啊！

小白：也不是，翻到一条消息比较感兴趣：4月19日，国家发改委召开4月新闻发布会，将深入实施长三角科技创新共同体联合攻关计划，促进G60科创走廊、沿沪宁产业创新带协同联动，促进传统产业升级转移，加强城市间优势互补和上下游协同，全面提升长三角产业链供应链韧性和安全水平。

大东：你关注的这个点很好。我们一直在说，应从产业的角度来看待新生安全问题，聚焦链式安全，才能保障产业、经济、生态三者高质量均衡发展。

小白：所以东哥，今天是讲产业链供应链（以下简称“链式”）安全？

大东：是的，从产业发展视角研判未来产业数字化和数字产业化的安全发展态势，从战略、战备、战役三个维度提出链式安全锦囊妙计。

小白：从这三个维度是如何提出锦囊的呢，可以说说例子吗？

大东：你看下面的图。比如航空公司用户泄露，台积电供应链破坏等事件，都是攻击者盯准了企业这块“肥肉”下手的事件，这些都让企业蒙受巨大损失，因而也都是企业的核心关切。

小白：所以战略、战备、战役三个维度的锦囊到底是哪些内容呢？

大东：战略锦囊可开展链式韧性顶层规划，战备锦囊可关注链式流程安全，而战术锦囊可聚焦软件供应链安全。从产业视角来看，如何把这三个锦囊的优势发挥到极致，提升产业高质量发展，可从“三高”维度分析：高韧性提质、高能级增效、高安全降本。这三个模块马上开讲。

小白：好咧，还请东哥快快道来~

二、战略锦囊

大东：首先我们要明确战略锦囊的主旨，就是打造并提升链式韧性，这也是你刚才看到新闻里面看到的，因此各企业都需要引起足够的重视。

小白：确实。那么链式韧性建设，需要遵循哪些原则呢？

大东：问得好。事实上，在未来数字化的浪潮下，千行百业都会面临着转型的选择，那么物理世界和数字世界必然会加速融合。

小白：在此背景下，网络攻击就会变得更加频繁，网安防护水平就需要进一步提升，链式安全韧性建设遂显得尤为重要。

大东：是啊。以往的锦囊篇，一般是找准定位，今天我们也不例外，需要找准数字产业化战略层面的目标定位，下面我提到的两点就与这个话题有关，但是现在先提问一下：小白，你知道双态IT吗？

小白：这可难不倒我。Gartner的"双态IT"（Bimodal IT）是一种管理和组织信息技术（IT）的方法论。这个概念最初由Gartner于2014年提出，并广泛被业界接受和讨论。双态IT指的是将IT组织的活动分为两种模式，以应对不同的需求和挑战。

大东：很好，这两种模式分别是什么呢？

小白：是稳态和敏态。稳态是指传统的、顺序型的IT模式，强调稳定性、可靠性和效率。这种模式主要用于维护核心业务系统和稳定的运营环境。关键特点包括成熟的流程、较低的风险和较长的时间周期。敏态是指创新的、迭代型的IT模式，注重灵活性、敏捷性和创新。这种模式主要用于快速响应业务变化、推出新产品和服务以及探索新的技术解决方案。关键特点包括快速迭代、实验性质、较高的风险和较短的时间周期。

大东：是的。通过采用双态IT模式，组织能够平衡传统稳定性要求和创新变革的需求，在最大程度上实现面向稳态、敏态和混态的“高能级”发展。模式一提供了可靠的运营基础，确保核心业务的稳定性和可靠性；而模式二则允许组织更加敏捷地适应变化、探索新技术并提供创新解决方案。

小白：我明白了，这样就可以实现模式平移到产业化安全韧性能力建设中，对吧。

大东：聪明了小白。这就是我说的第一个目标定位。从链式韧性建设的宏观视角来看，既具备稳态特征，也具备敏态特征，所以第一个目标定位是要找准其业务属性，是稳态还是敏态，还是二者兼有的“混态”。

小白：那么具体如何使产业链和供应链有韧性？

大东：那就要从双态IT的模式平移角度入手。双态IT并不拘泥于固定的架构或方法，而是一种灵活的组织思维方式，可以根据组织的需求和情况进行调整和定制。它的目标是在保持稳定性的同时，提高安全韧性建设的创新能力和敏捷性。

小白：嗯嗯。那第二个目标定位呢？

大东：第二个是要考虑业务安全的分类分级。比如数字基础设施就属于高安全属性，而有些数字化场景对安全需求相对来说较低，所以安全也是要分等级的。

小白：这个我理解。既不能所有都是高安全，也不能所有都是低安全。需要做分项处理。

大东：对，就是这个道理！

三、战备锦囊

小白：那么战备锦囊包括哪些内容呢？

大东：让我们回顾一下战略锦囊，不难推演出答案。从战略锦囊视角来看，聚焦链式韧性能力建设的“链式安全”，着眼双态IT模式，实现高韧性提质。而无论哪种模式都需要依附于产业自身的业务属性。

小白：千行百业的业务逻辑千差万别。

大东：没错。随着千行百业的数字化进程加速，会催生产业、经济、社会的全方位数字化，未来会面临海量的数据安全新场景——数据将成为企业发展的核心价值。如何使得企业高能级增效就需要重点考虑产业数字化催生的业务流程重构逻辑。此外，随着GPT的快速发展，流程推演选优会成为将来产业数字化高效发展的重要路径。因此从数据价值的战备角度来看，企业的核心使命是高效盈利，要更加关注流程安全，关注流程安全的“高质量”发展。

小白：这个如何理解？

大东：所谓“备”，就是要找到企业安全韧性能力建设的核心抓手。因此，战备锦囊就是不打无准备之仗。比如数字中国的战备锦囊中，要建设屏障，那就要知道企业的核心业务是什么，根据核心业务分析，确定具体执行手段和策略。

小白：能否具体讲讲？

大东：你想啊，如果一家企业是僵尸企业，已经没有盈利能力，那必然不会在安全方面投入资金和人力。

小白：是的，就好比一个废弃的餐馆，老板也不会花钱安装摄像头一样。因为这个餐馆已经只能赔钱，不能赚钱了。

大东：所以要切实从企业站位去分析，那就必须重视流程安全的数字化转型挑战。

四、战役锦囊

小白：那么战役锦囊包括哪些内容呢？

大东：随着SDX（软件定义一切）和低代码在软件开发中占据越来越重要的地位，软件供应链安全对企业来说也要引起足够重视了。

小白：话说东哥，我最近看了苹果正式发布首款头显设备Vision Pro，发布会结束后，苹果CEO库克在微博发文：欢迎通过Apple Vision Pro进入空间计算时代。

大东：没错，高新技术的革新速度真是超乎想象。包括ChatGPT等大模型的快速发展，软件开发将进入“无代码”化。基于开源代码生成、用AI生成代码将是未来的重要趋势。因此从战役角度来说，企业开发过程未来面临的安全风险将会出现更多不确定性，产业数字化建设应关注软件供应链安全问题，维护供应链“保质保量”的运行，这样才能够做到高安全降本。

小白：这让我联想到了供应链投毒事件。有兴趣的读者可以看下《电商APP后门风波：你的隐私安全吗？丨大东话安全》。

大东：同时，也要小心提防数字孪生攻击。

小白：什么是数字孪生攻击？

大东：数字孪生攻击是指一种复杂的安全攻击方式，其特点是攻击者在物理环境和数字环境中同时对目标进行攻击。这种攻击方法利用了物理和数字系统之间的相互作用，通过操纵物理系统来威胁数字系统的安全性。

小白：可怕，随着物理世界和数字世界加速融合这一不可逆转趋势的发展，数字孪生攻击对企业产生的安全威胁将难以估量。

大东：没错。对企业物理系统的操控就很可怕。数字孪生攻击可以通过操控物理系统来破坏或干扰企业的数字系统。攻击者可能通过操纵物理设备、传感器、控制系统等，实施物理攻击，导致数字系统故障、数据泄露、服务中断等问题。

小白：数据篡改、欺骗和伪装、机密数据盗取等威胁同样不容忽视。

大东：面对新的安全态势，企业也要采取强化物理安全、建立多层次防御、加强员工教育与意识、定期更新和修补等措施建立全方位防御体系。

五、小白内心说

小白：今天东哥以链式安全韧性建设的站位，依据战略、战备、战役三个锦囊，通过三“高“的层级为我们诠释了企业需要迁移的安全模式建设、流程安全和软件供应链安全等重要问题。下一讲，按照剧本应该是妙计了，话说小白最爱看的就是妙计，上一次的草船借箭给我看得击节赞叹！下一讲东哥又将给我们带来哪些“妙计”呢？让我们拭目以待！