中共中央、国务院印发的《数字中国建设整体布局规划》，明确了强化数字技术创新体系和数字安全屏障“两大能力”。数字安全已和数字技术并列成为支撑数字中国建设的两大基础。数字重庆建设大会也指出，要深刻理解把握确保数据安全的底线要求。在数字时代，数据安全也日益成为国家安全的重中之重。全面筑牢企业数字安全屏障，系统建设数字安全防护体系，提升数字安全免疫力，需要从预防、监测、处置、治理等全流程做好数字安全防护。

　　健全措施，打造全方位数字安全防范体系。如何打造覆盖数字化场景的数字安全防范体系，成为影响数字经济健康可持续发展的关键性问题。一要摸清家底，认真排查企业数字资产清单和防护清单。通过分级分类治理措施梳理各类数字资产的轻重等级和安全等级，科学评估企业数字资产中物理和环境、网络和通信、设备和计算、应用和数据等多维度安全状况和风险等级。二要聚焦目标，构建数字安全防范系统。数字安全要始终围绕可用性、保密性、完整性、真实性、不可否认性、可审查性等，始终坚持最小特权原则、最小泄露原则、多级安全策略来限制用户对数据或资源的访问。三要健全措施，筑牢数字产品安全架构、数字安全技术架构、数字安全审计架构三道防线。针对数字产品安全架构防线，设计包括身份认证、授权、访问控制、审计等方面的安全策略；针对数字安全技术架构防线，划分企业内部办公、生产、数据中心等合理的安全域，根据实际需要配备防火墙、VPN、堡垒机、态势感知、漏扫、反病毒、数据容灾备份等安全防护手段；针对数字安全审计架构防线，收集用户操作、系统运行、网络访问、攻击事件等全方位安全日志，做到日志能保存、行为能溯源，实现安全事件溯源闭环。

　　协同感知，增强数字安全监测预警能力。数字经济在蓬勃发展的同时，安全问题不可忽视。一要全面监测，通过自动监控和人工巡检两方面强化日常安全监控与巡检。既要监测各类型设备和系统的运行状态、网络流量、事件日志，又要监测各类安全防护设备的安全日志，对可疑网络攻击事件进行及时摸排。二要精准分析，结合线上和线下、自动和人工等方式，对运行安全事件和可疑网络攻击事件摸清来源、分析原因、预判后果，特别是某些隐蔽网络攻击事件，还有必要邀请安全厂商介入研判。对已产生风险预警的事件及时调整安全策略，做好安全加固措施。不定期对企业整体数字安全状态进行风险评估，为下一步风险处置提供决策依据。三要严防泄密，多维度监管企业内部信息对外泄露的风险。全面监测各种内部工作群，推行实名制，防止匿名、不明身份者或冒充者入群，做到商业机密不通过公网传输、不在公有云存储，防止敏感信息被员工通过朋友圈、微博、微信群等各种新媒体渠道意外泄漏。

　　溯源追责，提高数字安全响应处置水平。全面推进构建数字安全的良好生态，要加强数字安全防护和谨慎处置等技术手段建设。一要快速响应，启动应急预案，上报安全事件，安排专业安全团队，阻断网络攻击或切断发生安全事件的来源，断开网络、停止有关业务系统、数据访问或数据库系统的服务，保护发生安全事件的现场，隔离受感染的系统和数据，以防止病毒感染继续传播。二要修复加固，对安全事件、日志进行审计分析，对当前安全状态和风险等级重新评估，对存在的安全漏洞进行针对性修复，对被破坏的业务或数据进行及时恢复，防止安全事件持续或扩大化，尽量防范今后发生同类事件。三要溯源追责，对发生的安全事件进行取证溯源，涉及人为故意破坏的应积极配合公安机关开展调查，并对安全事件进行反思和相关人员追责，包括安全漏洞存在的原因、应急预案的执行情况，总结经验教训，改进应急预案。

　　加强治理，构建数字安全防护闭环。数据安全法填补了技术领域数据安全立法的空白，但数字安全保障能力仍有待提高。一要外遵法规，企业要学习遵守国家和地方层面有关网络、互联网、数据安全等方面的法律、条例和规定，包括网络安全法、数据安全法、互联网信息服务管理办法、个人信息保护法等。要研究网络安全等级保护制度（2.0版本）中五个安全保护等级要求，明确企业自身定位的等级，学好用好安全等级保护指南，并根据实际情况做好自查和等级测评工作。二要内建制度，建立企业自身的各类数字安全规章制度，内容应涵盖机房管理、网络管理、服务器管理、密码管理、业务系统备案、信息发布、数据容灾备份、数据治理、隐私保护，以及数字安全事件应急响应、网络攻防演练等方面的规章制度。三要加强治理，企业负责人要成为数字安全的总负责人，建立与各级员工相对应的数字安全责任机制。持续建设企业自身技术队伍，引入服务外包团队，定期开展技术培训，加强对员工开展数字安全防范意识教育。重视企业内网安全防护，加强对各类人员和各级别账户权限的管理，对岗位变动、离职员工及时调整或收回权限。

　　（作者单位：重庆理工大学，本文为重庆市教委人文社科研究项目成果）