(CWW)近年來,全球數(shù)字化進(jìn)程持續(xù)提速,我國緊抓數(shù)字化發(fā)展機(jī)遇,將“加快數(shù)字化發(fā)展建設(shè)數(shù)字中國”作為新階段國家信息化發(fā)展戰(zhàn)略目標(biāo),積極推進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。隨著社會各領(lǐng)域數(shù)字化發(fā)展加快,新技術(shù)、新業(yè)態(tài)、新模式不斷涌現(xiàn),驅(qū)動生產(chǎn)、生活及治理方式發(fā)生變革;但同時也加速了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)向各領(lǐng)域蔓延,產(chǎn)業(yè)各方應(yīng)以新的視角思考數(shù)字化趨勢下的安全新問題,本文將從安全的對象、目標(biāo)、威脅和措施4個方面分析安全發(fā)展趨勢。
數(shù)字化驅(qū)動安全保護(hù)對象拓展延伸
伴隨數(shù)字化發(fā)展的不斷深入,網(wǎng)絡(luò)安全問題新舊交織,數(shù)字技術(shù)、數(shù)字產(chǎn)品、數(shù)字平臺等新興數(shù)字資產(chǎn)架起了從網(wǎng)絡(luò)到物理空間的橋梁,而其安全的重要性也日益凸顯,數(shù)字安全問題需重點(diǎn)關(guān)注。
一是價(jià)值高度匯聚的數(shù)字基礎(chǔ)設(shè)施仍然是攻防對抗的一線陣地。5G、人工智能、大數(shù)據(jù)等數(shù)字基礎(chǔ)設(shè)施提供了感知、連接、存儲、計(jì)算、處理、安全等數(shù)字化、智能化、網(wǎng)絡(luò)化能力,承載高價(jià)值資源的數(shù)字基礎(chǔ)設(shè)施易吸引更高級別、更高復(fù)雜性,甚至是國家級攻擊。據(jù)綠盟統(tǒng)計(jì),金融、運(yùn)營商、企業(yè)及政府等重要行業(yè)領(lǐng)域的數(shù)字基礎(chǔ)設(shè)施,分別以35%、20%、20%、10%的占比成為2020年安全攻擊熱門領(lǐng)域前四位。
二是數(shù)字技術(shù)作為數(shù)字產(chǎn)業(yè)化的核心帶來安全新問題。新興數(shù)字技術(shù)賦能行業(yè)創(chuàng)新發(fā)展,融合應(yīng)用滲透到衣食住行各領(lǐng)域,“無接觸服務(wù)”加快推廣,遠(yuǎn)程醫(yī)療、教育、辦公等用戶規(guī)??焖僭鲩L,體育、旅游、展覽等行業(yè)紛紛推出線上服務(wù)新模式。5G、AI等無形的技術(shù)資產(chǎn)逐漸成為數(shù)字產(chǎn)業(yè)化核心支撐和創(chuàng)新源動力,推動安全資產(chǎn)從過去以有形資產(chǎn)為主逐漸向以無形資產(chǎn)為主快速發(fā)展。針對無形技術(shù)資產(chǎn)的特性,業(yè)界需要思考其安全價(jià)值如何評估、保護(hù)措施如何實(shí)施以及安全風(fēng)險(xiǎn)如何轉(zhuǎn)嫁等新問題。
三是數(shù)字產(chǎn)品將端點(diǎn)安全屬性不斷拓展?;ヂ?lián)網(wǎng)技術(shù)、人工智能、數(shù)字化技術(shù)等嵌入傳統(tǒng)產(chǎn)品設(shè)計(jì),使傳統(tǒng)產(chǎn)品逐步轉(zhuǎn)變?yōu)榧兄?、?jì)算、存儲、互聯(lián)等功能為一體的數(shù)字產(chǎn)品。數(shù)字產(chǎn)品作為實(shí)現(xiàn)數(shù)字互聯(lián)的基本單元,實(shí)現(xiàn)IT/OT融合領(lǐng)域的終端互連、互通、互操作。在產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型中,工業(yè)互聯(lián)網(wǎng)工控設(shè)備、機(jī)床及車聯(lián)網(wǎng)移動終端的運(yùn)行可靠性、生產(chǎn)連續(xù)性等安全屬性尤為重要。
四是數(shù)字平臺使安全風(fēng)險(xiǎn)影響面持續(xù)擴(kuò)大。云計(jì)算、數(shù)字孿生、人工智能等數(shù)字平臺作為數(shù)字經(jīng)濟(jì)發(fā)展的重要形式和載體,成為實(shí)現(xiàn)應(yīng)用功能集成互通、資源高效置換、數(shù)字業(yè)務(wù)鏈條上傳下達(dá)的重要通道,具有網(wǎng)絡(luò)效應(yīng)、對數(shù)據(jù)的虹吸效應(yīng)以及邊際成本趨于零的特性,其安全性決定依托平臺開展的業(yè)務(wù)是否具備全域、全流程的安全能力,產(chǎn)生由點(diǎn)及面的波及影響。IDC和華為研究顯示,數(shù)字平臺是否具備全域、全流程的安全能力,已成為企業(yè)在數(shù)字化轉(zhuǎn)型過程中最關(guān)注的屬性。
安全保障目標(biāo)向安全創(chuàng)造價(jià)值轉(zhuǎn)變
數(shù)字化發(fā)展在催生新技術(shù)、新業(yè)態(tài)、新模式的同時,也將安全風(fēng)險(xiǎn)擴(kuò)散到生產(chǎn)生活的方方面面,安全風(fēng)險(xiǎn)帶來的影響和損失持續(xù)擴(kuò)大,因此須推動安全理念從過去的風(fēng)險(xiǎn)消減向平衡價(jià)值、創(chuàng)造價(jià)值轉(zhuǎn)變。2021年5月,美國最大燃油管道運(yùn)營商科洛尼爾遭受勒索軟件攻擊,導(dǎo)致被迫關(guān)閉超過8850千米管道運(yùn)輸系統(tǒng)并支付500萬美元贖金;同期,全球最大肉類生產(chǎn)商JBS遭到REvil病毒攻擊,導(dǎo)致旗下工廠全線停產(chǎn),影響美國市場近四分之一的供應(yīng)量,損失超1100萬美元。當(dāng)網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)、服務(wù)器等出現(xiàn)安全隱患時,打補(bǔ)丁、停機(jī)重啟等傳統(tǒng)方法已難以在當(dāng)前安全形勢中發(fā)揮效用,在生產(chǎn)系統(tǒng)連續(xù)性要求極高的行業(yè)領(lǐng)域(如電力行業(yè)),當(dāng)遭遇網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時幾乎不可能停機(jī)進(jìn)行檢修。在數(shù)字場景下,安全風(fēng)險(xiǎn)的融合性、級聯(lián)效應(yīng)突出,安全威脅在云端平臺和應(yīng)用、工業(yè)控制系統(tǒng)和設(shè)備、工業(yè)生產(chǎn)業(yè)務(wù)流程等不同層級“牽一發(fā)而動全身”,安全的運(yùn)營和試錯成本累加性甚至呈指數(shù)級上升。安全目標(biāo)逐漸從過去的降低成本開銷、消減風(fēng)險(xiǎn)等向平衡價(jià)值、創(chuàng)造價(jià)值發(fā)展。例如,通過在數(shù)字化轉(zhuǎn)型規(guī)劃、數(shù)字業(yè)務(wù)開展初期,即實(shí)施安全規(guī)劃和評估,將安全的考慮前置,并結(jié)合安全資源池、安全保險(xiǎn)等新舉措,實(shí)現(xiàn)安全平衡價(jià)值、創(chuàng)造價(jià)值。
內(nèi)源風(fēng)險(xiǎn)和外在不確定因素成為威脅新變量
在數(shù)字化背景下,產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化相互促進(jìn)、協(xié)同發(fā)展,但同步引入的內(nèi)部風(fēng)險(xiǎn)因子和外部擾動因素使數(shù)字威脅持續(xù)擴(kuò)大。
一是泛在的物聯(lián)網(wǎng)設(shè)備引起攻防不對等。在數(shù)字場景下海量設(shè)備聯(lián)網(wǎng),一部分物聯(lián)網(wǎng)資產(chǎn)繞過傳統(tǒng)IT安全層直連到互聯(lián)網(wǎng),暴露在攻擊者面前。攻擊者只需“知其一二”,找到一個或多個脆弱點(diǎn)作為突破口即可向更深、更廣的范圍滲透;而防御方則需要“知其全貌”,針對OT環(huán)境的資產(chǎn)監(jiān)控和管理需要兼顧工業(yè)物聯(lián)網(wǎng)(IIoT)資產(chǎn)專有協(xié)議(Modbus/TCP、EtherNet/IP、Moxa AOPC等)和設(shè)備行為。
二是對數(shù)字技術(shù)的掌控導(dǎo)致安全不確定性。設(shè)計(jì)者主觀偏見、不充分的訓(xùn)練數(shù)據(jù)集等引發(fā)應(yīng)用歧視,導(dǎo)致結(jié)果出現(xiàn)在裁決之前。例如,COMPAS算法預(yù)測黑人罪犯的再犯罪率為45%,相比白人的23%高出近一倍,但這與實(shí)際情況相差甚遠(yuǎn)。新聞資訊、短視頻類應(yīng)用過度使用算法推薦,將用戶獲取內(nèi)容的領(lǐng)域束縛于“信息繭房”,從自主選擇獲取信息的“主人”,退化成因“追求愉悅”而被信息左右的“奴隸”。
三是制裁打壓加劇外部不穩(wěn)定因素。部分國家為了維持主導(dǎo)權(quán)和產(chǎn)業(yè)優(yōu)勢,以安全為由在產(chǎn)品、服務(wù)、技術(shù)、輿論等方面實(shí)施“一攬子”制裁打壓組合拳,意圖遏制他國的技術(shù)升級和產(chǎn)業(yè)發(fā)展。一方面,愈發(fā)嚴(yán)格的進(jìn)出口管制制約基礎(chǔ)技術(shù)研發(fā)應(yīng)用,導(dǎo)致關(guān)鍵技術(shù)、產(chǎn)品、服務(wù)“用不了”。另一方面,上述國家不遺余力地推進(jìn)安全審查,意圖實(shí)現(xiàn)供應(yīng)鏈“去中國化”,造成我國企業(yè)海外業(yè)務(wù)“鋪不開”。
需求驅(qū)動實(shí)用主義安全措施逐漸成為主流
在數(shù)字時代,安全措施的實(shí)施更傾向于從實(shí)用主義視角去適應(yīng)不斷迭代的新技術(shù)、新業(yè)務(wù)、新威脅。垂直行業(yè)作為數(shù)字化轉(zhuǎn)型和數(shù)字業(yè)務(wù)發(fā)展的主體,逐漸成為數(shù)字安全舞臺上的主角,分化的、跨領(lǐng)域?qū)傩悦黠@的安全需求碰撞并磨合出更加敏捷的治理措施,需以更具包容性的敏捷思維,解決因行業(yè)企業(yè)對數(shù)字世界安全問題的不確定和不熟悉,導(dǎo)致的“不想用”“不敢用”和“不會用”等問題。
一是“不想用”的問題,數(shù)字化轉(zhuǎn)型中的中小型企業(yè)往往因資金有限,對安全事件發(fā)生存在僥幸心理,在確認(rèn)能獲得收益前不愿意做安全投入,需探索以“安全服務(wù)+保險(xiǎn)賠償”的新型數(shù)字安全服務(wù)模式,促進(jìn)數(shù)字安全能力提升,有效中和企業(yè)安全投入、拉動需求市場,提振中小企業(yè)數(shù)字安全信心。
二是“不敢用”的問題,企業(yè)在考慮數(shù)字技術(shù)落地或部署數(shù)字業(yè)務(wù)時,不確定是否會違背監(jiān)管要求、是否會帶來未知安全隱患,需構(gòu)建試優(yōu)試錯措施,提前發(fā)現(xiàn)并防控技術(shù)應(yīng)用、產(chǎn)業(yè)鏈協(xié)同和監(jiān)管安全隱患。
三是“不會用”的問題,這一問題往往因缺少根據(jù)數(shù)字業(yè)務(wù)編排調(diào)配安全能力的實(shí)踐經(jīng)驗(yàn)造成,需要以專業(yè)性的數(shù)字安全工具箱和實(shí)施框架,指導(dǎo)端到端的數(shù)字安全解決方案部署。
總體來看,當(dāng)前安全形勢隨著數(shù)字化發(fā)展不斷變化,在數(shù)字化、智能化、網(wǎng)絡(luò)化能力提高的同時,加速驅(qū)動網(wǎng)絡(luò)空間與物理世界相融合,安全風(fēng)險(xiǎn)通過網(wǎng)絡(luò)物理融合空間向生產(chǎn)、生活等經(jīng)濟(jì)社會層面的數(shù)字場景蔓延,安全在新對象、新目標(biāo)、新威脅、新措施等方面的變化將衍生安全新需求及能力新要求。
關(guān)鍵詞: 通信世界網(wǎng) 網(wǎng)絡(luò)安全 發(fā)展趨勢