《数据安全法》(DSL):将焦点从网络转移到了数据本身 。它引入了一个分类系统,将数据分为“核心”、“重要”或“一般”数据。对“重要数据”(定义模糊,通常指影响国家安全或公共利益的数据)的不当处理将引发严厉处罚,包括暂停业务运营。在 2025 年,“重要数据”的识别仍然是 CISO 焦虑的主要来源,因为其定义通常具有特定行业属性且处于动态变化中。
《个人信息保护法》(PIPL):作为中国版的 GDPR,它为个人建立了一个基于权利的框架,但为国家安全留有显著的豁免权。它对个人信息实施了严格的同意要求和本地化存储规定,影响所有在大陆运营的 B2C 实体。
网络安全等级保护制度 (MLPS) 2.0:运营分化。执行这些法律的主要机制是网络安全等级保护制度 (MLPS) 2.0。
该系统要求所有信息系统根据其重要性进行 1 到 5 级的定级。MLPS 实施过程中的差异造成了大型企业与中小企业之间的第一道主要裂痕。
表 1:MLPS 2.0 分级与运营影响
特征 | 等保二级(中小企业标准) | 等保三级(大型企业标准) |
目标实体 | 一般企业系统、内部非敏感应用、大多数中小企业。 | 银行、公用事业、医疗保健、关键信息基础设施运营者 (CIIO)、大型 B2C 平台。 |
数据敏感度 | 公民/企业专有数据。 | 国家安全、社会秩序、大规模个人数据。 |
审计周期 | 鼓励自查;每 2 年进行一次外部审计。 | 强制性年度外部审计,由国家认证机构执行。 |
加密 | 允许使用标准商业加密(如 AES/TLS)。 | 要求使用强制性国产密码 (SM2/SM3/SM4)。 |
成本负担 | 低到中等(审计费 + 整改费。 | 高(审计费 + 重大的软硬件架构重构。 |
监管风险 | 中等执法力度;“低调行事”策略很常见。 | 高执法力度;受公安局 (PSB) 直接监管。 |
大型企业现实(三级):对于大型企业而言,等保三级是强制性的经营许可证。使用“安全可控”产品的要求实际上迫使这些实体采购国产硬件和软件,推动了“信创”本地化趋势。年度审计要求确保了安全预算保持高位并以优先级为导向,但也助长了一种以合规为中心的文化,在这种文化中,“通过审计”往往取代了实际的威胁搜寻。
中小企业现实(二级):中小企业理论上属于二级,需要向当地公安局 (PSB)备案。然而,数据表明存在巨大的合规缺口。许多中小企业缺乏法律顾问,为了避免成本而自我归类为一级(无需备案)。这制造了一个潜在的责任隐患:一旦发生违规且系统被认定为具有二级同等重要性,企业将面临生死存亡般的罚款,相关高管可能面临刑事责任。结果是,中小企业的安全往往是表演性的,购买绝对最低限度的“合规盒子”解决方案,而没有将其整合到连贯的防御策略中。
信创(信息技术应用创新)是国家主导的用国产替代品替换外国技术的战略。到 2025 年,这一政策已经重塑了采购格局,在国内创造了两种截然不同的技术堆栈。
(1) 大型企业的本地化强制令:对于国有企业 (SOE) 和大型金融机构,“79 号文”(2022 年发布)设定了 2027 年全面替换外国软件的最后期限。这在 2024-2025 年引发了大规模的架构迁移。
数据库迁移:Oracle 和 SQL Server 正在被国产数据库取代,如 OceanBase (阿里巴巴)、GaussDB (华为) 和 达梦 (Dameng) 。这种迁移充满了风险,因为遗留应用程序通常依赖于特定的外国数据库功能,需要进行大量的代码重构。
操作系统:Windows 正在被国产系统,如麒麟 (Kylin)和统信 (UnionTech UOS)。
安全堆栈:西方安全供应商(Symantec, Palo Alto Networks)已基本被逐出 SOE 领域,取而代之的是奇安信、深信服和启明星辰。
影响:大型企业正在运行一种与全球 IT 标准日益不兼容的“主权堆栈”。这种隔离增强了对西方制裁或“终止开关” (kill switches) 的抵御能力,但也可能造成单一文化漏洞,即广泛使用的国产组件中的单一缺陷可能会危及整个行业。大型企业:大型组织主导了网络安全市场,占总支出的 83% 以上。其预算由合规(MLPS 审计费)和基础设施现代化驱动。有一个明显的转变,即从以硬件为中心(防火墙)转向安全服务(威胁情报、红队演练)。
中小企业:中小企业的支出是被动且极少的。许多企业分配给安全的 IT 预算不足 5%。购买安全软件往往不是为了有效性,而是作为一种“保护费”形式,购买最便宜的 MLPS 认证防火墙以满足当地警方的检查,却不进行正确配置。这种“摆设软件 (shelfware)”现象在中小企业部门非常普遍。
人才流失:大型科技巨头(腾讯、阿里巴巴、字节跳动)和国企囤积人才,提供中小企业无法匹配的薪资。在一线城市,合格的安全架构师可以拿到西方水平的工资。
中小企业荒漠:中小企业只剩下 IT 通才,他们要管理从打印机卡纸到防火墙的所有事务。他们缺乏管理EDR 或 SIEM 等复杂工具的专业技能,导致配置错误,从而敞开大门。
在西方网络安全哲学中,“零信任”(显式验证,最小权限)是黄金标准。在中国,这与“关系”这一文化操作系统直接冲突。
关系作为漏洞,隐性信任,商业关系建立在个人信任和互惠之上。要求对长期供应商(“关系伙伴”)进行严格的安全审计可能被视为一种侮辱或“丢面子”。
因此,通过个人网络介绍的供应商往往绕过标准的采购安全审查。CISO 可能会发现,一个关键的第三方 API 连接到了核心网络,却从未通过安全审查,仅仅因为该供应商是“CEO 的朋友”。
中小企业几乎完全依赖“关系”来维持业务生存。它们在结构上无法实施零信任,因为它们的商业模式依赖于与合作伙伴之间高信任的流动性。
托管安全服务提供商 (MSSP)。
大型企业:大型公司因数据保密问题而不愿完全外包给 MSSP。他们更倾向于“共同管理”模式,即 MSSP 提供平台和威胁情报,但监控在客户数据中心内的本地进行。市场由“安全专家型”MSSP(如奇安信)和日益增多的提供 SOC 即服务的云超大规模企业(阿里/腾讯)主导。
中小企业:中小企业是 MSSP 的理想候选者,但服务不足。大多数 MSSP 瞄准高利润的企业合同。然而,2025 年出现了针对中小企业的自动化、云原生安全服务。这些“轻量级 SOC”产品提供无需人工分析师的自动威胁检测,将价格点降低到可接受的水平。
网络保险。
与北美或欧洲相比,中国的网络保险市场尚不成熟。它处于“早期发展”阶段,特点是缺乏精算数据和标准化保单。
大型企业:采用率正在增长,主要由拥有延伸至中国的全球保单的跨国公司和管理风险的大型金融机构推动 。然而,覆盖范围通常有限,排除了监管机构的罚款(根据 PIPL/DSL,这是一个主要风险)。
中小企业:采用率微乎其微。保险公司因中小企业糟糕的安全态势(盗版软件、无补丁)将其视为高风险。反过来,中小企业将保险视为不必要的奢侈品。存在一个“保障缺口”,即最容易因网络攻击而破产的实体(中小企业)却最缺乏保险保障。
这造成了系统性风险。针对特定中小企业垂直行业(如物流)的勒索软件浪潮可能会导致级联故障,而没有保险的财务缓冲来帮助恢复。
2025 年中国的数据安全格局是一个双重现实的故事。
对于大型企业来说,这是一场由国家安全指令和深厚资源驱动的筑垒高风险游戏。对于中小企业来说,这是一场生存斗争,用极少的资源和表演性的合规来应对复杂的威胁。
对于 CISO 而言,成功在于认识到这种二元性。这需要摒弃全球工具和政策可以“直接移植”到中国的假设。
相反,有效的战略是分隔与适应:分隔中国网络以管理风险,并调整治理以适应关系和监管的独特现实 。
通过不将合规仅仅视为法律障碍,而是作为本地架构的蓝图,组织可以在这个世界上最具活力的数字市场中实现韧性运营。
