騰訊安全戰略研究部、騰訊安全聯合實驗室近日發布《工業互聯網安全十大趨勢(2021)》(以下簡稱《趨勢》),從政策法規、安全技術、安全理念、安全生態、安全思維等維度為工業互聯網的安全建設提供了前瞻性的參考和指導,有助於夯實工業互聯網的安全基礎。
圖:工業互聯網安全十大趨勢(2021)
“趨勢”的發布充分體現了安全建設上的“騰訊經驗與思維”。作為產業數字化升級的受益者和建設者,騰訊安全經歷了從消費互聯網到產業互聯網的安全發展歷程,20年來積累了豐富的安全人才、技術、能力和服務經驗。尤其是在今年的“抗疫”期間,面對新業態爆發帶來的“0參考”安全場景和需求,騰訊安全成功保障了騰訊大會的極限擴容、抗疫小程序在極限時間的上線,在雲端守護首屆廣交會,為產業安全建設貢獻了可復制的樣本。
在安全的頂層設計層面,趨勢認為,2021個人信息保護體系將進壹步完善,企業對個人信息的使用將得到規範,數字安全合規管理將成為企業必備能力。同時,企業也要把安全作為“壹把手工程”,在部署數字化轉型的同時,推進安全前置。
同時,隨著互聯網業態的發展演進,黑灰產資源模塊化、團夥碎片化、運營專業化催生了強大的系統對抗能力,迫使企業安全體系從單點企業防禦向供應鏈全局防禦演進。構建全球數字安全治理體系、多聯動黑灰產治理體系、產業鏈保護“* * *”勢在必行。
騰訊副總裁丁可發布工業互聯網安全十大趨勢(2021)。
以下為工業互聯網安全十大趨勢(2021)內容:
1.法律法規的密集出臺加速了個人信息保護體系的完善。
《民法典》、《數據安全法(草案)》、《個人信息保護法(草案)》等法律相繼出臺,加快構建用戶、企業、政府多層次協同的個人信息保護體系。壹是明確個人信息權益,個人信息保護意識逐步加強,用戶對個人信息的可控性不斷提高,個人信息權益損害救濟制度將日臻完善。二是企業規範個人信息使用,數字安全合規管理將成為企業必備能力,從產品形態、數據應用機制、技術安全措施等多個維度推動企業執行法律法規。
2.全球數字安全治理體系勢在必行。
數字技術的應用和發展加速了工業數字化的進程,但也導致了安全問題的普遍性和復雜性。安全問題逐漸演變為涉及政策、法律、標準、技術和應用的全球治理問題,需要政府、行業協會、企業、用戶等多元主體的協同努力,形成協同聯動、能力互補、信息互通的* * *治理體系,以應對網絡空間安全治理態勢的動態變化和廣義邊界。
3.隱私計算已經從技術驗證發展到試點應用。
隨著各行各業數據孤島現象的加劇,以及對多維數據深度分析的迫切需求,數據協同已經成為金融、醫療等行業挖掘數據價值的重要路徑。隱私計算正成為解決多主體數據協作困境、保證不同實體間數據協作過程中數據安全和隱私保護效果的關鍵技術支撐。多方安全計算、差分隱私等隱私計算技術已通過產學研中的應用研究和工程驗證,計算性能將逐步提升,應用門檻將不斷降低。應用領域也將從最初的金融行業應用過渡到制造業、政務等行業的試點應用,幫助更多垂直行業基於協作實現數據價值最大化。
4.零信任架構已經進入落地應用推廣期。
隨著網絡防護從傳統的邊界安全概念向零信任概念演進,零信任將成為數字安全時代的主流架構。壹方面,基於零信任的產品會不斷出現。這些產品從網絡訪問安全入手,在訪問過程中根據關鍵對象所在環境的安全狀態變化,動態控制訪問。在零信任體系下,將逐步整合更多針對身份、設備、網絡等關鍵對象的安全防護能力,最大限度降低企業整體安全風險。另壹方面,零信任應用場景將從基於遠程辦公的用戶訪問擴展到跨雲業務訪問、雲上CVM之間的調用、K8S鏡像實例之間的調用等跨服務訪問場景。
5.AI重塑網絡安全攻防範式。
人工智能應用的普及加劇了隱私保護、數據安全和倫理道德等安全和道德風險,對網絡安全提出了新的挑戰。同時也成為網絡安全攻防兩端的重要工具,提高了兩端的自動化水平。壹方面,AI在網絡黑灰產領域的應用會不斷增加,網絡黑灰產的控制難度加大。另壹方面,AI逐漸融入各種網絡安全產品和解決方案,成為安全專家固化知識、構建自動防護工具的助手,並開始在網絡入侵、惡意軟件攻擊防禦、態勢感知等方面實現商業價值。
6.雲原生安全構建安全服務系統最優解決方案
在工業互聯網時代,企業數字化服務將成為雲上的常態,但與此同時,雲上的安全威脅規模迅速擴大,黑灰產利用公共雲平臺發動攻擊更是威脅巨大。壹方面,雲原生安全將構建安全服務的全生命周期保護,在業務建設之初就夯實安全基礎,從安全工具、產品到服務系統化,全程伴隨業務發展。另壹方面,雲上的安全產品向模塊化、敏捷化、柔性化方向發展,既應對高強度攻擊,又在穩定期釋放冗余計算能力,降低企業應用成本,提升整體安全水平,成為兼顧成本、效率和安全的“最優方案”。
7.5G安全會更加註重系統化和場景化。
5G網絡引入了新技術,如網絡功能虛擬化、網絡切片、邊緣計算和開放網絡功能。未來網絡能力將更加多樣化,這將打破傳統電信網絡的封閉性。安全將貫穿網絡建設、運營、應用的全產業周期,從系統上對“雲、管、端”進行全鏈路防護。同時,增強移動寬帶、低時延、高可靠、海量連接三種場景對網絡帶寬、時延、連接數的要求也不同。各場景下終端的移動性、功耗、計算能力等性能指標各有特點。因此,未來威脅監控、接入認證、數據加解密等關鍵環節的安全需求將緊密結合場景和終端的特點,需要定制化、差異化的安全防護策略和解決方案。
8、多元聯動的黑灰生產管理體系逐步形成。
隨著互聯網業態的發展演變,為網絡犯罪帶來了巨大的空間,以盈利為主要目標的黑灰產也逐漸形成了完整的生態。黑灰產資源模塊化、團夥碎片化、作戰專業化趨勢顯著,催生了強大的體系對抗能力。壹方面,互聯網公司通過安全治理能力輸出,提升了全行業黑灰產防控水平,政府主導的黑灰產圍剿體系初具規模;另壹方面,各方將綜合運用法律法規、先進技術、宣傳教育等多元化手段。,並將構建系統治理、聯動協調的黑灰產管理模式,* * *共同打擊和遏制黑灰產的發展和蔓延。
9.供應鏈安全風險倒逼構建上下遊安全防護“* * *同體”
數字化轉型加速構建供應鏈上下遊緊密合作的數字網絡,將倒逼企業安全體系從單點企業防禦向供應鏈縱深的全局防禦演進。壹方面,企業網絡安全風險除了自身系統外,還會延伸到供應鏈的上下遊兩端。供應鏈中壹個組織的單個安全漏洞可能成為整個供應鏈中所有組織的突破口。另壹方面,企業的安全防護水平也會與上下遊組織密切相關,安全防護能力的上限可能由供應鏈上下遊組織的最低水平決定。
10,安全前置成為工業數字化轉型的前提。
在產業數字化的驅動下,智慧醫療、工業互聯網、車聯網等新應用、新場景不斷湧現。這些傳統行業的數字化服務的安全將直接影響人民生命財產安全和國家信息安全,安全前置將成為傳統行業數字化轉型的重要前提和基礎。企業層面,在數字化進程中,安全的戰略地位將不斷提升,越來越多的企業將安全作為“頭號工程”,加快建立專業的安全團隊,構建完善的安全體系。在數字化業務層面,業務建設初期會考慮更多的安全因素,規避安全風險,降低解決安全問題的成本。安全將與數字業務的R&D、設計和應用管理齊頭並進。