《数字化浪潮下工业企业网络安全管理战略转型.docx》由会员分享,可在线阅读,更多相关《数字化浪潮下工业企业网络安全管理战略转型.docx(9页珍藏版)》请在第一文库网上搜索。
1、数字化浪潮下工业企业网络安全管理战略转型目录编者按11 .引言12 .工业企业网络安全建设面临的挑战23 .数字化驱动安全保护对象拓展延伸34 .安全保障目标向安全创造价值转变45 .内源风险和外在不确定因素成为威胁新变量56 .需求驱动实用主义安全措施逐渐成为主流67 .工业企业网络安全战略转型关键任务78 .制定安全顶层规划,形成整合的安全部署能力79,打破安全管控边界,转型提供安全服务,安全触达全链业务810.结语9编者按通信世界全媒体推出“预见2023”ICT产业趋势系列报道,纵论产业趋势,共谋产业发展,为2023年ICT产业发展助力。本期特邀中国信息通信研究院安全研究所杨朋、戴方芳撰
2、文,预测2023年网络安全发展态势,敬请关注!近年来,全球数字化进程持续提速,我国紧抓数字化发展机遇,将“加快数字化发展建设数字中国”作为新阶段国家信息化发展战略目标,积极推进数字经济高质量发展。随着社会各领域数字化发展加快,新技术、新业态、新模式不断涌现,驱动生产、生活及治理方式发生变革,加速了网络安全风险向各行业领域延伸,需以新的视角思考数字化趋势下的安全新问题,本文将从安全对象、目标、威胁和措施四个方面分析安全发展趋势。在一个安全健康的环境中提高企业数字化水平,为构筑国家竞争新优势贡献力量。1 .引言国务院在3月7日提请审议国务院机构改革方案的议案,其中包括组建一个全新的机构一一“国家数
3、据局”,这是中国实施数据发展战略的重要举措,标志着我国数字经济发展迎来了一个新的里程碑。习总书记强调,要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度,统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,赋能传统产业转型升级。在数字经济下,网络安全建设和数字化建设是一体之两翼、驱动之双轮,网络安全和数字化建设的进展相互牵动,任何一方的滞后都会对整体造成影响。两会期间,众多代表委员们建言献策,提出了涉及网络安全、数据安全、个人信息保护、信创等领域的多项提议。在当前数字经济的背景下,工业企业应该根据市场需求和自身情况灵活调整战略,加强数字化技术的应用和创新,并
4、注重网络安全优化建设,推进安全管理的战略转型。这样可以形成数字化发展和安全协同保障方案,在一个安全健康的环境中提高企业数字化水平,为构筑国家竞争新优势贡献力量。2 .工业企业网络安全建设面临的挑战随着数字化浪潮的到来,网络安全已不再是单纯的技术问题,而成为了一个新的战略保障问题。由于数字化转型逐渐深入和信息技术快速发展,传统安全建设已无法满足企业数字化建设要求。因此,工业企业在网络安全方面面临着越来越多的挑战。数字化时代对安全的需求已经超越了传统网络安全建设的边界,在传统安全体系下,数据安全管控精度低传统的安全建设往往忽视了业务发展。在传统网络安全建设中,更注重系统和技术层面的安全加固,而忽略
5、了网络安全与业务之间密切的联系。然而,在数字化转型背景下,数据价值在不同业务场景中得到挖掘利用,并且信息技术深入到业务运营中。因此,企业需要将安全工作覆盖、匹配复杂的业务应用场景,并针对不同的业务特点制定相应的安全策略以及及时响应各种复杂环境下出现的各种安全事件。传统安全建设往往缺乏对数据和应用的精准防护。通用性的安全措施无法针对个性化业务场景、涉及到的数据和应用等进行有针对性保护,甚至可能无法识别复杂业务场景中的信息资产。数字化变革要求数据和应用相关技术能够随着业务迅速更新迭代,并且要求安全措施也能够快速响应业务转型并提前布局,有针对性地开展网络安全管理。传统的安全工作主要是以事件驱动为主,
6、导致安全建设过于碎片化工业企业在安全建设方面通常只有在发生安全事件后才会开始推动工作,缺乏内部的自我驱动力。网络安全建设滞后导致响应时效不足,投入难以见成效,这不仅给企业带来经济损失,还对声誉造成无法挽回的影响。工业企业缺少完善、体系化的网络安全规划,因此其安全建设工作显得碎片化。从短期角度看,在日常工作中各个团队(如业务团队、IT团队、安全团队、风险团队和合规团队)之间缺乏协调联动,统筹性不足。从长远角度看,在网络安全建设方面缺乏明确的发力点和侧重点,缺少充分的建设顶层考虑。在数字化变革背景下,零敲碎打式的安全建设己经无法应对复杂多变的业务场景需求;数字化发展要求企业更加关注网络安全并开展持
7、续性、系统性地网络安全建设。安全建设过于注重引入技术产品,而忽略了提升管理能力和培养人员技能,安全技术的利用率和转化率较低在工业企业的网络安全实践中,通常会将主要精力投入到引入安全设备上,而忽略整体安全生态的建设。然而,在面对复杂的安全环境时,仅依靠叠加安全设备是不够的。因此企业需要更多地考虑如何优化安全设备策略配置,并实现各种安全设备之间的联动和协同作用。如果只是将这些设备部署到企业环境中,但没有将它们整合成一个完整的系统,则无法发挥其最佳功能,并抑制了智能化协调联动所带来的效果。同时,管理能力和人员技能也成为制约工业企业网络安全提升能力的主要因素。管理能力不足使得企业难以形成统一、完善且自
8、上而下有效执行的安全管理体系,例如:制定并执行相关政策、标准及流程存在难以推动等问题。人员技术水平跟不上技术发展步伐导致运维管理不到位、处理事件缺乏应对措施、利用率和转化率低等问题出现,甚至可能导致防护措施失效或者形同虚设。3 .数字化驱动安全保护对象拓展延伸伴随数字化发展的不断深入,网络安全问题新旧交织,数字技术、数字产品、数字平台等新兴数字资产架起了网络到物理空间的桥梁,其安全重要性逐渐凸显,安全问题需重点关注。一是价值高度汇聚的数字基础设施仍然是攻防对抗的一线阵地。5G、人工智能、大数据等数字基础设施提供了感知、连接、存储、计算、处理、安全等数字化、智能化、网络化能力,承载高价值资源的数
9、字基础设施易吸引更高级别、更高复杂性,甚至国家级攻击。据绿盟统计,金融、运营商、企业及政府等重要行业领域的数字基础设施分别以35%、20%、20%、10%的分布占比成为2023年安全攻击热门领域前四位。二是数字技术作为数字产业化核心带来安全新问题。新兴数字技术赋能行业创新发展,融合应用渗透到衣食住行各领域,“无接触服务”加快推广,远程医疗、教育、办公等用户规模快速增长,体育、旅游、展览等行业纷纷推出线上服务新模式。5G、AI等无形的技术资产逐渐成为数字产业化核心支撑和创新源动力,推动安全资产从过去以有形资产为主逐渐向无形资产为主快速发展,无形技术资产的特性,需要业界思考应对其安全价值如何评估、
10、保护措施如何实施以及安全风险如何转嫁等新问题。三是数字产品将端点安全属性不断拓展。互联网技术、人工智能、数字化技术等嵌入传统产品设计,使传统产品逐步转变为集感知、计算、存储、互联等功能为一体的数字产品。数字产品作为实现数字互联的基本单元,实现IT/OT融合领域的终端互连、互通、互操作。产业数字化转型中,特别是工业互联网工控设备、机床及车联网移动终端等集成感知控制、计算存储等功能,运行可靠性、生产连续性等安全属性尤为重要。四是数字平台使安全风险影响面持续扩大。云计算、数字季生、人工智能等数字平台作为数字经济发展的重要形式和载体,成为实现应用功能集成互通、资源高效置换、数字业务链条上传下达的重要通
11、道,具有网络效应、对数据的虹吸效应以及边际成本趋于零的特性,其安全性决定依托平台开展的业务是否具备全域全流程的安全能力,产生由点及面的波及影响。IDC和华为研究显示,数字平台是否具备全域全流程的安全能力已成为企业数字化转型过程中最关注的属性。4 .安全保障目标向安全创造价值转变数字化发展催生新技术、新业态、新模式的同时,将安全风险拓展到生产生活的方方面面,安全影响和损失持续扩大,推动安全从过去的风险消减向平衡价值、创造价值转变。2023年5月,美国最大燃油管道运营商科洛尼尔遭受勒索软件攻击,导致被迫关闭超过8850千米管道运输系统并支付500万美元赎金;同期,全球最大肉类生产商JBS遭到REV
12、iI病毒攻击,旗下工厂全线停产,影响美国市场近四分之一的供应量,损失超1100万美元。网络环境中操作系统、服务器等出现安全隐患时,打补丁、停机重启等传统方法已难以在当前安全形势中发挥效用,对于生产系统连续性要求极高的行业领域(如电力行业),当遭遇网络安全风险时几乎不可能停机进行检修。数字场景下,安全风险的融合性、级联效应突出,安全威胁在云端平台和应用、工业控制系统和设备、工业生产业务流程等不同层级牵一发而动全身,安全的运营和试错成本累加性甚至呈指数级上升。安全目标逐渐从过去的根据降低成本开销、消减风险等向平衡价值、创造价值发展。例如,通过在数字化转型规划、数字业务开展的早期,即实施安全规划和评
13、估,将安全的考虑前置,并结合安全资源池、安全保险等新举措,以实现安全平衡价值、创造价值。5 .内源风险和外在不确定因素成为威胁新变量数字化背景下,产业数字化和数字产业化相互促进、协同发展的同时,引入的内部风险因子和外部扰动因素使数字威胁持续扩大。一是泛在的物联网设备引起攻防不对等。数字场景下,巨量级设备联网,一部分物联网资产绕过传统IT安全层直连到互联网,暴露在攻击者面前,攻击者只需“知其一二”,发现一个或多个脆弱点作为突破口即可向更深更广的范围渗透,而防御方则需要“知其全貌”,针对OT环境的资产监控和管理需要兼容工业物联网(HoT)资产专有协议(MOdbUS/TCP、EtherNet/IP、
14、MoxaAOPC等)和设备行为,否则可见性有限。二是对数字技术的掌控导致安全不确定性。设计者主观偏见、不充分的训练数据集等引发应用歧视,导致结果出现在裁决之前。例如,CoMPAS算法预测黑人罪犯的再犯罪率为45%,相比白人的23%接近两倍,但与实际情况相差甚远。新闻资讯、短视频类应用过度应用算法推荐,将用户获取内容的领域束缚于“信息茧房”,从自主选择获取信息的“主人”,到“追求愉悦”被信息左右的“奴隶”。三是制裁打压加剧外部不稳定因素。部分国家为了维持主导权和产业优势,以安全为由在产品、服务、技术、舆论等方面实施一揽子制裁打压组合拳,意图遏制他国的技术升级和产业发展。一方面,愈发严格的进出口管
15、制制约基础技术研发应用,导致关键技术、产品、服务“用不了”。另一方面,不遗余力地推进安全审查,意图实现供应链“去中国化”,造成我国企业海外业务“铺不开”。6 .需求驱动实用主义安全措施逐渐成为主流数字时代,安全措施的实施更倾向于从实用主义视角去适应不断迭代的新技术、新业务、新威胁。垂直行业作为数字化转型和数字业务发展的主体,逐渐成为数字安全舞台上的主角,分化的、跨领域属性明显的安全需求碰撞和磨合出更加敏捷的治理措施,需以更具包容性的敏捷思维,解决由于行业企业对数字世界安全问题的不确定和不熟悉,导致的不想用、不敢用和不会用等问题。一是“不想用”的问题,数字化转型中的中小型企业往往因成本有限,对安
16、全事件发生存在侥幸心理,在确认能获得收益前不愿意做安全投入,需探索以“安全服务+保险赔偿”的新型数字安全服务模式,促进数字安全能力提升,有效中和企业安全投入、拉动需求市场,提振中小企业数字安全信心。二是“不敢用”的问题,企业在考虑数字技术落地或部署数字业务时,不确定是否会违背监管要求、是否会带来未知安全隐患,需构建试优试错措施,提前发现和防控技术应用、产业链协同和监管安全隐患。三是“不会用”的问题,这一问题往往因缺少根据数字业务编排调配安全能力的实践经验造成,需要以专业性的数字安全工具箱和实施框架,指导端到端的数字安全解决方案部署。总体来看,当前安全形势随着数字化发展不断变化,数字化、智能化、网络化能力提高的同时,加速驱动网络空间与物理世界相融合,安全风险通过网络物理融合空间向生产、生活等经济社会层面的数字场景延伸,安全新对象、新目标、新威胁、新措施等方面
免费区 
