近年来,全球数字化进程持续提速,我国紧抓数字化发展机遇,将“加快数字化发展 建设数字中国”作为新阶段国家信息化发展战略目标,积极推进数字经济高质量发展。随着社会各领域数字化发展加快,新技术、新业态、新模式不断涌现,驱动生产、生活及治理方式发生变革,加速了网络安全风险向各行业领域延伸,需以新的视角思考数字化趋势下的安全新问题,本文将从安全对象、目标、威胁和措施四个方面分析安全发展趋势。
数字化驱动安全保护对象拓展延伸
伴随数字化发展的不断深入,网络安全问题新旧交织,数字技术、数字产品、数字平台等新兴数字资产架起了网络到物理空间的桥梁,其安全重要性逐渐凸显,安全问题需重点关注。
一是价值高度汇聚的数字基础设施仍然是攻防对抗的一线阵地。5G、人工智能、大数据等数字基础设施提供了感知、连接、存储、计算、处理、安全等数字化、智能化、网络化能力,承载高价值资源的数字基础设施易吸引更高级别、更高复杂性,甚至国家级攻击。据绿盟统计,金融、运营商、企业及政府等重要行业领域的数字基础设施分别以35%、20%、20%、10%的分布占比成为2020年安全攻击热门领域前四位。
二是数字技术作为数字产业化核心带来安全新问题。新兴数字技术赋能行业创新发展,融合应用渗透到衣食住行各领域,“无接触服务”加快推广,远程医疗、教育、办公等用户规模快速增长,体育、旅游、展览等行业纷纷推出线上服务新模式。5G、AI等无形的技术资产逐渐成为数字产业化核心支撑和创新源动力,推动安全资产从过去以有形资产为主逐渐向无形资产为主快速发展,无形技术资产的特性,需要业界思考应对其安全价值如何评估、保护措施如何实施以及安全风险如何转嫁等新问题。
三是数字产品将端点安全属性不断拓展。互联网技术、人工智能、数字化技术等嵌入传统产品设计,使传统产品逐步转变为集感知、计算、存储、互联等功能为一体的数字产品。数字产品作为实现数字互联的基本单元,实现IT/OT融合领域的终端互连、互通、互操作。产业数字化转型中,特别是工业互联网工控设备、机床及车联网移动终端等集成感知控制、计算存储等功能,运行可靠性、生产连续性等安全属性尤为重要。
四是数字平台使安全风险影响面持续扩大。云计算、数字孪生、人工智能等数字平台作为数字经济发展的重要形式和载体,成为实现应用功能集成互通、资源高效置换、数字业务链条上传下达的重要通道,具有网络效应、对数据的虹吸效应以及边际成本趋于零的特性,其安全性决定依托平台开展的业务是否具备全域全流程的安全能力,产生由点及面的波及影响。IDC和华为研究显示,数字平台是否具备全域全流程的安全能力已成为企业数字化转型过程中最关注的属性。
安全保障目标向安全创造价值转变
数字化发展催生新技术、新业态、新模式的同时,将安全风险拓展到生产生活的方方面面,安全影响和损失持续扩大,推动安全从过去的风险消减向平衡价值、创造价值转变。
2021年5月,美国最大燃油管道运营商科洛尼尔遭受勒索软件攻击,导致被迫关闭超过8850千米管道运输系统并支付500万美元赎金;同期,全球最大肉类生产商JBS遭到REvil病毒攻击,旗下工厂全线停产,影响美国市场近四分之一的供应量,损失超1100万美元。
网络环境中操作系统、服务器等出现安全隐患时,打补丁、停机重启等传统方法已难以在当前安全形势中发挥效用,对于生产系统连续性要求极高的行业领域(如电力行业),当遭遇网络安全风险时几乎不可能停机进行检修。数字场景下,安全风险的融合性、级联效应突出,安全威胁在云端平台和应用、工业控制系统和设备、工业生产业务流程等不同层级牵一发而动全身,安全的运营和试错成本累加性甚至呈指数级上升。安全目标逐渐从过去的根据降低成本开销、消减风险等向平衡价值、创造价值发展。
例如,通过在数字化转型规划、数字业务开展的早期,即实施安全规划和评估,将安全的考虑前置,并结合安全资源池、安全保险等新举措,以实现安全平衡价值、创造价值。
内源风险和外在不确定因素成为威胁新变量
数字化背景下,产业数字化和数字产业化相互促进、协同发展的同时,引入的内部风险因子和外部扰动因素使数字威胁持续扩大。
一是泛在的物联网设备引起攻防不对等。数字场景下,巨量级设备联网,一部分物联网资产绕过传统IT安全层直连到互联网,暴露在攻击者面前,攻击者只需“知其一二”,发现一个或多个脆弱点作为突破口即可向更深更广的范围渗透,而防御方则需要“知其全貌”,针对OT环境的资产监控和管理需要兼容工业物联网(IIoT)资产专有协议(Modbus/TCP、EtherNet/IP、Moxa AOPC等)和设备行为,否则可见性有限。
二是对数字技术的掌控导致安全不确定性。设计者主观偏见、不充分的训练数据集等引发应用歧视,导致结果出现在裁决之前。例如,COMPAS算法预测黑人罪犯的再犯罪率为45%,相比白人的23%接近两倍,但与实际情况相差甚远。新闻资讯、短视频类应用过度应用算法推荐,将用户获取内容的领域束缚于“信息茧房”,从自主选择获取信息的“主人”,到“追求愉悦”被信息左右的“奴隶”。
三是制裁打压加剧外部不稳定因素。部分国家为了维持主导权和产业优势,以安全为由在产品、服务、技术、舆论等方面实施一揽子制裁打压组合拳,意图遏制他国的技术升级和产业发展。一方面,愈发严格的进出口管制制约基础技术研发应用,导致关键技术、产品、服务“用不了”。另一方面,不遗余力地推进安全审查,意图实现供应链“去中国化”,造成我国企业海外业务“铺不开”。
需求驱动实用主义安全措施逐渐成为主流
数字时代,安全措施的实施更倾向于从实用主义视角去适应不断迭代的新技术、新业务、新威胁。垂直行业作为数字化转型和数字业务发展的主体,逐渐成为数字安全舞台上的主角,分化的、跨领域属性明显的安全需求碰撞和磨合出更加敏捷的治理措施,需以更具包容性的敏捷思维,解决由于行业企业对数字世界安全问题的不确定和不熟悉,导致的不想用、不敢用和不会用等问题。
一是“不想用”的问题,数字化转型中的中小型企业往往因成本有限,对安全事件发生存在侥幸心理,在确认能获得收益前不愿意做安全投入,需探索以“安全服务+保险赔偿”的新型数字安全服务模式,促进数字安全能力提升,有效中和企业安全投入、拉动需求市场,提振中小企业数字安全信心。
二是“不敢用”的问题,企业在考虑数字技术落地或部署数字业务时,不确定是否会违背监管要求、是否会带来未知安全隐患,需构建试优试错措施,提前发现和防控技术应用、产业链协同和监管安全隐患。
三是“不会用”的问题,这一问题往往因缺少根据数字业务编排调配安全能力的实践经验造成,需要以专业性的数字安全工具箱和实施框架,指导端到端的数字安全解决方案部署。
总体来看,当前安全形势随着数字化发展不断变化,数字化、智能化、网络化能力提高的同时,加速驱动网络空间与物理世界相融合,安全风险通过网络物理融合空间向生产、生活等经济社会层面的数字场景延伸,安全新对象、新目标、新威胁、新措施等方面的变化将衍生安全新需求及能力新要求。