随着云计算、大数据、5G、物联网、人工智能等新一代信息技术与传统产业的加速融合,产业互联网发展欣欣向荣,逐渐成为人们生产生活的时代底色。同时,随着信息技术贯穿各个行业的研发、生产、管理、服务等多个环节,新业务、新场景、新应用、新模式加速涌现,企业不得不面对安全边界泛化的挑战,安全正成为当前产业数字化的重要基础。
安全作为产业互联网的基座,其本身也处于高速变化和演进的阶段。一是政策法规体系逐渐完善,《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等陆续出台,为安全建设明确方向。二是安全场景日益增多,供应链协同安全、5G应用安全、黑灰产生态化等成为企业数字化过程中的重要挑战。三是技术和理念创新活跃,隐私计算、零信任架构、人工智能、云原生安全等正加速在安全场景落地应用,为企业的安全防护体系建设提供支撑。
腾讯作为产业互联网的受益者和建设者,大力推动数字技术在金融、医疗、零售、制造、交通等多个行业落地,并且将安全作为产业互联网发展的重要前提。此时,基于产业实践,总结产业安全发展趋势,旨在与业界共同凝聚安全共识,转变安全战略思维,共同构建数字安全防护能力,为产业互联网发展营造安全可靠的发展空间。
法律法规密集发布
《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等法律的陆续出台,加快构建用户、企业、政府等多层级协作的个人信息保护体系。一是个人信息权益明确化,个人信息保护意识逐渐加强,用户对个人信息的可控性不断提升,个人信息权益的损害救济制度也将日益完善。二是企业对个人信息利用规范化,数字安全合规管理将成为企业的必备能力,促进企业从产品形态、数据应用机制、技术安全措施等多维度落实法律法规要求。
数字技术的应用和发展加速产业数字化进程,但也会导致安全问题的泛在化和复杂化。安全问题逐渐演变为涉及政策、法律、标准、技术和应用的全域治理问题,需要政府、行业协会、企业、用户等多元主体共同发力,形成协作联动、能力互补、信息互通的共建共享共治体系,以应对动态变化、边界泛化的网络空间安全治理形势。
随着各行各业数据孤岛现象的加剧以及深度分析对多维度数据的迫切需求,数据协作成为金融、医疗等行业挖掘数据价值的重要路径,隐私计算正成为当前不同主体数据协同过程中,破解多方主体数据协作困境,保障数据安全,隐私防护效果的关键技术支撑。多方安全计算、差分隐私等隐私计算技术通过产学研用各界的应用研究和工程化验证,计算性能将逐步提升,应用门槛不断降低,应用领域也将从金融行业初步应用向制造、政务等行业的试点应用过渡,助力更多垂直行业基于协作实现数据最大化价值。
伴随着网络防护从传统边界安全理念向零信任理念演进,零信任将成为数字安全时代的主流架构。一方面基于零信任的产品将不断涌现,这些产品以网络接入安全为起点,基于接入过程中关键对象所处环境的安全状态变化动态进行访问控制,并将在零信任体系下逐渐融合更多针对身份、设备、网络等关键对象的安全防护的能力,最大限度降低企业整体的安全风险。另一方面零信任应用场景将以远程办公为主的用户访问服务的场景,向跨云业务访问、云上CVM之间调用、K8S镜像实例之间调用等服务间访问的场景拓展。
AI应用的普及加剧隐私保护、数据安全、伦理道德等安全和道德风险,为网络安全提出新挑战,同时也成为网络安全攻防两端的重要工具,提升攻防两端自动化水平。一方面AI在网络黑灰产领域的应用将持续增强,加大网络黑灰产治理难度。另一方面AI逐渐融入各类网络安全产品和解决方案,成为安全专家知识固化和构建自动化防护工具的助手,并且在网络入侵、恶意软件攻击防御、态势感知等方面开始兑现商业价值。
云原生安全构建安全服务体系最优解
产业互联网时代,企业数字业务上云将成常态,但同时云上安全威胁规模快速扩大,黑灰产利用公有云平台发起攻击更具威胁。云原生安全一方面将构建安全服务全生命周期防护,在业务搭建之初夯实安全底座,从安全工具、产品到服务体系化,伴生业务发展全过程。另一方面云上安全产品向模块化、敏捷化和弹性化演进,在应对高强度攻击的同时也在平稳期释放多余计算能力,使得企业应用成本降低,提升整体安全水平,成为兼顾成本、效率和安全的“最优解”。
5G安全将更注重系统化和场景化
5G网络引入网络功能虚拟化、网络切片、边缘计算、网络能力开放等新技术,未来网络能力更加多样化,打破了传统电信网络的封闭性,安全将贯穿网络建设、运营及应用整个产业周期,针对“云、管、端”进行系统化全链路防护。同时增强移动宽带、低时延高可靠和海量大连接三大场景对网络带宽、时延和连接数等指标要求不同,每个场景下终端的移动性、功耗、计算能力等性能指标各具特点,因此未来在威胁监测、接入认证、数据加解密等关键环节的安全需求将紧密结合场景和终端特色,需要定制化、差异化的安全防护策略和解决方案。
随着互联网业态的发展演变,给网络犯罪带来巨大触达空间,以牟利为主要目标的黑灰产逐步形成完整生态。黑灰产资源模块化、团伙碎片化、运营专业化趋势显著,催生出强大的体系对抗能力。一方面,互联网企业通过安全治理能力的输出,提升全行业黑灰产防范治理水平,政府引领的对黑灰产的合围共治体系雏形初现;另一方面,各方主体综合运用法规政策、先进技术、宣传教育等多元化手段,将构建系统治理、联动协同的黑灰产治理模式,共同打击遏制黑灰产发展蔓延。
供应链安全风险
数字化转型加速供应链上下游构建紧密协作的数字网络,这种互联互通的供应链数字网络将倒逼企业安全体系从单点的企业防御向供应链的全局纵深防御演进。一方面企业网络安全风险除了自身系统外,将向供应链上下游两端延伸,供应链上某一组织单点的安全漏洞,有可能成为整个供应链上所有组织防线的突破口。另一方面企业的安全防护水平也将与上下游组织紧密关联,安全防护能力的上限有可能将由供应链上下游组织的最低水平决定。
在产业数字化驱动下,智慧医疗、工业互联网、车联网等新应用、新场景不断涌现,这些传统行业数字业务的安全性将直接关系到民众生命财产安全和国家信息安全,安全前置将成为传统产业数字化转型的重要前提和基础。企业层面,在数字化过程中,安全的战略地位将不断提升,越来越多的企业会将安全作为“一把手工程”,加快组建专业安全团队,构建全面的安全体系。数字业务层面,在业务构建初期将考虑更多的安全因素,以此规避安全风险,降低解决安全问题的成本,安全将与数字业务的研发设计、应用管理相互共生,齐头并进。
Tip:如何将我们设为星标
扫码关注 了解更多资讯
点击“阅读原文”,获取十大趋势报告
本文始发于微信公众号(腾讯安全联合实验室):产业互联网安全十大趋势(2021)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论