南方新華小編——Judy編輯

引言：

在國家“高質量發展”的首要任務指引下，中國經濟發展將步入一個新階段，數字化將成為各行各業轉型升級的必然手段。同時，數據生產要素的加速流通，也將對企業系統性安全建設提出更高要求。安全業界有一句諺語叫做“未知攻、焉知守”，講的是做好安全防御的前提是需要研究和了解攻擊路徑。這句話同樣適用于遨游在數字化時代的企業家和決策者。企業經營如大海泛舟，需要前置預判風浪并做出積極準備，才能行穩致遠。

一、宏觀態勢篇

（1）產業安全建設將成為企業數字化實踐的“前置條件”

2023年是全面貫徹落實黨的二十大精神的開局之年，高質量發展，是全面建設社會主義現代化國家的首要任務。高水平安全，是高質量發展的前提。高質量發展，同樣是指導產業數字化轉型升級、企業健康可持續經營的重要政策牽引。實現高質量發展，需要統籌發展和安全、堅持發展和安全并重，實現高質量發展和高水平安全的良性互動。

對于參與其中的市場主體而言，需要樹立正確的產業發展安全觀念、建立企業安全免疫系統、重視安全管理和評估；隨著數據生產要素的價值不斷被發掘和被釋放，需要全面建設防范風險的能力，為數據在安全前提下的融通流動及數字業務的創新發展構建基礎，為企業長期可持續發展提供保障。

尤其隨著人工智能、大數據、數字孿生等新技術的融合應用，中國數實經濟發展正步入一個全新階段，安全將為產業發展三個“新動能”提供關鍵支撐作用。

因此，在產業互聯網時代，基于企業高質量發展的自身需求，安全建設將成為企業數字化實踐的“前置條件”和“基礎底座”。企業安全建設思路將更加前置，真正做到以安全為始、以安全為終。

（2）、立法監管趨嚴，企業安全“巡檢”常態化

在過去一個階段，IT基礎設施建設、網絡安全以及信息安全的不斷發展，催生了大量被動式安全解決方案；尤其在相關監管法規建設相對滯后階段，企業在安全建設方面往往也是“鴕鳥心態”，認為安全投入是企業運營的成本項，追求“合規”而忽視“實效”。

隨著我國網絡安全與產業安全相關立法頂層設計和主體框架日趨完善，這種情況已經發生徹底改變。近年，國家密集出臺了《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規及《關鍵信息基礎設施安全保護要求》、等級保護 2.0 等系列配套標準，對市場主體的安全邊界、安全責任等作出了系統要求。

尤其隨著黨的二十大進一步明確關于中國數字經濟發展以及產業安全的總體框架，對應的產業安全治理制度、處罰條例均基于產業發展的新形勢、新階段不斷細化修正。

目前，產業安全相關的監管部門對于違反網絡安全、數據安全、個人信息保護等相關法律法規的處罰主要采取后置處罰手段，例如約談、責令改正、罰款、整頓、下架業務、吊銷許可證或營業執照、處理責任人等，導致企業忽視安全建設的風險成本被指數級放大。

例如，去年銀保監會以“監管標準化數據”存在數據質量違法違規行為為由，對21家銀行進行大規模處罰。

2023年，安全相關的立法、監管與執法，將會聚焦于產業高質量發展、數據合規和隱私保護等層面，對企業數字化實踐和創新，給予更多的監管、約束和引導，常態化安全巡檢將成為監管及企業自我健康診斷的宏觀態勢篇要手段。

短期內，合規會擠出產業中存在的一些痼疾與泡沫，通過數字經濟的合規治理，盡可能降低數實融合趨勢中的風險。從長期來看，合規能夠實現“從合規要發展”及“以監管促發展”的目標。

二、產業實踐篇

（1）、安全將成為企業治理水平的重要度量

過去，網絡安全威脅風險程度較低、攻擊相對不太復雜，同時，企業傳統IT系統建設周期很長，安全建設通常按固定周期做風險評估、漏洞掃描、補丁管理，安全工作可以按部就班進行滾動周期的管理，網絡安全部門長期作為企業IT部門的一個分支存在，并未被納入企業經營管理的核心部分。

隨著產業數字化進程提速，企業越來越多地將數字資產轉移到云上，企業發展效率提升同時也導致攻擊面加大，7*24小時業務“在線”也帶來了7*24小時安全防護的需求。

加之，DevSecOps、容器等云原生方法的引入，打破了傳統網絡安全邊界，傳統的安全建設方法和組織架構都亟需更新。

數據泄露、勒索攻擊、供應鏈攻擊等安全事件持續高發，安全已經成為制約企業健康發展的生命線。在這一背景下，安全被企業提升到前所未有的重要程度；但受限于傳統企業管理理念和組織架構，“擔責無權”的安全部門既要當好企業健康發展的“守門人”，又因在企業內部組織架構中處于“小馬拉大車”位置，往往無法真正將安全工作貫徹到實處。

面對日益嚴峻的安全挑戰，企業在安全建設上不再寄期望于先發展后治理。“安全左移”成為行業共識，安全活動逐步進入企業生產環節，參與企業發展戰略、進入產品研發生命周期全流程。這種生產流程的改變，也需要從組織架構上予以支撐。企業重視安全，除了增加人力和預算、技術投入外，安全管理工作將納入核心管理團隊，成為企業治理水平的重要度量。

（2）、從“奢侈品”到“日用品”，構建安全免疫力成為新共識

現階段，不同產業領域、不同規模企業的安全建設水平仍有較大差距。

在金融、政務、傳媒等數字化進程較快的重點行業，由于安全建設需求旺盛、成本充足、合規導向明確，基本上已經建立起集團級的安全免疫力，包括安全技術和能力的貫通，包括人才儲備、生態支持、彈性擴容能力、災備能力等。

但在更長尾的中部企業及小微企業隊列，被劃歸為“成本中心”的安全投入往往被視為“奢侈品”，難以較低的成本建立起自適應的安全免疫系統。隨著云原生及SaaS化發展趨勢，以及技術與產品的創新改變現有的安全供給體系的環境中，中等以下規模的企業也能建立起全視角的安全免疫力，安全正在從“奢侈品”變為“日用品”。

此外，企業安全免疫系統之間也非孤立的。企業與企業之間的安全投入、安全建設應保持高度的兼容與同頻，在安全產業底層實現技術、產品、服務的充分流動，通過行業協同與行業競爭，促進“安全底座”的自我優化、自我迭代，為數字經濟提供動態穩定的底層支持。

（3）、反欺詐風控策略由“體驗優先”向“動態治理”轉變

獵頭公司大數據分析伴隨企業數字化轉型的深入,安全風險從傳統網絡安全向各類業務安全快速轉移，企業面臨更多來自外部的欺詐和未知威脅。

其手段和方式不斷翻新，如刷榜刷單、惡意騙貸、欺詐廣告、流量作弊、惡意占票、虛假申請等。有機構測算，網絡欺詐導致的損失占GDP比例達0.63%,約4000多億元規模之巨。

加強反欺詐體系建設成為企業大勢所趨，但在線業務方便、快捷、高效的特點，讓反欺詐策略的制定往往遵循“用戶體驗優先”，在不影響大部分用戶體驗的前提下以“無感式”“一刀切”“大顆粒”的反欺詐策略開展。

在高質量發展戰略牽引及個人隱私信息保護相關法律條例的施行下，企業經營由跑馬圈地進入精耕細作階段，以極致體驗快速搶奪市場的競爭策略已經成為過去。企業需要以動態的視角平衡欺詐損失和客戶體驗，根據業務峰值和黑灰產攻擊態勢，靈活在“安全優先”與“合規優先”的兩極之間不斷精細化反欺詐策略，護航業務健康發展。

（4）、ChatGPT 大模型 AI 計算廣泛應用安全領域，攻防進入智能化對抗時代

人工智能技術為各行各業的業務和人們的生活帶來了巨大的發展潛力，也為網絡安全形勢帶來前所未有的挑戰。

人工智能是一把雙刃劍，一方面，人工智能可用于提高網絡安全的效率，包括自動檢測和響應威脅、智能識別漏洞；另一方面，黑客也可將人工智能技術用于網絡犯罪活動，這將是對網絡安全的真正威脅。

以ChatGPT為代表的人工智能技術掀起新一輪的人工智能革命，也會引發潛在新型攻擊和內容合規等安全風險。

ChatGPT基于強大的基礎模型、高質量的樣本數據、基于人類反饋的強化學習三大能力，帶來了巨大的可能性。

然而隨著生成式人工智能技術的進步，網絡攻擊者可以輕松地進行微調和針對性的攻擊，因此ChatGPT將對網絡安全構成嚴重的威脅。

目前，網絡攻擊者已開始使用ChatGPT創建惡意軟件、暗網站點和其他實施網絡攻擊的工具。此外，使用ChatGPT編寫用于網絡攻擊的惡意軟件代碼，會大大降低攻擊者的編程或技術能力門檻，將導致即使沒有技術基礎也能成為攻擊者。

同時，人工智能賦能網絡攻擊與傳統網絡攻擊在技術與手法上相比，將使過去勞動密集型、成本高昂的攻擊手法開始徹底轉型，朝著分布式、智能化、自動化方向發展，從而形成更為精準和快速的自動化攻擊手法。

南方新華獵頭公司總結：未來，隨著大模型AI計算被廣泛應用于網絡攻擊各個領域，網絡安全形勢將更加嚴峻，攻防真正進入智能化對抗時代。

如需報告原文PDF可添加下方電話微信聯系方式 （來源：南方新華微信公眾號）

以上就是「南方新華——24小時極速獵頭」帶來的南方新華 | 第9期《2023年產業互聯網安全趨勢報告》發布的全部內容！

南方新華獵頭在線客服：137-1876-7011 歡迎咨詢