2024数字安全免疫力建设指南
AI智能总结
工业和信息化部新闻宣传中心指导腾讯云、腾讯安全编制 编者语 当前:网络与安全密不可分,共同构成了国家数字经济发展的基础没施,也成为企业创新与发展的基石。习近平总书记在网络强国三安急想中指出,“网络安全和信息化享关国家长治久安,耳关经济社会发展和人民祥众福社。“因比,腾讯安全合提出“数字安全免疫力”新框架,带望以企业客户真实场系、真实痛点、真实需求为研究对象,为企业创建一有以数后与业旁为中心,统筹发展与安全的方法论、工具集。 为了更好地指导企业数字化时代安全建设:在工业和信息化部新间宜传中心的发起、指导下,找们启动了《数字安全免度力建设增南》的编创。三十余位行业自导专家、学者、企业家组成或编委会,温过数一轮的切讨与共识,最终形成包合“产业安全发层道资、宏观环境解读、数字安全建设核心、安全度量云系、建设工具”等部分在内的产业安全建设实读指南: 在特续完善“数字安全免疫力”在架的同时,该指市更关注企业实践。我们报君六大板扶对应的具体场景为企业推荐对应的建没意见与工具建议,也将落指南与行业中代秀的实践结合,相互对照,希率为处于数字化转型期的企业提供实战指引,数字安全负疫力范式的打率计非而就,而是要不断吸取行业共识和各界的建议持续送代:来我们将面向个业数字化建设典型场景、数字化集群发晨的典型区域和网络安全攻防典型案例,继续夯实数字安全免疫力的实践价信: 数字安全免波力程设指南编会 推荐语 王保平 工信部新间宣传中心(人民邮电报社)总编辑 传统的网络安全理念,定“以已知应对未知”:防考以有限的技术、产品和实成经验:去对抗未知的攻击者、未知的攻击方式,总会陷于被动。数字安全免疫力准架提出的想污:是以“发展”应对“未知”。一是用发展市米的免疫抗体,更有效地发现、处、消灭“病毒”:指的是“数字安全抗性”;二是用发展塑造强健的体晚,让追要饭坏后既保护好丰枢系统和主岁器言,支能快速恢复:指的是“数字安全弹性”。 近一段时间,政府主管部门马集多停专家一起国绕“敬字安全免疫力”开展了几轮时论,这既是思路打磨成孕的过程,也是大家达成交集和共识的过程,这是风为,网络安全是一个宏大而又其础的课题,往大了说,事关国际竞争、国内稳定与礼会民生,往小了说,千行百业无论什么规模体至的企业者都会深受影响,我国数千万的企业数字式础千差力别,不日能要求每一家企业都建立完暂约威助情报系、采用零信任理念、对多云坏境投入大虽安全成本…没行一和思维方式,让网络安全埋念经过几十年复杂化发展之后,逐步回归“极简”?这是提出“数字安全免度方”的背示。 数字经济发展的速度太快:即便我们针对企业可能面五的潜在风险场景匹配出对应的工具,也可能在很短时间内就会失效:但这个回归“极简”的思路,基于企业业务和效据核心推导出的安全理念和建设方法:足值得长期坚持、持续研究的。所以,无论足“数字安全免孩力白皮书》还足《数字安全免妄建设指南”,都仅足刀始。希望能够继续乘大家一起探讨交流,为企业安全建设提供帮助: 推荐语 汤道生 腾讯集团高级执行副总裁、云与智慧产业事业群CEO 数字化转型正逐步进入深水区,业务系统质需要易用好月,壮需要灵活与可扩层:传统边界防护与修补漏洞的安全理念已不足以满足效字化时代要求;能否在一套新的安全范式下:建立“行为分析、情报与微是驱动”的安全体系,及时发现威胁与堵住攻击,保护核心数字资产:这际关系到全业个体的或长,起关系产业乃至效字经济的高质量发展大计。 在企业层面,数据资产的价值越来越言:企业的生产、经营、管理高度依款各种数字系统。传统“边界”防护的安全理念,在丰件发生三才做出响应,在漏洞发后才子以修补,会使企业永远处于区险当丰。如果有坏人从“后花匠”绕过全业的防御边界,就可以随意破坏全业内部的所有数字资产。企业应当建立前陷安全思路,图统核心业务构建防御、检测、响应闭环,进行对应的风险过滤和处兰。 在产业层面,数字化发展速要快、指东范围广、影响程度深。供应链在安全的前抚下做好数字化,可以优化资源起置,促进生产方式变革,提升经济发展的效率与质。应连过DwSecOps实现安全左移,巴安全能力融入到整个数字供应链的全开发生命周期。二定在企业的采购、供应商管理和审查监控过程口,月具有一致性的安全准入标注缺好供空链安全治理。 在国家层面,数字化技术的深入广泛应用:可以性进政府管理和社会治理模式创新,实现政府决策科学化、社会治理精准化、公共服务高效化:但安全和发愿是一体两翼,发展是安全的基础和日的;安全是发展的条件和保障:没有安全,经济社会健康可持续发展就无从谈起。 在这的背系下,腾讯安全发起关于数字安全免疫力的讲讨:就是为了在安全硅设范式这个原点上为人家搭建一个共设、共识、共建的平台,为企业在数字化时代的安全硅设提供可估鉴的实战指引:若限于中国数字经济未大十年的健虑可持续发展,筑牢安全底座。 目录 前瞻安全趋势2024年数安全审零变单预测01、拨高安全认知值得关注的宏观环境变化07三、重建安全范式一一企业建设数字安全免疫刀的四个该心60四、精确安全度量一一运月安全评测丁具评估自身水位16五、实安全建设为企业虽身定制的六个建设指南205.1数据安全篇215.2业务安全篇225.3玄全运营管理篇245.4边界安全与端点安全篇295.5应用开发安全篇33 前瞻安全趋势 2024年数学安全重要变革颁测 数据要素×安全”成为数字经济繁荣发展的基石 10月25日:国家数提局正式挂牌或立。根据党和国家机构改单方案》,国象数提局负高协调推进数提基础度建设,统筹数据资源整合共宇和开发利用,统筹推进数字中国、数字经产、数字社会规光和建设等。国家欲提局寿口,正在推进数据要素市场化配置改革相关更点工作。1月4日,压家数提局联会工业和信息化部等17部门正式印发“数据要素×”三年行动计划2024-2026年",其中重点指出,数据对治理方式标出新挑战,书要探索适应效据特点的安全治理模三 数据要系市场建设足一项探案性、创新生、专业性很强的事业,国际二没有通行做法可以信垒。必须坚持顶层设计和实或探索有机结合、良性互动。效据基础设旅建设维度:网络、算力和效君构或“靠力三角”,而安全设施成为量础支摔。效要系市场化,未要衣托数据本身的规模训送增、非竞争性和低成本复制三六特性:但网络女全或时会对数据的流转造成巨大威,阻碍其流追、增值,退至直接催毁效据素本身的商业价值。达此:能否构建充分安全的数据要素产业,将成为2024年的重要课题。 生成式人工智能改变攻防底层逻辑 生成式人工智能支术的发展逆度之快:已经趋越人类历史二任何一种IT技术。更亘费的是,AIGC前所未有地颠荒了人类对数据采集、使月、生成、决策的主导权(或部分主导)。A可以在不经人类经验与患维弓号的情况下,完成创新流程,从而彻走改变数字产能的输出结构,改变人机交互的关系。AIG.改造效字寸界的进程:和颠揽现有数字安全攻防体系底层逻辑的进程是一致的。 一方百,应用AGC实现攻击式器的“升维”,可能将数字安全的战场由“冷器”时代直核接带入“核武器”时代、AGC的注入将使攻击者有能力发起针对所有被攻击者的更高频率、更具破坏力、更无差另的“遍历攻击”。其攻击武器土可能更稳医、更难预测。 另一方面,防御名出可能提“阵地防征”思路,户正进入免凌防时代:在AGC的助力下:防御或本将大幅度下降,防衍休系的自我决策和反应能方都会指数级提于,核思路也将从攻防驱动转为风险驱动,大三低级网改击手段将快速失效: 而作为攻防新底层技术的AIGC本身,自然而然成为了攻访双方的必争之地。在2023年的R5A创新沙盒大亲上,针对人工智能进行安全防护的HiddenLayer获得了冠军,也显示出对人工智能安全的关注已经追在严民。在大力发展人工智能的同时,围绕人工智能的安全保护,包括训练数据的防污染、模型自身的安全生、AIGC复用过程中的致惑数据防泄漏等,都会成为新的攻防要素。 网络安全保险催生风险共担新模式 当前安全风险巨足数字化稳健高速发展的最六障碍。随若各行业领域网络化、效字化、智能化发展进一步提达,在现有安全产品与服务模点量础二:损索建立网络安全保险,逐女建立相应的商业模式和股务体系,能够有效转移企业在风险中遭受的破坏生技失,先化数字化投入的配互:保障企业财务稳定性和业务连续性。已前,国内巨有部分安全公司长合保险公司,针对特定场系和特定客户需求提共网络安全保险取务。然而网络安全保险业务快速兴起,依然岁面对网络攻击总量波动过人、不确定性高、新技术送代对现有理模型均制烈等现状:引发架险公司保费提升、损失率上升等变化。 达比,网路安全供险的基本规则尚待完备。以美国为例,2023年上半年,美国企业的网络供途素赔频率增长了12%,素赔严重程度增长了42%,与之相对应的是,:被保险企业应意支付的保费金额下降一半以上,导网络安全保险业务在欧美均处于“不稳定”状态,甚至有保险业办会“退”成员公司的新间。 网络韧性受重视程度超过“刚性”安全 传统网络安全范式强调“刚生”和“抗”。在“黑与白”的攻防战中,即便双方学控的武器不断升级,乃至升始通过A进行超限攻防战,但核心忌维,依然是退求“需损失”:即尽可能通运情报预判攻击,或名以更强的防御体系在攻击丰将损害降判极限:但“刚性”防御思维的最大缺陷,就是防守方在攻击面违续扩大的情况下,防御或本打续提高反而会制约企业业务的工常发展, 在这个背景下:“韧性”成为网络安全建没的一个新的忌维。它以企业数据和业务为核心,强误组织在面临网络安全攻云导致业务、股务中断等不利情况下,依然能够保持业务稳定性、连续性和持续运营增长能力,以达乳与发展目标相适应的战略稳定性;将企业的数字化视作一个整体:使之遭遇重大破坏时:能够快连重建业务、恢复数后、达到客户/用户端无感;在非“时”白动调整系统架构和核心资产分美,提高数字系统敏捷性和架构先进生:自动纠索被攻云互及持续改进。在数了安全免疫力模型中提到:终安全应以“弹性、白适应、可扩广展”为月标,这与动性防御患件是喜度契合的。 供应链安全催化融合式风险管理升级 多立专家认为:随若数字化程度的加深,欲提在供应链各环节的嵌连、流转,有可出供应链中的所有参与者都应对安全负责。以避免事故的成本作为安全责任分担的量本量标准:就足量于经济学模型为安全风险的度量、定责与担责提供了具体忌路。 在数字系统的供应萨中,应当以“最小成本”避负安全风险作为本本要求,寻浅融合式风险管理能力:一是在数字供应链休系中,寻惑“最小或本”共识,多方共同采取融合式的区险管理息想,追过标准化的休系与接,研保风险管担水位均衡,从而达到成本量小化:二是建立供应链全局的风险预测、管理、决策界面:使企业十的各业务主休、供应链中的各企业运行充分的风险联动:三是司求供应链安全“大小末顾”:尤其是针对供应链中的中小企业主体,配芒低或本、效能的安全防御工具,消除潜在短板: 智能制造开拓下一个工业互联网安全建设方向 智能制造,尤其是新能源汽车制造,将成为二业互联网安全建设的下一个主力军,许很高的要求,需要各神没氧、传感器之问的信息交互提升牛产的效率和精度;另方面,智能制造的产品自身安全性需要被保障;另外,书能制治往往出涉及到高新技术的应用相关数据的保整性出是必须年视的问题:受此影,2024年二业互联网安全市场爱能造动好,将大恒扩张,将会推动刘应技术、产品等加速或熟 但工业领域数字化运系魔大复杂,尤其是供应链“味网”案布、不回设备生产时问地点跨度太大、各区域数字化基础不三衔等现象非常尖锐,也可能会显著提高安全产品开发和交付的难度。 新的安全边界理念将逐步形成 在云计算出现后,“边界模湖化”的问题就没有停止过讨论;而随若远程刃公和哲能设备的泛应用,“边界模湘化”问题被进一步大。但是,“达异”概念木享短期内并不会消失,接入企业业务系统、内部坏境的入口依然存在,包括流量、终端、外音应用等。 SSE的发展是由于企业暂时不架费SD-物AN的能力:但是却需费SASE口上余的安全能鸿立的一堵墙,巾是由多种入口防御形成的
