騰訊安全戰略研究部聯合騰訊安全聯合實驗室近日***同發布《產業互聯網安全十大趨勢(2021)》(下簡稱《趨勢》),基於2020年的產業實踐和行業風向,從政策法規、安全技術、安全理念、安全生態、安全思維等維度為產業互聯網的安全建設提供前瞻性的參考和指引,助力夯實產業互聯網的安全底座。
圖:產業互聯網安全十大趨勢(2021)概要
該《趨勢》發布充分凝聚了安全建設上的“騰訊經驗與思考”,作為產業數字化升級的受益者和建設者,騰訊安全完整經歷了消費互聯網到產業互聯網的安全發展歷程,在過去20多年積累了豐富的安全人才、技術、能力以及服務經驗。尤其在今年“抗疫”期間,面對新業態爆發帶來的“0參考”安全場景和需求,騰訊安全圓滿保障了騰訊會議極限擴容、抗疫小程序極限時間上線、守護首屆雲上廣交會,為產業安全建設貢獻了可復制的樣本。
在安全的頂層設計層面,《趨勢》認為,2021年將進壹步完善個人信息保護體系,企業對個人信息利用規範化,數字安全合規管理將成為企業的必備能力。與此同時,企業還應將安全作為“壹把手工程”,在部署數字化轉型的同時,推進安全前置。
與此同時,隨著互聯網業態的發展演變,黑灰產資源模塊化、團夥碎片化、運營專業化,催生出強大的體系對抗能力,倒逼企業安全體系從單點的企業防禦向供應鏈的全局防禦演進,構建全域數字安全***治體系、多元聯動的黑灰產治理體系以及產業鏈防護“***同體”將勢在必行。
騰訊副總裁丁珂發布《產業互聯網安全十大趨勢(2021)》
以下是《產業互聯網安全十大趨勢(2021)》內容:
1、法律法規密集發布加速個人信息保護體系完善
《民法典》、《數據安全法(草案)》、《個人信息保護法(草案)》等法律的陸續出臺,加快構建用戶、企業、政府等多層級協作的個人信息保護體系。壹是個人信息權益明確化,個人信息保護意識逐漸加強,用戶對個人信息的可控性不斷提升,個人信息權益的損害救濟制度也將日益完善。二是企業對個人信息利用規範化,數字安全合規管理將成為企業的必備能力,促進企業從產品形態、數據應用機制、技術安全措施等多維度落實法律法規要求。
2、全域數字安全***治體系勢在必行
數字技術的應用和發展加速產業數字化進程,但也會導致安全問題的泛在化和復雜化。安全問題逐漸演變為涉及政策、法律、標準、技術和應用的全域治理問題,需要政府、行業協會、企業、用戶等多元主體***同發力,形成協作聯動、能力互補、信息互通的***建***享***治體系,以應對動態變化、邊界泛化的網絡空間安全治理形勢。
3、隱私計算從技術驗證向試點應用演進
隨著各行各業數據孤島現象的加劇以及深度分析對多維度數據的迫切需求,數據協作成為金融、醫療等行業挖掘數據價值的重要路徑,隱私計算正成為當前不同主體數據協同過程中,破解多方主體數據協作困境,保障數據安全,隱私防護效果的關鍵技術支撐。多方安全計算、差分隱私等隱私計算技術通過產學研用各界的應用研究和工程化驗證,計算性能將逐步提升,應用門檻不斷降低,應用領域也將從金融行業初步應用向制造、政務等行業的試點應用過渡,助力更多垂直行業基於協作實現數據最大化價值。
4、零信任架構邁入落地應用推廣期
伴隨著網絡防護從傳統邊界安全理念向零信任理念演進,零信任將成為數字安全時代的主流架構。壹方面基於零信任的產品將不斷湧現,這些產品以網絡接入安全為起點,基於接入過程中關鍵對象所處環境的安全狀態變化動態進行訪問控制,並將在零信任體系下逐漸融合更多針對身份、設備、網絡等關鍵對象的安全防護的能力,最大限度降低企業整體的安全風險。另壹方面零信任應用場景將以遠程辦公為主的用戶訪問服務的場景,向跨雲業務訪問、雲上CVM之間調用、K8S鏡像實例之間調用等服務間訪問的場景拓展。
5、AI重塑網絡安全攻防範式
AI應用的普及加劇隱私保護、數據安全、倫理道德等安全和道德風險,為網絡安全提出新挑戰,同時也成為網絡安全攻防兩端的重要工具,提升攻防兩端自動化水平。壹方面AI在網絡黑灰產領域的應用將持續增強,加大網絡黑灰產治理難度。另壹方面AI逐漸融入各類網絡安全產品和解決方案,成為安全專家知識固化和構建自動化防護工具的助手,並且在網絡入侵、惡意軟件攻擊防禦、態勢感知等方面開始兌現商業價值。
6、雲原生安全構建安全服務體系最優解
產業互聯網時代,企業數字業務上雲將成常態,但同時雲上安全威脅規模快速擴大,黑灰產利用公有雲平臺發起攻擊更具威脅。雲原生安全壹方面將構建安全服務全生命周期防護,在業務搭建之初夯實安全底座,從安全工具、產品到服務體系化,伴生業務發展全過程。另壹方面雲上安全產品向模塊化、敏捷化和彈性化演進,在應對高強度攻擊的同時也在平穩期釋放多余計算能力,使得企業應用成本降低,提升整體安全水平,成為兼顧成本、效率和安全的“最優解”。
7、5G安全將更註重系統化和場景化
5G網絡引入網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等新技術,未來網絡能力更加多樣化,打破了傳統電信網絡的封閉性,安全將貫穿網絡建設、運營及應用整個產業周期,針對“雲、管、端”進行系統化全鏈路防護。同時增強移動寬帶、低時延高可靠和海量大連接三大場景對網絡帶寬、時延和連接數等指標要求不同,每個場景下終端的移動性、功耗、計算能力等性能指標各具特點,因此未來在威脅監測、接入認證、數據加解密等關鍵環節的安全需求將緊密結合場景和終端特色,需要定制化、差異化的安全防護策略和解決方案。
8、多元聯動黑灰產治理體系逐步形成
隨著互聯網業態的發展演變,給網絡犯罪帶來巨大觸達空間,以牟利為主要目標的黑灰產逐步形成完整生態。黑灰產資源模塊化、團夥碎片化、運營專業化趨勢顯著,催生出強大的體系對抗能力。壹方面,互聯網企業通過安全治理能力的輸出,提升全行業黑灰產防範治理水平,政府引領的對黑灰產的合圍***治體系雛形初現;另壹方面,各方主體綜合運用法規政策、先進技術、宣傳教育等多元化手段,將構建系統治理、聯動協同的黑灰產治理模式,***同打擊遏制黑灰產發展蔓延。
9、供應鏈安全風險倒逼構建上下遊安全防護“***同體”
數字化轉型加速供應鏈上下遊構建緊密協作的數字網絡,這種互聯互通的供應鏈數字網絡將倒逼企業安全體系從單點的企業防禦向供應鏈的全局縱深防禦演進。壹方面企業網絡安全風險除了自身系統外,將向供應鏈上下遊兩端延伸,供應鏈上某壹組織單點的安全漏洞,有可能成為整個供應鏈上所有組織防線的突破口。另壹方面企業的安全防護水平也將與上下遊組織緊密關聯,安全防護能力的上限有可能將由供應鏈上下遊組織的最低水平決定。
10、安全前置成為產業數字化轉型前提
在產業數字化驅動下,智慧醫療、工業互聯網、車聯網等新應用、新場景不斷湧現,這些傳統行業數字業務的安全性將直接關系到民眾生命財產安全和國家信息安全,安全前置將成為傳統產業數字化轉型的重要前提和基礎。企業層面,在數字化過程中,安全的戰略地位將不斷提升,越來越多的企業會將安全作為“壹把手工程”,加快組建專業安全團隊,構建全面的安全體系。數字業務層面,在業務構建初期將考慮更多的安全因素,以此規避安全風險,降低解決安全問題的成本,安全將與數字業務的研發設計、應用管理相互***生,齊頭並進。