新《网络安全法》即将实施，一文看懂企业安全建设新要求

2025 年 10 月 28 日，《中华人民共和国网络安全法》迎来了自 2017 年实施以来的首次重大修订，并将于 2026 年 1 月 1 日正式施行。这次修法不仅强化了网络安全的政治属性和法律责任，更首次将人工智能治理纳入国家层面的网络安全框架之中。这意味着，中国的网络空间治理，正在从“防御体系”走向“智能体系”。而对于每一家数字化企业来说，网络安全，也不再是合规清单的一项，而是企业运营的生命线。

01.《网络安全法》修改了什么？

中国的网络安全生态正在经历一场深刻的变革。一方面，攻击面在不断扩大。AI、大模型、云计算、移动办公、SaaS 服务……企业的数字边界被无限延伸，每一个身份、每一次访问、每一条数据流动，都可能成为新的风险入口。另一方面，监管要求持续升级。网络安全已经不再是 IT 部门的技术议题，而成为企业治理的核心组成部分——它关乎企业合规、声誉乃至生存。此次《网络安全法》的修订，释放了四个极具标志性的信号，也为企业的安全治理指明了方向：

安全上升为政治原则

新增第二十条，将“人工智能安全治理”正式写入法律，提出要“完善伦理规范与安全监管”。AI 不再只是创新议题，而成为安全治理的新变量。AI 不仅是生产力工具，更成为安全治理的新变量。法律要求企业在部署与运营 AI 系统时，必须确保身份可控、数据可溯、行为可审计。AI 系统涉及算法透明、模型安全、数据来源可溯等一系列新挑战，企业必须提前构建身份可控、数据可溯的安全基础，确保创新不越界、智能更可信。

AI 纳入法治体系

违法成本大幅提高

修订后的处罚力度堪称“史上最严”——企业最高罚款上限提升至 1000 万元，个人最高可罚 100 万元。从“事后补救”到“事前防护”，网络安全不再允许侥幸。对违规运营者而言，这已经不只是警告，而是一条生死线。未来，能否用体系化的安全能力取代碎片化的应急手段，将决定企业能否真正穿越监管周期。

法规体系协同加强

随着《网络安全法》《数据安全法》《个人信息保护法》三法合一的落地，企业正面对一个前所未有的合规挑战：身份、数据与访问必须全链路可控、可追踪、可审计。企业要构建的不仅是安全防护墙，更是一套支撑“可信访问”的数字治理体系。企业要构建的，不再是一堵“安全防护墙”，而是一整套支撑“可信访问”的数字治理体系。每一次登录、每一笔数据操作、每一次系统调用，都必须有身份可识、有权限可查、有行为可证。

在监管升级的时代，谁先建立起统一的数字身份治理体系，谁就能率先具备合规与安全的双重护城河。

02.从“被动合规”到“主动安全”，企业需要换一套底层逻辑

过去很长一段时间里，企业的网络安全建设几乎遵循着一套固定流程：出了漏洞 → 补系统 → 买设备 → 应付检查。安全建设更像是一场“运动式防御”——短期投入、临时响应、被动合规。但随着《网络安全法》修订的落地，这一逻辑将彻底失效。在新法框架下，监管不再只问“有没有安全系统”，而是要查“有没有持续安全能力”。这意味着，安全不再是一次性的投入，而是一种持续运营能力。企业必须从“事后补救”转向“实时防御”，从“被动应付”转向“主动治理”。而身份是所有安全事件的起点：每一个漏洞、每一次访问、每一次数据泄露，背后都是一次身份的失控。真正的网络安全，必须从身份治理开始。Authing 将企业安全的体系化建设划分为以下：

身份威胁检测引擎

安全的第一步，是“识别”。Authing 的身份威胁检测引擎基于 AI 行为建模与多维信号关联分析，能够在海量访问请求中即时识别潜在风险。系统会持续监测用户的登录模式、设备指纹、网络环境、地理位置与访问频率等关键行为特征，建立每个身份的“正常行为画像”。一旦出现与画像不符的异常，如非常规时段登录、设备指纹突变、跨区域同时访问等，检测引擎便会自动判定风险等级并触发响应机制。相比传统基于静态规则的检测方式，Authing 的模型能通过持续学习优化判断标准，动态适应新型攻击模式，包括凭证滥用、AI 模拟登录、共享账户使用、或被控制设备的访问行为。当系统识别出可疑活动时，会自动联动后续安全策略，如临时冻结会话、触发多因素认证、上报风险中心或通知管理员，从威胁出现的那一刻起实现“秒级感知与处置”。

身份实时防护

在传统企业安全体系中，身份管理往往被视为一次性验证的过程：用户登录成功，便被默认“可信”，随后即可访问系统和数据。这样的信任模型假设了边界安全可靠，但随着云计算、远程办公、移动办公以及人工智能应用的普及，企业边界变得模糊，信任假设不再成立。任何一次身份泄露或被冒用，都可能导致数据泄露、系统被入侵，甚至触发企业级安全事件。Authing 以零信任（Zero Trust）为核心安全框架，将身份安全从“登录一次，信任一生”升级为全生命周期、持续动态、智能化管理。

持续验证身份：每一次访问请求都必须经过实时身份校验与风险分析，确保“当前访问者”仍然可信；
动态授权与收紧：系统可根据用户状态、设备安全等级、访问行为等因素自动调整权限，实现“最小必要访问”；
上下文驱动安全决策：不再仅凭“谁在访问”判断信任，而是同时考量“从哪访问、用什么设备、访问何种资源”。
安全不再是一次性审查，而是一个持续、细粒度、智能化的验证过程。不依赖边界防御，而依靠实时验证；不假设信任，而让信任被持续证明。

实时审计溯源

任何安全体系都离不开事后的可追溯与持续优化。Authing 统一身份风险中心是企业身份安全的“中枢神经系统”。它将来自不同系统、应用与终端的风险数据集中整合，形成一个全局、实时的安全监控面板。无论是凭证滥用、异常登录、权限越权，还是可疑设备接入，所有身份相关的风险事件都能在这里被即时捕获与呈现。团队可以通过可视化界面清晰地追踪事件源头、访问路径和影响范围，直观地了解风险传播链路与潜在受影响用户。Authing 帮助企业从“被动响应”转变为“主动防御”，让身份安全不仅可见，更可控，实现持续的身份风险治理与信任闭环。

在监管要求与威胁演化的双重压力下，企业的网络安全建设，正从“设备堆叠”转向“能力运营”。Authing 将“人、设备、系统、智能体”统一纳入可信身份框架，帮助企业从根本上实现安全的体系化与智能化转型。企业不再被动应对威胁，而能以身份为核心、以数据为导向，持续演进自身的安全韧性。Authing 所倡导的身份驱动安全体系，不仅帮助企业构建可持续的安全治理能力，更让安全成为业务可信的底座。让每一个访问都可信，让每一份数据都可控，让每一次创新都更安心。