随着社会各领域数字化进程加速推进,新技术、新业态、新模式不断涌现,驱动生产、生活和治理变革,加速网络安全风险化趋势。各行业的延伸需要在数字化趋势下以新的视角思考新的安全问题。本文将从安全对象、目标、威胁和措施四个方面分析安全发展趋势。数字化驱动安全防护对象的扩展和延伸。随着数字化进程的不断深入,网络安全问题新旧交织。数字技术、数字产品、数字平台等新兴数字资产架起了从网络到物理空间的桥梁。安全的重要性逐渐凸显。需要重点关注问题。第一,价值聚合度高的数字基础设施仍是攻防对抗的第一道防线。5G、人工智能、大数据等数字基础设施提供感知、连接、存储、计算、处理、安全等数字化、智能化、网络化能力。承载高价值资源的数字基础设施,很容易招来更高层次、更高级的攻击,甚至是民族国家的攻击。根据绿盟科技统计,金融、运营商、企业、政府等重要行业的数字基础设施将成为2020年前四大安全攻击热点领域,占比分别为35%、20%、20%、10%。分别。二是数字技术作为数字产业化的核心,带来新的安全问题。新兴数字技术赋能行业创新发展,融合应用深入衣食住行各个领域,“无接触服务”加速推进,远程医疗、教育、办公等用户规模快速增长、体育、旅游、会展等行业纷纷推出新的线上服务。模型。5G、人工智能等无形技术资产逐渐成为数字产业化的核心支撑和创新源泉,推动安防资产从过去的有形资产向无形资产快速发展。无形技术资产的特点需要业界去思考和应对。如何评估安全价值、如何实施保护措施、如何转移安全风险等新问题。三是数字产品端点安全属性不断拓展。互联网技术、人工智能、数字技术嵌入到传统产品设计中,使传统产品逐渐向集感知、计算、存储、互联等功能为一体的数字化产品转型。数字产品作为数字互联的基本单元,在IT/OT融合领域实现终端互联、互通、互通。在行业数字化转型中,尤其是工业互联网工控设备、机床、车联网移动终端等传感控制、计算和存储功能的融合,运行可靠性、生产连续性等安全属性尤为重要。四是数字平台安全风险影响不断扩大。云计算、数字孪生、人工智能等数字平台作为数字经济发展的重要形态和载体,已成为应用功能融合互通、资源高效置换、数字业务上传分发的重要渠道链,对数据具有网络效应和虹吸效应,以及边际成本趋于零的特性,其安全性决定了依托平台开展的业务是否具有全域、全流程的安全能力,从而从点到面的涟漪效应。IDC和华为的研究表明,数字化平台是否具备全领域、全流程的安全能力,成为企业数字化转型过程中最受关注的属性。安全保障的目标正在向安全创造价值转变。数字化发展催生新技术、新业态、新模式的同时,安全隐患已经扩展到生产生活的方方面面。安全影响和损失不断扩大,推动安全从过去的降低风险向平衡价值、创造价值转变。2021年5月,美国最大的燃料管道运营商Colonial遭到勒索软件攻击,迫使超过8850公里的管道运输系统关闭,并支付了500万美元的赎金;与此同时,全球最大的肉类生产商JBS遭到REvil病毒攻击,导致其所有工厂关闭,影响了美国市场近四分之一的供应,造成超过1100万美元的损失。当网络环境中的操作系统、服务器等存在安全隐患时,打补丁、关机重启等传统方式在当前的安全形势下已不再有效。对于生产系统连续性要求高的行业(如电力行业),当遇到网络安全风险时,停机维护几乎是不可能的。数字化场景下,安全风险的融合、连锁效应突出。安全威胁在云平台与应用、工业控制系统与设备、工业生产业务流程等不同层面波及全身。安全操作和试错的成本可加性甚至呈指数增长。安全目标逐渐从过去的降低成本、降低风险,转变为平衡价值、创造价值。例如,通过在数字化转型规划和数字化业务发展初期实施安全规划和评估,提出安全考虑,并结合安全资源池、安全保险等新举措,实现安全平衡和价值创造.内在风险和外部不确定性成为新的威胁。数字化背景下,在产业数字化和数字产业化相互促进、共同发展的同时,内部风险因素和外部扰动因素的引入,不断扩大数字威胁。一是物联网设备无处不在,攻防不对等。在数字化场景下,海量设备接入互联网,部分物联网资产绕过传统IT安全层直接接入互联网,暴露在攻击者面前。突破可以渗透到更深更广的范围,而防守者则需要“识全局”。OT环境的资产监控和管理需要与工业物联网(IIoT)资产特定协议(Modbus/TCP、EtherNet/IP、MoxaAOPC等)和设备行为兼容,否则可见性有限。其次,数字技术的控制导致安全不确定性。设计者主观偏见、训练数据集不足等导致应用歧视,导致结果先于判决。例如,COMPAS算法预测黑人罪犯的累犯率为45%,几乎是白人23%的两倍,但与实际情况相去甚远。新闻资讯和短视频APP过度应用算法推荐,将用户内容获取领域限制在“信息茧房”,从选择自主获取信息的“主人”,到“追求享乐”的“奴隶”,受信息的影响。三是制裁打压加剧外部不稳定。一些国家为维护自身的主导地位和产业优势,以安全为由实施一揽子制裁,打压产品、服务、技术和舆论组合,意在遏制他国技术升级和产业发展。一方面,日益严格的进出口管制限制了基础技术的研发和应用,导致关键技术、产品和服务“用不上”。另一方面,他们不遗余力地推动安全审查,意图实现供应链的“去中国化”,导致中国企业的海外业务“无法拓展”。需求驱动的实用主义安全措施逐渐成为数字时代的主流,安全措施的实施往往从实用主义的角度去适应不断迭代的新技术、新服务、新威胁。作为数字化转型和数字化业务发展的主体,垂直行业逐渐成为数字安全舞台上的主角。具有明显跨域属性的差异化安全需求相互碰撞、适配,创造出更敏捷的治理措施,需要更具包容性和敏捷性的思维,解决行业企业因对数字世界安全问题的不确定和不熟悉而产生的不想用、不敢用、不能用的问题。首先是“不想用”的问题。处于数字化转型过程中的中小企业,由于成本有限,往往对安全事件抱有侥幸心理。他们不愿意在确认能够获得收益之前就对安全进行投资。“新的数字安全服务模式促进了数字安全能力的提升,有效中和了企业的安全投入,拉动了需求市场,提振了中小企业对数字安全的信心。二是问题”不敢用”。企业在考虑实施数字化技术或部署数字化服务时,不确定是否会违反监管要求或带来未知的安全风险,需要建立试错措施,提前发现和预防控制技术应用、产业链协同与监管安全风险。三是“用不上”的问题。这个问题往往是由于缺乏基于数字化业务安排部署安全能力的实践经验造成的。需要使用专业的数字安全工具箱和实施框架来指导部署端到端的数字安全解决方案。.总的来说,当前的安全形势是随着数字化的发展而不断变化的。数字化、智能化、网络化能力不断提升,网络空间与物理世界加速融合。数字化场景层面的延伸、安全新对象、新目标、新威胁、新措施等的变化,将产生新的安全需求和对能力的新要求。
