2020年外部環(huán)境的劇變,讓數字化進程經歷了重啟和加速,各行各業(yè)也進一步加快擁抱產業(yè)互聯網,尋求新的增長曲線。在此過程中,產業(yè)安全的重要性也被提升到前所未有的高度,面對即將到來的2021年,企業(yè)將如何把握安全態(tài)勢,迎接新挑戰(zhàn)?
2020年12月11日,騰訊安全戰(zhàn)略研究部聯合騰訊安全聯合實驗室共同發(fā)布了《產業(yè)互聯網安全十大趨勢(2021)》(下簡稱《趨勢》),基于2020年的產業(yè)實踐和行業(yè)風向,從政策法規(guī)、安全技術、安全理念、安全生態(tài)、安全思維等維度為產業(yè)互聯網的安全建設提供前瞻性的參考和指引,助力夯實產業(yè)互聯網的安全底座。
圖:產業(yè)互聯網安全十大趨勢(2021)概要
本次《趨勢》發(fā)布充分凝聚了安全建設上的“騰訊經驗與思考”,作為產業(yè)數字化升級的受益者和建設者,騰訊安全完整經歷了消費互聯網到產業(yè)互聯網的安全發(fā)展歷程,在過去20多年積累了豐富的安全人才、技術、能力以及服務經驗。尤其在今年“抗疫”期間,面對新業(yè)態(tài)爆發(fā)帶來的“0參考”安全場景和需求,騰訊安全圓滿保障了騰訊會議極限擴容、抗疫小程序極限時間上線、守護首屆云上廣交會,為產業(yè)安全建設貢獻了可復制的樣本。
在安全的頂層設計層面,《趨勢》認為2021年將進一步完善個人信息保護體系,企業(yè)對個人信息利用規(guī)范化,數字安全合規(guī)管理將成為企業(yè)的必備能力。與此同時,企業(yè)還應將安全作為“一把手工程”,在部署數字化轉型的同時,推進安全前置。
前沿的數字化技術也讓產業(yè)安全有了更多內涵。5G、AI、隱私計算等技術在構筑數字大樓的同時,不僅帶來了全新的安全場景,也成為網絡安全攻防當中的利器;2020年井噴的遠程辦公,拷問傳統安全邊界防線,讓“零信任”這一有著十年歷史的理念再次受到關注,成為企業(yè)構建后疫情時代安全體系的基石;云上原生的安全能力讓成本、效率、安全可以兼得,上云正在成為企業(yè)解決數字化轉型后顧之憂的最優(yōu)解……
與此同時,隨著互聯網業(yè)態(tài)的發(fā)展演變,黑灰產資源模塊化、團伙碎片化、運營專業(yè)化,催生出強大的體系對抗能力,倒逼企業(yè)安全體系從單點的企業(yè)防御向供應鏈的全局防御演進,構建全域數字安全共治體系、多元聯動的黑灰產治理體系以及產業(yè)鏈防護“共同體”將勢在必行。
圖:騰訊副總裁丁珂發(fā)布《產業(yè)互聯網安全十大趨勢(2021)》
以下是《產業(yè)互聯網安全十大趨勢(2021)》內容:
01 法律法規(guī)密集發(fā)布加速個人信息保護體系完善
《民法典》、《數據安全法(草案)》、《個人信息保護法(草案)》等法律的陸續(xù)出臺,加快構建用戶、企業(yè)、政府等多層級協作的個人信息保護體系。一是個人信息權益明確化,個人信息保護意識逐漸加強,用戶對個人信息的可控性不斷提升,個人信息權益的損害救濟制度也將日益完善。二是企業(yè)對個人信息利用規(guī)范化,數字安全合規(guī)管理將成為企業(yè)的必備能力,促進企業(yè)從產品形態(tài)、數據應用機制、技術安全措施等多維度落實法律法規(guī)要求。
02 全域數字安全共治體系勢在必行
數字技術的應用和發(fā)展加速產業(yè)數字化進程,但也會導致安全問題的泛在化和復雜化。安全問題逐漸演變?yōu)樯婕罢?、法律、標準、技術和應用的全域治理問題,需要政府、行業(yè)協會、企業(yè)、用戶等多元主體共同發(fā)力,形成協作聯動、能力互補、信息互通的共建共享共治體系,以應對動態(tài)變化、邊界泛化的網絡空間安全治理形勢。
03 法隱私計算從技術驗證向試點應用演進
隨著各行各業(yè)數據孤島現象的加劇以及深度分析對多維度數據的迫切需求,數據協作成為金融、醫(yī)療等行業(yè)挖掘數據價值的重要路徑,隱私計算正成為當前不同主體數據協同過程中,破解多方主體數據協作困境,保障數據安全,隱私防護效果的關鍵技術支撐。多方安全計算、差分隱私等隱私計算技術通過產學研用各界的應用研究和工程化驗證,計算性能將逐步提升,應用門檻不斷降低,應用領域也將從金融行業(yè)初步應用向制造、政務等行業(yè)的試點應用過渡,助力更多垂直行業(yè)基于協作實現數據最大化價值。
04 零信任架構邁入落地應用推廣期
伴隨著網絡防護從傳統邊界安全理念向零信任理念演進,零信任將成為數字安全時代的主流架構。一方面基于零信任的產品將不斷涌現,這些產品以網絡接入安全為起點,基于接入過程中關鍵對象所處環(huán)境的安全狀態(tài)變化動態(tài)進行訪問控制,并將在零信任體系下逐漸融合更多針對身份、設備、網絡等關鍵對象的安全防護的能力,最大限度降低企業(yè)整體的安全風險。另一方面零信任應用場景將以遠程辦公為主的用戶訪問服務的場景,向跨云業(yè)務訪問、云上CVM之間調用、K8S鏡像實例之間調用等服務間訪問的場景拓展。
05 AI重塑網絡安全攻防范式
AI應用的普及加劇隱私保護、數據安全、倫理道德等安全和道德風險,為網絡安全提出新挑戰(zhàn),同時也成為網絡安全攻防兩端的重要工具,提升攻防兩端自動化水平。一方面AI在網絡黑灰產領域的應用將持續(xù)增強,加大網絡黑灰產治理難度。另一方面AI逐漸融入各類網絡安全產品和解決方案,成為安全專家知識固化和構建自動化防護工具的助手,并且在網絡入侵、惡意軟件攻擊防御、態(tài)勢感知等方面開始兌現商業(yè)價值。
06 云原生安全構建安全服務體系最優(yōu)解
產業(yè)互聯網時代,企業(yè)數字業(yè)務上云將成常態(tài),但同時云上安全威脅規(guī)??焖贁U大,黑灰產利用公有云平臺發(fā)起攻擊更具威脅。云原生安全一方面將構建安全服務全生命周期防護,在業(yè)務搭建之初夯實安全底座,從安全工具、產品到服務體系化,伴生業(yè)務發(fā)展全過程。另一方面云上安全產品向模塊化、敏捷化和彈性化演進,在應對高強度攻擊的同時也在平穩(wěn)期釋放多余計算能力,使得企業(yè)應用成本降低,提升整體安全水平,成為兼顧成本、效率和安全的“最優(yōu)解”。
07 5G安全將更注重系統化和場景化
5G網絡引入網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等新技術,未來網絡能力更加多樣化,打破了傳統電信網絡的封閉性,安全將貫穿網絡建設、運營及應用整個產業(yè)周期,針對“云、管、端”進行系統化全鏈路防護。同時增強移動寬帶、低時延高可靠和海量大連接三大場景對網絡帶寬、時延和連接數等指標要求不同,每個場景下終端的移動性、功耗、計算能力等性能指標各具特點,因此未來在威脅監(jiān)測、接入認證、數據加解密等關鍵環(huán)節(jié)的安全需求將緊密結合場景和終端特色,需要定制化、差異化的安全防護策略和解決方案。
08 多元聯動黑灰產治理體系逐步形成
隨著互聯網業(yè)態(tài)的發(fā)展演變,給網絡犯罪帶來巨大觸達空間,以牟利為主要目標的黑灰產逐步形成完整生態(tài)。黑灰產資源模塊化、團伙碎片化、運營專業(yè)化趨勢顯著,催生出強大的體系對抗能力。一方面,互聯網企業(yè)通過安全治理能力的輸出,提升全行業(yè)黑灰產防范治理水平,政府引領的對黑灰產的合圍共治體系雛形初現;另一方面,各方主體綜合運用法規(guī)政策、先進技術、宣傳教育等多元化手段,將構建系統治理、聯動協同的黑灰產治理模式,共同打擊遏制黑灰產發(fā)展蔓延。
09 供應鏈安全風險倒逼構建上下游安全防護“共同體”
數字化轉型加速供應鏈上下游構建緊密協作的數字網絡,這種互聯互通的供應鏈數字網絡將倒逼企業(yè)安全體系從單點的企業(yè)防御向供應鏈的全局縱深防御演進。一方面企業(yè)網絡安全風險除了自身系統外,將向供應鏈上下游兩端延伸,供應鏈上某一組織單點的安全漏洞,有可能成為整個供應鏈上所有組織防線的突破口。另一方面企業(yè)的安全防護水平也將與上下游組織緊密關聯,安全防護能力的上限有可能將由供應鏈上下游組織的最低水平決定。
10 安全前置成為產業(yè)數字化轉型前提
在產業(yè)數字化驅動下,智慧醫(yī)療、工業(yè)互聯網、車聯網等新應用、新場景不斷涌現,這些傳統行業(yè)數字業(yè)務的安全性將直接關系到民眾生命財產安全和國家信息安全,安全前置將成為傳統產業(yè)數字化轉型的重要前提和基礎。企業(yè)層面,在數字化過程中,安全的戰(zhàn)略地位將不斷提升,越來越多的企業(yè)會將安全作為“一把手工程”,加快組建專業(yè)安全團隊,構建全面的安全體系。數字業(yè)務層面,在業(yè)務構建初期將考慮更多的安全因素,以此規(guī)避安全風險,降低解決安全問題的成本,安全將與數字業(yè)務的研發(fā)設計、應用管理相互共生,齊頭并進。