来源:腾讯研究院 伴随数字化转型进入“深水区”,企业对安全的投入目标也要进一步升级:从安全基础能力的建设,转变为向产业高质量发展提供系统化保障、提升产业抗风险能力。安全不仅是企业必须守护的底线,也已经成为制约企业发展的天花板,决定着企业发展的高度。 3月21日,在中国产业互联网发展联盟指导下,腾讯研究院、中国信息安全、南方日报、腾讯安全联合推出**《2023 产业互联网安全十大趋势》**(以下简称报告)。 报告汇聚了腾讯研究院院长司晓、《中国信息安全》杂志社执行董事温哲、南方日报副社长王更辉、腾讯副总裁丁珂等30余位行业专家、学者、智库的智慧思考,从宏观态势、产业实践、技术演进三个维度对产业安全的核心议题进行分析研判,给产业互联网健康可持续发展提供指引。同时这也是腾讯研究院和腾讯安全,连续三年联合发布《产业互联网安全十大趋势》,携手为产业数字化发展提供参考和指引,共建数字新时代的安全底座。 以下为报告的核心观点:(文末可下载报告全文)
宏观态势篇:
“产业高质量发展安全观”将成为企业安全建设纲领,安全立法监管促发展进入常态化
2023年是全面贯彻落实党的二十大精神的开局之年,高质量发展,是全面建设社会主义现代化国家的首要任务。高水平安全,是高质量发展的前提。在产业来看,各主体必须建立安全意识、安全管理、数据安全、网络安全、终端安全、业务安全、供应链安全等全维度的综合安全能力和体系,为企业长期可持续发展提供保障,也为数据在安全前提。 报告提出,产业安全将为“新要素”、“新模式”、“新制度”,这三大“新动能”提供关键支撑作用。产业安全是企业数字化实践的“前置条件”和“基础底座”,2023年,企业安全建设思路将更加前置,真正做到以安全为始、以安全为终。 在宏观政策层面,报告提出近年来,伴随《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规的密集发布,我国网络安全与产业安全相关立法德国顶层设计和主体框架日趋完善,当前主要工作将聚焦面向行业层面的实施和强化监管。
未来,安全相关的立法、监管与执法,将会聚焦于行业层面,对企业数字化实践和创新,给与更多的监管、约束和引导。短期内,合规会挤出产业中存在的一些痼疾与泡沫,通过数字经济的合规治理,尽可能降低数实融合趋势中的风险。从长期来看,就能够实现“从合规要发展”及“以监管促发展”的目标。
产业实践篇:
战略布局、组织架构、反欺诈风控、安全合规等成为企业重点关注,构建安全免疫力成为新共识
过去,网络安全威胁风险程度较低、攻击相对不太复杂,网络安全部门也长期作为企业IT部门的一个分支存在,伴随企业数字化转型不断深入和日益复杂的网络攻击。“安全左移”成为行业共识,**安全活动进入企业生产环节,参与企业发展战略、进入产品研发生命周期全流程。**这种生产流程的改变,也需要从组织架构上予以支撑。企业重视安全,除了增加人力和预算、技术投入外,也在组织架构上围绕安全建设进行主动调整与布局。
安全风险从传统网络安全向各类业务安全快速转移,企业面临更多来自外部的欺诈和未知威胁,刷榜刷单、恶意骗贷、欺诈广告、流量作弊、恶意占票、虚假申请……有机构测算,网络欺诈导致的损失占GDP比例达0.63%,约4000多亿元。报告提出,在此背景下,企业未来更多会以动态的视角平衡欺诈损失和客户体验,根据业务峰值和黑灰产攻击态势,灵活在“安全优先”与“合规优先”的两极之间不断精细化反欺诈策略,护航业务健康发展。 目前中国企业出海正在迎来新一轮的浪潮。据《埃森哲2022中国企业国际化调研》报告显示,当下,多重因素正在推动中国企业加速出海步伐,95%受访的中国“出海”企业认为自己未来3年海外业务的增长可以超过5%。在此背景下,报告提出:企业出海的门槛大大降低,进一步催生了新一轮的企业出海热潮。在频发的出海企业被当地处罚事件以及全球趋严的数据安全相关出台的背景下,中国出海企业在关注市场机遇的同时,开始将安全合规列入最高优先级事项中。
综合以上产业安全发展的规律, 报告提出:**下一个阶段,构建企业级的安全免疫体系将成为企业的主要业务焦点,着力建设涵盖企业发展全生命周期、企业运行全流程以及产业链各环节的安全“穹顶”。**安全产业的使命,必然“兼济天下”。在不断通过云和SaaS化的方式以及技术与产品的创新改变现有的安全供给体系的环境中,中等以下规模的企业也能建立起全视角的安全免疫力。 此外,企业安全免疫系统之间也非孤立的。企业与企业之间的安全投入、安全建设应保持高度的兼容与同频,在安全产业底层实现技术、产品、服务的充分流动,通过行业协同与行业竞争,促进“安全底座”的自我优化、自我迭代,为数字经济提供动态稳定的底层支持。
技术演进篇:
云原生安全通过“一体化”大幅提升产业安全水位,供应链风险、新一轮人工智能革、多重勒索带新挑战
云计算技术的高速发展,推动企业步入云原生时代。在云原生技术框架下,软件的架构方式、生产方式和运行方式都发生了深刻的变革,整个安全的边界变得更模糊、更细粒度。**多位专家认为,云原生安全产品在提高防护能力的同时,也需要降低使用的门槛,通过“一体化”的综合解决方案交付给企业,解决企业安全设备多、安全运营难等问题,帮助企业构建高效的一体化云原生安全防御体系。**报告提出未来,云服务提供商可以深度绑定不同领域的安全厂商,结合厂商的产品能力、研发能力等经验和优势,基于云原生的技术架构,建设一个开放且较为有效的云原生安全环境。因此,生态化的强强联手、深度合作,势必成为发展趋势。 此外新技术等发展也会带了新的挑战,以ChatGPT为代表的AIGC人工智能技术正掀起新一轮的人工智能革命,但AI是把双刃剑。专家学者们普遍认为,大模型AI计算可能带来潜在新型攻击和内容合规等安全风险,且随着超大规模神经网络计算的持续发展,未来的网络安全形势将更加严峻。 报告还分析指出,供应链风险将成为企业数据安全的最大挑战,而数据安全是供应链风险管控防护的核心目标之一,供应链管理者应更加重视数据的保护。同时,勒索软件攻击对产业安全的威胁有增无减,双重、多重勒索使企业数据资产遭受到致命威胁,安全厂商需推动更有效的勒索病毒防治相关产品的研发,企业也需从源头把安全纵深防御的基线筑牢。****