近日,中国计算机学会(CCF)计算机安全专委会中来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2022年网络安全十大发展趋势。
随着《数据安全法》与《个人信息保护法》的落地实施,数据安全治理领域正式进入强监管时代,掌握大量数据的企业无疑成为数据合规监管的重中之重,数据合规建设直接关系企业生存与发展,企业尤其是互联网龙头企业必须从依法依规的角度重新审视企业运作模式,在专业的第三方帮助下,建立数据安全和个人信息保护合规体系成为企业的迫切需求。
《关键信息基础设施安全保护条例》明确了关键信息基础设施对象,掌握大量民生和公民个人信息的大型互联网平台或被纳入关键信息基础设施范围。《网络安全等级保护条例》已于2018年6月向社会公开征求意见。关键信息基础设施将在等保2.0基础上实行重点保护,原则上等级不会低于等保三级。等保与关保的合规必然会带动网络安全行业的技术创新和业务持续快速增长。
信创是国家战略,也是国家经济发展的新动能。2019年,我国提出发展信创产业,随后出台了一系列支持政策,《关键信息基础设施安全保护条例》也明确要求关键信息基础设施运营者应当优先采购安全可信的网络产品和服务。解决了可控不等于就解决了安全,因此网络安全必须贯穿信创整个产业生态链,将带动从IT底层的基础软硬件到上层的应用软件全产业链的自主、可控和安全。
人工智能可以赋能网络攻击的安全威胁发现和检测,以提升自身网络安全等级,但人工智能的恶意使用可以创建更加复杂的攻击,网络安全从人人对抗、人机对抗逐渐向基于人工智能的攻防对抗发展演化。随着新一代人工智能技术的提出与发展,攻击方将利用AI更快、更准地发现漏洞,产生更难以检测识别的恶意代码,发起更隐秘的攻击,防守方则需要利用AI提升检测、防御及自动化响应能力。基于人工智能的自动化渗透测试、漏洞自动挖掘技术等将为这一问题的解决提供新的可能。
要发挥数据要素价值就要让数据流动起来,数据的共享、开发、利用、增值等加工处理能创造更大价值, 但同时也带来了数据安全相关问题,必须依照法律法规要求在保障数据安全的情况下共享数据。隐私增强计算技术能够在保障数据隐私及安全前提下完成多方数据联合分析、联合训练、联合预测,实现数据价值的流通,这项技术正在迅速从学术研究转变为提供真正价值的实际项目,不但实现了新形式的计算和共享,还减少了数据泄露风险。
零信任已经成为数字安全时代的主流架构之一。在组织内部,以数据为中心,重构信任体系和动态访问控制体系,建立组织全新的身份边界,逐渐成为网络安全的大趋势。为确保成功实施零信任策略,必须实施严格的动态安全访问控制,需要高效的IAM解决方案、增强API安全能力支撑。SASE能够帮助组织将最小权限访问方法与云安全保护体系结构很好地结合在一起。通过SASE提供广义的零信任云服务将会成为中小企业的优秀网络安全实践。
七、国产密码应用改造将带动新型数据保护密码算法发展。
2022年,依据《密码法》全面修订的《商用密码管理条例》预计将正式出台,一系列商用密码应用和管理制度将实在落地。国产密码应用改造将是2022年的重头戏,国产密码与“互联网+政务服务”深度融合创新将成为热点。针对移动互联、云计算、大数据、物联网等多元化安全需求,传统的密码算法遇到了新挑战,需要开展新型密码理论和算法研究,如多方参与的数据安全计算关键密码理论、非可信和资源受限环境下数据安全存储关键密码算法、高效可搜索加密和数据库加密、抗量子密码算法设计理论等。
自2015年提出“国家大数据战略”以来,我国积极推进数字经济发展和数字化转型政策不断深化和落地, 2021年发布的《“十四五”规划和2035年远景目标纲要》更是对数字化转型进行了全面的阐述,明确提出,“加快数字化发展 建设数字中国”。加快建设数字经济、数字社会、数字政府,加快推动数字产业化,这些工作的每一项都离不开安全保障,数字化转型必须坚持安全底线思维,坚持开放创新与安全可控并重、促进发展与依法规范并举,推动安全防护与系统建设同步规划、同步建设、同步运行。
当前,物联网安全问题突出,智能家居、智能摄像头等物联网终端设备面临安全威胁。物联网终端设备数量持续增加,进一步放大规模化、多向量网络攻击可能造成的破坏。同时,物联网的发展会带动边缘计算技术的普及应用,物联网放大网络攻击将带动终端安全的防护。基于终端的检测和响应就能够帮助解决物联网终端安全问题,这一趋势将在2022年更加明显。
十、不可逆转的“远程办公”模式对随处适用的网络安全措施需求加大。
远程工作已成为很多企业的长期业务策略,尤其是在新冠肺炎疫情刚开始时,企业争先恐后地大规模部署远程工作系统。随着分布式办公的逐渐流行,黑客们也将网络攻击的重点从针对公司总部或分支机构转移到攻击个人家庭。如果没有充分的配置和保护,所有个人设备都可能成为风险爆发地。因此,保障“远程办公”时代下的企业网络安全至关重要。未来,市场上将会出现更多围绕远程访问技术的整合解决方案,以满足企业简化远程工作部署与管理的需求。
在我国大力推进数字化转型的大背景下,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等政策法规相继出台,《网络数据安全管理条例》《网络安全等级保护条例》等不断推动制定,我国网络安全法律体系将进一步健全,配套的部门规章和技术标准也会相继实施,我国的网络安全法律法规的实施将更具操作性。2022年,网络安全行业将以数据安全为重点,带动相关技术攻关、产品研发、标准制定、产品检测、系统评估、安全服务等网络产品产业的蓬勃发展。