序言 的加速流通,也将对企业系统性安全建设提出更高要求。 阶段在,国数家字“化高将质成量为发各展行”各的业首转要型任升务级指的引必下然,手中段国。经同济时发,展数将据步生入产一要个素新 业家首需先要,树企立业正参确与的数安字全化观时念代,的了市解场并竞研争判、产谋业求安新全阶发段展的趋高势质,量在发战展略,上企以又要一以把发手展工促程安的全视。角看待安全,统筹发展与安全,既要基于安全谋发展, 将对其企次业,管安理全结作构为及数组字织化架时构代、企企业业健发康展可战持略续规发划展产的生一深个度重影要响度和量改指变标,一型的个安适全应免数疫字系化统建。设的企业组织需要完善顶层设计、构建适合企业发展模 络空中间国新产兴业互技联术网安发全展创联新盟论、坛《、中腾国讯信安息安全全、》腾杂讯志研、究南院方继日续报联、合中推国出网 《者、20智23库产的业共互同联思网考安,全经十十大余趋位势编》创。人这员份深报入告研汇究聚,3基0余于位学行者业和专企家业、家们学 展视角的十个趋势洞察。 的相共关识的,重在大宏议观题态和势发、展产方业向实进践行、分技析术和演判进断三,个整维理度总,结对产2业02互3联年网产安业全安发全 前提安是全需业要界研有究一和句了谚解语攻叫击做路“径未。知这攻句、话焉同知样守适”用,于讲遨的游是在做数好字安化全时防代御的企备,业才家能和行决稳策致者远。。企业经营如大海泛舟,需要前置预判风浪并做出积极准 健康为可此持,续我发们展希,望以通及过投这身份数产字业化安、全数发智展化趋建势设研的判企的业报家告和,决给策产者业提互供联指网引疫力和,帮为助企,业助发力展企及业参建与立数基字于化事时件代、市攻场防竞、争风注险入驱新动动于能一。体的企业安全免 腾讯副总裁、腾讯安全总裁 01 推荐语 司晓腾讯研究院院长 障、提升产业抗风险能力。 升级伴:随从数安字全化基转础型能进力入的“建深设水,区转”变,为企向业产对业安高全质的量投发入展目提标供也系要统进化一保步 从企产业业层安面全打能通力业建务设墙一和般部分门三墙个,层构次建,企首业先整,体安全要免成疫为力一。其把次手,工落程到,安最全后团,队伴、随安技全术系不统断、发安展全,产也品带和来安产全业服安务全等新方挑面战,比断如夯伴实随安AI大全模底型盘技;术件发,展这,样攻原击本者没可有以能使力用发C起h攻at击GP的T人,可用较以低基的于成AI生本成生攻成击攻。击这代些码新或挑垃战圾也邮驱的解动决我方们案不和断服探务索。使用新技术、新思路、新方法和新路径,给出与之匹配 势,希望为行业各界提供参考。 业实在践后和疫技情术时演代进,等高维质度量,发尝展试将总成结为出主2旋02律3年。最本重报要告的围十绕大宏产观业态安势全、趋产 温哲《中国信息安全》杂志社执行董事 新思路、新模式、新实践将全面落地并接受考验。 实践2的0开23局年之,年是,全也面是贯实彻施落“实十党四的五二”十规大划精承神前、启全后面的推关进键中一国年式。现代化新济将2在0内23生年动,能在的宏推观动政下策恢推复动弹下性,并社增会强运动行力将,呈以现新整技体术好推转动态的势产,业数发字展经 要方向。 时,2产0业23互年联,网在安全全社也会将、面全临行新业挑、战全。产产业业链安共全同建迎设来将产成业为发支展撑新国机家遇“的高同质程量的发常展态”话战题略,的产关业键安命全题工,作产也业将安成全为相企关业立组法织与架监构管调将整成和为业国务家合法规治的进重 进的在产百业年互未联有网之以大及变产局业叠和加企社业会的和实经际济需不求稳,定希因望素对影产响业下互联,网面安对全加做速出演趋考。势判断的《2023产业互联网安全十大趋势》报告,可以为相关方提供参 02 推荐语 王更辉南方日报副社长 安全与发展,机遇与挑战。加速发展的数字经济赛道上,安全是基石。 共同构建产业互联网安全生态。 用、“新数模实式融、合新”技的术行不业断大出趋现势,下同,时产也业在互与联工网业的、安农全业更、加金凸融显、,零各售种、新物应流应、用传场媒景等更各加行复各杂业多相样互,交从融一,座在城产市业到链一、个供企应业链再上到下一游个不工断厂延。伸其。运互转联已网经开弱始性架前构所在未网有络,、需软要件网和络数安据全之产上业。齐作心为协连力通,架打构破的技产术业、互行联业网之,间其的安壁全垒脆, 教训面,对更加要速对演产进业变互化联的网产可业能互遇联到网的,安我全们威不胁仅进要行从预过判往。的中安国全产事业件互中联吸网取发展推联出盟《、20南23方产日业报互、联《网中安国全信十息大安趋全势》》杂,志从、政腾策讯、安产全业、、腾技讯术研等究维院度等,联合研判发展行贡业献安力全量趋。势,共享安全经验,洞察未来变革,一起为产业互联网的安全 03 目录 宏观态势篇 趋势一:产业安全建设将成为企业数字化实践的“前置条件”06 趋势二:立法监管趋严,企业安全“巡检”常态化07 产业实践篇 趋势三:安全将成为企业治理水平的重要度量10 趋疫势力四成:为从新“共奢识侈品”到“日用品”,构建安全免11 趋治势理五”:转反变欺诈风控策略由“体验优先”向“动态12 趋势六:安全合规成为企业出海的核心关注14 技术演进篇 趋势七:云原生安全“一体化”将大幅提升企业安全水位17 19 趋势八:数据风险挑战供应链安全,数据安全中心 持续推进安全治理 21 趋势九:ChatGPT大模型AI计算广泛应用安全领域,攻防进入智能化对抗时代 22 趋势十:多重勒索成为常态,勒索攻击对产业安全威胁有增无减 编创团队成员: 王成、付蓉洁、邱春龙、高圣、鸟哥、刘琼、康雨辰、宋扬、丰华、杨小霞王冠梓、宋宜徽、刘玲、周晓君、黄玉婷、李光辉、曾勇江、刘晟、谢子毅 04 2023产业互联网安全十大趋势 趋势一 产业安全建设将成为企业数字化实践的“前置条件” 2023年是全面贯彻落实党的二十大精神的开局之年,高质量发展,是全面建设社会主义现代化国家的首要任务。高水平安全,是高质量发展的前提。高质量发展,同样是指导产业数字化转型升级、企业健康可持续经营的重要政策牵引。实现高质量发展,需要统筹发展和安全、坚持发展和安全并重,实现高质量发展和高水平安全的良性互动。对于参与其中的市场主体而言,需要树立正确的产业发展安全观念、建立企业安全免疫系统、重视安全管理和评估;随着数据生产要素的价值不断被发掘和被释放,需要全面建设防范风险的能力,为数据在安全前提下的融通流动及数字业务的创新发展构建基础,为企业长期可持续发展提供保障。 尤其随着人工智能、大数据、数字孪生等新技术的融合应用,中国数实经济发展正步入一个全新阶段,安全将为产业发展三个“新动能”提供关键支撑作用。 新动能一 云级计的算新、生人产工要智素能,、助大力数物据理、世数界字和孪数生字等世新界技的术加的速融融合合应,用“成安为全产”业不数再智是化滞转后型升于“发展”的附选项,而将成为放大新技术产业应用价值挖掘的“助推器”。 「新要素」 新动能二 「新模式」 随企着业数业字务化边逐界步获进得入拓深宽水,区产,业数链据协生同产网要络素变价得值更逐加步紧显密现,;诸通如过金数融据服流务转、和智融能合,制造、新能源汽车等产业生产效率获得进一步提升,“安全”是重要前提。 新动能三 「新制度」 在善安全的是法实律现法高规质、量行发业展规,的则追前的提考。率核谋要发求展,与也有安企全建业设经可营持“续试必错须成本并”举的,这考里量有,不高断水完平 (安全将为产业发展三个“新动能”提供关键支撑作用) 因此,在产业互联网时代,基于企业高质量发展的自身需求,安全建设将成为企业数字化实践的“前置条件”和“基础底座”;企业安全建设思路将更加前置,真正做到以安全为始、以安全为终。 趋势二 立法监管趋严,企业安全“巡检”常态化 在过去一个阶段,IT基础设施建设、网络安全以及信息安全的不断发展,催生了大量被动式安全解决方案;尤其在相关监管法规建设相对滞后阶段,企业在安全建设方面往往也是“鸵鸟心态”,认为安全投入是企业运营的成本项,追求“合规”而忽视“实效”。随着我国网络安全与产业安全相关立法顶层设计和主体框架日趋完善,这种情况已经发生彻底改变。 07 近年,国家密集出台了《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规及《关键信息基础设施安全保护要求》、等级保护2.0等系列配套标准,对市场主体的安全边界、安全责任等作出了系统要求。尤其随着党的二十大进一步明确关于中国数字经济发展以及产业安全的总体框架,对应的产业安全治理制度、处罚条例均基于产业发展的新形势、新阶段不断细化修正。 目前,产业安全相关的监管部门对于违反网络安全、数据安全、个人信息保护等相关法律法规的处罚主要采取后置处罚手段,例如约谈、责令改正、罚款、整顿、下架业务、吊销许可证或营业执照、处理责任人等,导致企业忽视安全建设的风险成本被指数级放大。例如,去年银保监会以“监管标准化数据”存在数据质量违法违规行为为由,对21家银行进行大规模处罚。 2023年,安全相关的立法、监管与执法,将会聚焦于产业高质量发展、数据合规和隐私保护等层面,对企业数字化实践和创新,给予更多的监管、约束和引导,常态化安全巡检将成为监管及企业自我健康诊断的重 要手段。短期内,合规会挤出产业中存在的一些痼疾与泡沫,通过数字经济的合规治理,尽可能降低数实融合趋势中的风险。从长期来看,合规能够实现“从合规要发展”及“以监管促发展”的目标。 人 系统评估 供应链数据留存传输 设置专门的管理机构与负责人 对负责人和关键岗位人员进行安全背景审查定期对从业人员进行教育培训和技能考核 对重要系统和数据进行容灾备份制定应急预案并定期组织演练 每年至少进行一次安全性检测评估结果报送相关主管部门 采购可能影响国家安全的网络产品和服务应当通过国家安全审查采购双方签订安全保密协议 将运营中收集和产生的公民个人信息和重要业务数据存储在我国境内因业务需要,确需向境外提供的,应进行安全评估 (国家法律规定的关键信息基础设施运营者的安全责任) 2023产业互联网安全十大趋势 趋势三 安全将成为企业治理水平的重要度量 过去,网络安全威胁风险程度较低、攻击相对不太复杂,同时,企业传统IT系统建设周期很长,安全建设通常按固定周期做风险评估、漏洞扫描、补丁管理,安全工作可以按部就班进行滚动周期的管理,网络安全部门长期作为企业IT部门的一个分支存在,并未被纳入企业经营管理的核心部分。 随着产业数字化进程提速,企业越来越多地将数字资产转移到云上,企业发展效率提升同时也导致攻击面加大,7*24小时业务“在线”也带来了7*24小时安全防护的需求。加之,DevSecOps、容器等云原生方法的引入,打破了传统网络安全边界,传统的安全建设方法和组织架构都亟需更新。 数据泄露、勒索攻击、供应链攻击等安全事件持续高发,安全已经成为制约企业健康发展的生命线。在这一背景下,安全被企业提升到前所未有的重要程度;但受限于传统企业管理理念和组织架构,“担责无权”的安全部门既要当好企业健康发展的“守门人”,又因在企业内部组织架构中处于“小马拉大车”位置,往往无法真正将安全工作贯彻到实处。 面对日益严峻的安全挑战,企业在安全建设上不再寄期望于先发展后治理。“安全左移”成为行业共识,安全活动逐步进入企业生产环节,参与企业发展战略、进入产品研发生命周期全流程。这种生产流程的改变,也需要从组织架构上予以支撑。企业重视安全,除了增加人力和预算、技术投入外,安全管理工作将纳入核心管理团队,成为企业治理水平的重要度量。 趋势四 从“奢侈品”到“日用品”,构建安全免疫力成为新共识 当前,企业安全建设普遍处于升级转型的关键阶段。从“十三五”期间的企业数字化浪潮初至,到“十四五”的数字化建设逐步进入深水区,企业对安全的思考和对安全技术、能力、人