隨著社會各領域數字化發展加快，新技術、新業態、新模式不斷涌現，驅動生產、生活及治理方式發生變革，加速了網絡安全風險向各行業領域延伸，需以新的視角思考數字化趨勢下的安全新問題，本文將從安全對象、目標、威脅和措施四個方面分析安全發展趨勢。

數字化驅動安全保護對象拓展延伸

伴隨數字化發展的不斷深入，網絡安全問題新舊交織，數字技術、數字產品、數字平臺等新興數字資產架起了網絡到物理空間的橋梁，其安全重要性逐漸凸顯，安全問題需重點關注。

一是價值高度匯聚的數字基礎設施仍然是攻防對抗的一線陣地。5G、人工智能、大數據等數字基礎設施提供了感知、連接、存儲、計算、處理、安全等數字化、智能化、網絡化能力，承載高價值資源的數字基礎設施易吸引更高級別、更高復雜性，甚至國家級攻擊。據綠盟統計，金融、運營商、企業及政府等重要行業領域的數字基礎設施分別以35%、20%、20%、10%的分布占比成為2020年安全攻擊熱門領域前四位。

二是數字技術作為數字產業化核心帶來安全新問題。新興數字技術賦能行業創新發展，融合應用滲透到衣食住行各領域，“無接觸服務”加快推廣，遠程醫療、教育、辦公等用戶規模快速增長，體育、旅游、展覽等行業紛紛推出線上服務新模式。5G、AI等無形的技術資產逐漸成為數字產業化核心支撐和創新源動力，推動安全資產從過去以有形資產為主逐漸向無形資產為主快速發展，無形技術資產的特性，需要業界思考應對其安全價值如何評估、保護措施如何實施以及安全風險如何轉嫁等新問題。

三是數字產品將端點安全屬性不斷拓展。互聯網技術、人工智能、數字化技術等嵌入傳統產品設計，使傳統產品逐步轉變為集感知、計算、存儲、互聯等功能為一體的數字產品。數字產品作為實現數字互聯的基本單元，實現IT/OT融合領域的終端互連、互通、互操作。產業數字化轉型中，特別是工業互聯網工控設備、機床及車聯網移動終端等集成感知控制、計算存儲等功能，運行可靠性、生產連續性等安全屬性尤為重要。

四是數字平臺使安全風險影響面持續擴大。云計算、數字孿生、人工智能等數字平臺作為數字經濟發展的重要形式和載體，成為實現應用功能集成互通、資源高效置換、數字業務鏈條上傳下達的重要通道，具有網絡效應、對數據的虹吸效應以及邊際成本趨于零的特性，其安全性決定依托平臺開展的業務是否具備全域全流程的安全能力，產生由點及面的波及影響。IDC和華為研究顯示，數字平臺是否具備全域全流程的安全能力已成為企業數字化轉型過程中最關注的屬性。

安全保障目標向安全創造價值轉變

數字化發展催生新技術、新業態、新模式的同時，將安全風險拓展到生產生活的方方面面，安全影響和損失持續擴大，推動安全從過去的風險消減向平衡價值、創造價值轉變。

2021年5月，美國最大燃油管道運營商科洛尼爾遭受勒索軟件攻擊，導致被迫關閉超過8850千米管道運輸系統并支付500萬美元贖金;同期，全球最大肉類生產商JBS遭到REvil病毒攻擊，旗下工廠全線停產，影響美國市場近四分之一的供應量，損失超1100萬美元。

網絡環境中操作系統、服務器等出現安全隱患時，打補丁、停機重啟等傳統方法已難以在當前安全形勢中發揮效用，對于生產系統連續性要求極高的行業領域(如電力行業)，當遭遇網絡安全風險時幾乎不可能停機進行檢修。數字場景下，安全風險的融合性、級聯效應突出，安全威脅在云端平臺和應用、工業控制系統和設備、工業生產業務流程等不同層級牽一發而動全身，安全的運營和試錯成本累加性甚至呈指數級上升。安全目標逐漸從過去的根據降低成本開銷、消減風險等向平衡價值、創造價值發展。

例如，通過在數字化轉型規劃、數字業務開展的早期，即實施安全規劃和評估，將安全的考慮前置，并結合安全資源池、安全保險等新舉措，以實現安全平衡價值、創造價值。

內源風險和外在不確定因素成為威脅新變量

數字化背景下，產業數字化和數字產業化相互促進、協同發展的同時，引入的內部風險因子和外部擾動因素使數字威脅持續擴大。

一是泛在的物聯網設備引起攻防不對等。數字場景下，巨量級設備聯網，一部分物聯網資產繞過傳統IT安全層直連到互聯網，暴露在攻擊者面前，攻擊者只需“知其一二”，發現一個或多個脆弱點作為突破口即可向更深更廣的范圍滲透，而防御方則需要“知其全貌”，針對OT環境的資產監控和管理需要兼容工業物聯網(IIoT)資產專有協議(Modbus/TCP、EtherNet/IP、Moxa AOPC等)和設備行為，否則可見性有限。

二是對數字技術的掌控導致安全不確定性。設計者主觀偏見、不充分的訓練數據集等引發應用歧視，導致結果出現在裁決之前。例如，COMPAS算法預測黑人罪犯的再犯罪率為45%，相比白人的23%接近兩倍，但與實際情況相差甚遠。新聞資訊、短視頻類應用過度應用算法推薦，將用戶獲取內容的領域束縛于“信息繭房”，從自主選擇獲取信息的“主人”，到“追求愉悅”被信息左右的“奴隸”。

三是制裁打壓加劇外部不穩定因素。部分國家為了維持主導權和產業優勢，以安全為由在產品、服務、技術、輿論等方面實施一攬子制裁打壓組合拳，意圖遏制他國的技術升級和產業發展。一方面，愈發嚴格的進出口管制制約基礎技術研發應用，導致關鍵技術、產品、服務“用不了”。另一方面，不遺余力地推進安全審查，意圖實現供應鏈“去中國化”，造成我國企業海外業務“鋪不開”。

需求驅動實用主義安全措施逐漸成為主流

數字時代，安全措施的實施更傾向于從實用主義視角去適應不斷迭代的新技術、新業務、新威脅。垂直行業作為數字化轉型和數字業務發展的主體，逐漸成為數字安全舞臺上的主角，分化的、跨領域屬性明顯的安全需求碰撞和磨合出更加敏捷的治理措施，需以更具包容性的敏捷思維，解決由于行業企業對數字世界安全問題的不確定和不熟悉，導致的不想用、不敢用和不會用等問題。

一是“不想用”的問題，數字化轉型中的中小型企業往往因成本有限，對安全事件發生存在僥幸心理，在確認能獲得收益前不愿意做安全投入，需探索以“安全服務+保險賠償”的新型數字安全服務模式，促進數字安全能力提升，有效中和企業安全投入、拉動需求市場，提振中小企業數字安全信心。

二是“不敢用”的問題，企業在考慮數字技術落地或部署數字業務時，不確定是否會違背監管要求、是否會帶來未知安全隱患，需構建試優試錯措施，提前發現和防控技術應用、產業鏈協同和監管安全隱患。

三是“不會用”的問題，這一問題往往因缺少根據數字業務編排調配安全能力的實踐經驗造成，需要以專業性的數字安全工具箱和實施框架，指導端到端的數字安全解決方案部署。

總體來看，當前安全形勢隨著數字化發展不斷變化，數字化、智能化、網絡化能力提高的同時，加速驅動網絡空間與物理世界相融合，安全風險通過網絡物理融合空間向生產、生活等經濟社會層面的數字場景延伸，安全新對象、新目標、新威脅、新措施等方面的變化將衍生安全新需求及能力新要求。