預見2022｜數字化浪潮下，網絡安全的四大發展趨勢

編者按

通信世界全媒體推出“預見2022”ICT産業趨勢系列報道，縱論産業趨勢，共謀産業發展，為2022年ICT産業發展助力。本期特邀中國資訊通信研究院安全研究所楊朋、戴方芳撰文，預測2022年網絡安全發展态勢，敬請關注！

近年來，全球數字化程序持續提速，大陸緊抓數字化發展機遇，将“加快數字化發展 建設數字中國”作為新階段國家資訊化發展戰略目标，積極推進數字經濟高品質發展。随着社會各領域數字化發展加快，新技術、新業态、新模式不斷湧現，驅動生産、生活及治理方式發生變革，加速了網絡安全風險向各行業領域延伸，需以新的視角思考數字化趨勢下的安全新問題，本文将從安全對象、目标、威脅和措施四個方面分析安全發展趨勢。

數字化驅動安全保護對象拓展延伸

伴随數字化發展的不斷深入，網絡安全問題新舊交織，數字技術、數字産品、數字平台等新興數字資産架起了網絡到實體空間的橋梁，其安全重要性逐漸凸顯，安全問題需重點關注。

一是價值高度彙聚的數字基礎設施仍然是攻防對抗的一線陣地。5G、人工智能、大資料等數字基礎設施提供了感覺、連接配接、存儲、計算、處理、安全等數字化、智能化、網絡化能力，承載高價值資源的數字基礎設施易吸引更進階别、更高複雜性，甚至國家級攻擊。據綠盟統計，金融、營運商、企業及政府等重要行業領域的數字基礎設施分别以35%、20%、20%、10%的分布占比成為2020年安全攻擊熱門領域前四位。

二是數字技術作為數字産業化核心帶來安全新問題。新興數字技術賦能行業創新發展，融合應用滲透到衣食住行各領域，“無接觸服務”加快推廣，遠端醫療、教育、辦公等使用者規模快速增長，體育、旅遊、展覽等行業紛紛推出線上服務新模式。5G、AI等無形的技術資産逐漸成為數字産業化核心支撐和創新源動力，推動安全資産從過去以有形資産為主逐漸向無形資産為主快速發展，無形技術資産的特性，需要業界思考應對其安全價值如何評估、保護措施如何實施以及安全風險如何轉嫁等新問題。

三是數字産品将端點安全屬性不斷拓展。網際網路技術、人工智能、數字化技術等嵌入傳統産品設計，使傳統産品逐漸轉變為集感覺、計算、存儲、互聯等功能為一體的數字産品。數字産品作為實作數字互聯的基本單元，實作IT/OT融合領域的終端互連、互通、互操作。産業數字化轉型中，特别是工業網際網路工控裝置、機床及車聯網移動終端等內建感覺控制、計算存儲等功能，運作可靠性、生産連續性等安全屬性尤為重要。

四是數字平台使安全風險影響面持續擴大。雲計算、數字孿生、人工智能等數字平台作為數字經濟發展的重要形式和載體，成為實作應用功能內建互通、資源高效置換、數字業務鍊條上傳下達的重要通道，具有網絡效應、對資料的虹吸效應以及邊際成本趨于零的特性，其安全性決定依托平台開展的業務是否具備全域全流程的安全能力，産生由點及面的波及影響。IDC和華為研究顯示，數字平台是否具備全域全流程的安全能力已成為企業數字化轉型過程中最關注的屬性。

安全保障目标向安全創造價值轉變

數字化發展催生新技術、新業态、新模式的同時，将安全風險拓展到生産生活的方方面面，安全影響和損失持續擴大，推動安全從過去的風險消減向平衡價值、創造價值轉變。

2021年5月，美國最大燃油管道營運商科洛尼爾遭受勒索軟體攻擊，導緻被迫關閉超過8850千米管道運輸系統并支付500萬美元贖金；同期，全球最大肉類生産商JBS遭到REvil病毒攻擊，旗下工廠全線停産，影響美國市場近四分之一的供應量，損失超1100萬美元。

網絡環境中作業系統、伺服器等出現安全隐患時，打更新檔、停機重新開機等傳統方法已難以在目前安全形勢中發揮效用，對于生産系統連續性要求極高的行業領域（如電力行業），當遭遇網絡安全風險時幾乎不可能停機進行檢修。數字場景下，安全風險的融合性、級聯效應突出，安全威脅在雲端平台和應用、工業控制系統和裝置、工業生産業務流程等不同層級牽一發而動全身，安全的營運和試錯成本累加性甚至呈指數級上升。安全目标逐漸從過去的根據降低成本開銷、消減風險等向平衡價值、創造價值發展。

例如，通過在數字化轉型規劃、數字業務開展的早期，即實施安全規劃和評估，将安全的考慮前置，并結合安全資源池、安全保險等新舉措，以實作安全平衡價值、創造價值。

内源風險和外在不确定因素成為威脅新變量

數字化背景下，産業數字化和數字産業化互相促進、協同發展的同時，引入的内部風險因子和外部擾動因素使數字威脅持續擴大。

一是泛在的物聯網裝置引起攻防不對等。數字場景下，巨量級裝置聯網，一部分物聯網資産繞過傳統IT安全層直連到網際網路，暴露在攻擊者面前，攻擊者隻需“知其一二”，發現一個或多個脆弱點作為突破口即可向更深更廣的範圍滲透，而防禦方則需要“知其全貌”，針對OT環境的資産監控和管理需要相容工業物聯網（IIoT）資産專有協定（Modbus/TCP、EtherNet/IP、Moxa AOPC等）和裝置行為，否則可見性有限。

二是對數字技術的掌控導緻安全不确定性。設計者主觀偏見、不充分的訓練資料集等引發應用歧視，導緻結果出現在裁決之前。例如，COMPAS算法預測黑人罪犯的再犯罪率為45%，相比白人的23%接近兩倍，但與實際情況相差甚遠。新聞資訊、短視訊類應用過度應用算法推薦，将使用者擷取内容的領域束縛于“資訊繭房”，從自主選擇擷取資訊的“主人”，到“追求愉悅”被資訊左右的“奴隸”。

三是制裁打壓加劇外部不穩定因素。部分國家為了維持主導權和産業優勢，以安全為由在産品、服務、技術、輿論等方面實施一攬子制裁打壓組合拳，意圖遏制他國的技術更新和産業發展。一方面，愈發嚴格的進出口管制制約基礎技術研發應用，導緻關鍵技術、産品、服務“用不了”。另一方面，不遺餘力地推進安全審查，意圖實作供應鍊“去中國化”，造成大陸企業海外業務“鋪不開”。

需求驅動實用主義安全措施逐漸成為主流

數字時代，安全措施的實施更傾向于從實用主義視角去适應不斷疊代的新技術、新業務、新威脅。垂直行業作為數字化轉型和數字業務發展的主體，逐漸成為數字安全舞台上的主角，分化的、跨領域屬性明顯的安全需求碰撞和磨合出更加靈活的治理措施，需以更具包容性的靈活思維，解決由于行業企業對數字世界安全問題的不确定和不熟悉，導緻的不想用、不敢用和不會用等問題。

一是“不想用”的問題，數字化轉型中的中小型企業往往因成本有限，對安全事件發生存在僥幸心理，在确認能獲得收益前不願意做安全投入，需探索以“安全服務+保險賠償”的新型數字安全服務模式，促進數字安全能力提升，有效中和企業安全投入、拉動需求市場，提振中小企業數字安全信心。

二是“不敢用”的問題，企業在考慮數字技術落地或部署數字業務時，不确定是否會違背監管要求、是否會帶來未知安全隐患，需建構試優試錯措施，提前發現和防控技術應用、産業鍊協同和監管安全隐患。

三是“不會用”的問題，這一問題往往因缺少根據數字業務編排調配安全能力的實踐經驗造成，需要以專業性的數字安全工具箱和實施架構，指導端到端的數字安全解決方案部署。

總體來看，目前安全形勢随着數字化發展不斷變化，數字化、智能化、網絡化能力提高的同時，加速驅動網絡空間與實體世界相融合，安全風險通過網絡實體融合空間向生産、生活等經濟社會層面的數字場景延伸，安全新對象、新目标、新威脅、新措施等方面的變化将衍生安全新需求及能力新要求。

本文作者

楊朋

中國資訊通信研究院安全研究所

戴方芳

End

作者：中國資訊通信研究院安全研究所

楊朋 戴方芳

責編/版式：範範

稽核：申晴

監制：劉啟誠

我就知道你“在看”