《2022产业互联网安全十大趋势》线上发布会原创

大家下午好，我是来自腾讯安全市场部的付荣杰，也是今天的主持人，欢迎大家来到2022年产业互联网安全十大趋势报告的线上发布会。2022年是整个安全产业至关重要的一年，行业由乱向智，政策由利向行，新的一年呢，我们也面临着诸多新的挑战和机遇。在此背景下，人民邮电报、中国信息安全联合腾讯安全实验室、腾讯研究院联合发布了这份2022年产业互联网安全十大趋势报告。这份报告聚集了20余位行业专家组成编创团队，历经了三个月共同完成，希望能够为安全以及产业提供更多的参考和借鉴。一直以来啊，我们网络安全行业都处于一个以技术为驱动，以产业实践为目标，处于非常速的变革和演进之中。因此呢，从2021年开始，我们与各位编委会成员一起共同启动了产业互联网安全十大趋势的研究，希望能够以年为单位，一年一度呈现安全产业的技术趋势、产业态势、宏观部署，以及在企业当中普遍存在的痛点和解决方案。

那报告呢，是由专业的安全媒体、安全行业的领军者来编写，针对其中的内容，来自产业各界的专家学者、智库组织了多轮的研讨会。对于大家的共识呢，我们也进行了系统性的沉淀，我们的目标是能够通过这样一种形式去定义产业安全的流行色，面向新一年的行业发展趋势，做出客观、权威、专业的判断。

好，感谢各位的观看，可以看到网络安全作为数字时代的底座和基础设施，对国家、社会、行业以及每一个用户个体都具有至关重要的作用，我们需要聚集行业里面最顶尖的思想，对未来进行充分的研判，为即将到来的挑战做好充分的准备。在这次报告的编写过程当中呢，我们得到了20余位的专家学者、企业家的鼎力支持，那接下来呢，我将邀请术士咨询的创始人李少鹏。

赛迪顾问软件与信息服务业研究中心总经理高丹、东华云与智慧城市集团董事长、CEO郭浩哲、腾讯云安全总经理李斌四位嘉宾和领导分别在宏观政策、产业实践。企业安全建设和技术趋势四个维度上和大家分别做话题的分享。大家好，我是术士咨询的创始人李少鹏，那么我今天分享的观点和主题呢，是从数字世界到数字安全，再到数据安全，呃，我本人呢，在这个网络行业，或者我们现在从信息技术行业。

已经有20余年的这样的一个工作经历了。那么我们在经历了这么长时间的一个一个时代的变迁，或者是一个技术的革新的这样的一个长时间的历程当中，那么我也发现我们这个现实的世界其实正在向。呃，一个虚拟的世界，或者是一个软件化的世界，我们现在有一个正确的名词叫一个数字世界，往这样的一个发展，那么其实呢，它是有一个很大的客观规律的，也就是说现实世界和虚拟世界的融合这样的一个客观规律，那从最早的时候我们想这个虚拟世界有个什么名词呢？就是计算机普及的时候，危机普及，那个时候我们，我相信好多人都知道有一本杂志叫做计算机世界，对不对？那同样啊，那再往后有信息革命，然后有互联网，这个时候我们管它叫什么叫网络世界。那现在呢，现在我们都成为数字经济，数字中国，数字政府，数字世界，我这这个从计算机世界到数字世界，从我们的现实物理世界到数字世界，那这样的一个变化，它其实就是我们这个世界在不断的软件化，数字化。

那这个规律其实是一个不可逆转的，这也应该是我们人类科技文明的一个发展趋势。那么典型的区别是什么呢？我们讲计算机世界，就是诶什么都靠计算机打电子游戏，然后做一个无纸化办公啊等等等等，那到了网络世界以后，计算机和计算机互相相连，人与人之间的沟通，即时通信工具，那么人与机器之间的互动，控制一些生产工具来进行我们的生产活动，那这是一个网络连接的世界，那现在我们又称这种世界叫做数字世界，那其实我们来看数字世界和网络世界最大的区别是什么呢？这个区别就是在于网络世界里面，我们主要是以网络连接为目的的。

但是呢，在数字世界里，网络连接只是一个基础了，那么数字世界以什么为核心的？数字世界其实就是以数据为核心的。2020年，李克强总理在政府工作报告上。当时拿国务院的文件来提出。数据成为技术、资本、土地、人力的第五大生产要素。那么有了网络连接才会有了这些数据，但是过去的在网络世界里面，你的数据是不是只是由于网络连接而衍生出来的一种资产，所以我们过去你看对数据的这种这种看待方法，是拿它当做固定资产或者是敏感重要资产来看待的，那现在呢，我们的数字世界要讲究把数据当做生产力，生产要素来释放出来的，也就意味着数据不再是固定资产，放到那那里去保护它，要去流动起来创造价值的，所以在数字世界里面，网络连接是基础，那它真正释放价值的。

是数据，这就是数字世界和网络世界最大的区别。好，我们现在了解了这个，我们从现实世界向虚拟世界进化，然后来到了数字世界这样的一个概念，我们再来看看什么是数字安全，其实顾名思义嘛，那数字世界的安全谁来保证，数字经济的安全谁来保证，OK，我们简简单单的也可以说，诶是一个数字安全来保证，那数字安全它是其实是在我们cyber security，就是网络安全这个这个大的概念的进化概念里面的，刚才谈到了计算机世界，网络世界，数字世界，那同样我们的安全，计算机安全，网络安全，数字安全啊，这个其实也是有很大的国家的这种推动国家的政策来。呃，来来确保这个时代的变迁的啊，我说确保可能有点不太合适，应该就是它反映这个时代变迁，因为90年代的时候呢，我们的公安部出了一个计算机系统的安全保护条例啊，计算机安全等到大量的有互联网，有了网易搜狐，有了这个网门户网站，那这个时候我们会谈网络安全，因为呃，我们会谈信息安全和网络安全，呃我们的非军户，军事化区域DMZ，数据库审计等等，这些都是基于这个时代的，那个时候我们国家2003年全国这个工作信息化委员会，他们也出了一个，呃国家性的政策文件，叫做信息安全战略啊，这时候把这个信息安全这个词又拿出来了，那么到了2014年，习总书记挂帅这个网络安全小组组长的时候，他又提出来，没有网络安全就没有国家安全啊，就你会看到我们计算机安全啊，网络安全这样的，那到现在呢？嗯，2021年这个刚刚过去的这个2021年，那么我们国家的这个。

政府工作报告也在谈到了数字世界，数字世界在安全怎么保障呢？习总书记在2021年九月底的世界互联网大会上的贺信上这样写，说是要筑牢数字安全屏障，因此我们会看计算机安全、网络安全、数字安全等等，其实也有国家的政策相应的响应这样的一个时代的变迁啊。那么刚才讲到数字世界和网络世界最大的区别是。

网络和数据，那OK，那数字安全和网络安全最大的区别也是网络安全和数据安全，这两个安全结合起来就是数字安全的概念，同样我们在这个大法上，2017年实行的这个网络安全法，以及2021年实行的数据安全法，这两个法是互有交叉，互有重叠，同时也有不同的领域的，这两个合起来，网络安全加数据安全就是数字安全的概念。好，那谈完数。数字安全了，我们再来看看数据安全本身这个概念，那数据的安全该如何保证呢？其实我们仔细的观察一下，数据从过去当做固定资产的保护，到未来要进行流动的这样的一个变迁过程，这也是一个非常核心的一个一个事物运转的规律，科技发展的规律，那这在这个变迁的过程当中。

它的保护方法和保护手段也会是不一样的。如果我们把它当做固定资产，重要资产，那怎么保护呢？好放到保险柜里，好加上锁，防盗门，警卫啊等等等等，那它是作为一个固定资产来保护的，但如果我们要把它拿出来当做生产工具，当做生产资料，那它数据是要流动的，那流动的时候你还能带这个保险柜，带着带着防盗门和保安去走吗？不可能的了啊，所以数据流动下的保护，那这是我们现在数据安全要解决的问题，所以我们会看到这个数据的这个流转规律，呃，我们，呃，我术师咨询，我们总结出来一个数据的三个发展阶段，第一个阶段。

就是数据是属于静态资产的这样的一个阶段，那个时候的保护手段，像备份，加密，防勒索等等啊，这是当做一个静态资产来保护的，那么未来呢，数据要充分的流动，我们的个人数据，我们的这个企业的生产数据，各种情报数据，以及这个对所有世界，现实世界的这种物理世界的模拟仿真的这种数字化带来的各种数据，那这个数据要共享起来，要流通起来。那么我们管它叫做数据的共享保护，那OK，在这种现实条件还不具备，就是我们无法把这么多的数据隐私去确权啊，去定责，然后在实施相应的法律政策来保护他，以让他生产效益，让他你看我们现在各地有政数据，有有大数据，然后还有大数据交易所，那其实都是为了数据的流动的释放价值来建建的这些机构，但是这这个事情我们现在还没有想到很好的保护方法，数据的泄露，数据的这种个人隐私的泄露，汽车给这个社会带来的危害也是非常大，那么我们现在公安机关打击的这些违法犯罪案件呀，网络反欺诈呀，电信诈骗呀等等，这些其实都是数据的监管不严，或者数据的保护措施不够而造成的。因此呢，我们现在的数据安全法就是针对了这种现象来出的一个大方向的上位法，但是在这种法律到落地，到实施，到具体的监管，没有完完全的或者是比较成熟的这这种。

阶段达到的时候，那数据该怎么办呢？我们我们只能数据是有限的访问。既不能充分的让大家所有所有社会机构都共享，也不能像过去那样封死，把它搁到保险柜里，防盗门可以把它管起来，那我们就可以把他的访问的这种数量级或者访问的角色对象限制住，比如说我们一个企业是不是有不同的部门，我们不同的部门是不是能利用我们本身的企业的数据去做一些BI，做一些商业的分析，来给我们带来更大的价值，或者说我们再往外扩一扩，我们我们一个机构的数据是不是可以和我们的活合作伙伴共享，可不可以跟我们的客户共享啊，在这种有限范围内的，有有明显的行业和业务特征属性的这种范围内进行共享和和流通啊，这个时候我们的安全措施其实就会好做了很多，而且同时也会释放数据的价值，那到了未来，隐私计算技术，机密计算技术，联邦同态加密啊，多安全，多方学习等等这样的技术比较成熟落地之后，我们再把数据充分的流动。那些。

到了未来的数据完全共享的时代，那个时候数据只有充分的流通之后，才能带来最大的大的价值，这也是对我们人类文明的一种科技文明的一种贡献。这就是舒适咨询认为的数据安全的三个阶段，也其实就是根据它的流动性来的，最早的时候是不动啊，到现在这个阶段呢，我们是一个有限范围的流动，到未来是全社会范围，或者是整个数字经济，数字世界类的流动，这就是数据安全的三个阶段。好，那么以上的这些观点和分享呢，就是我今天的主题内容，谢谢大家。

大家好，我是来自赛迪顾问的高丹，今天跟大家分享的主题叫做网络安全边界的突破与重构，我将我全部的分享呢，总结为一句话叫安全行业将会朝向破军生态发展，突破自身生态的限制，快速融入数字化的大生态当中。呃，如何去理解这个我总结的这句话呢？其实我想从两个点来跟大家分享，第一个叫做突破圈生态，第二就是由于这种数字化的浪潮带来那数字浪潮化的这种啊，浪潮的到来呢，也就是说数字经济的到来，其实它改变了我们日常的这些生产呢，生活呀，整个的其他的生态，以及我们的行业管理这种运营模式等等，那从这种生产端来看呢，其实呃，数字化它其实提升了我们各种生产的这种生产效能，比如说它带动了数字产业发展，它可以提升它效率10%~25%，它可以使我们的这种物流成本下降。

下降5%~15%，那才能提高我们的生产能力，提升我们生产能力的8%~10%，那我们把数字化的这些技术和方法用到我们的创新的这个研究过程中，其实我们的创新水平也提升了5%~12%的这样一个数数据，那么从生活的角度来解讲呢，其实我们这些数字化的技术，我们日常是可以感受到的，那呃，比如说数字化，它可以降低了我们这种公众的医疗负担，然后可以挽救生命，降低我们的死亡率，这个数据在百分之降低率在8%~10%，然后它也会提升我们这种呃居民的生活的这种便捷的程度，它会加速15%，比如说还可以减少我们的通勤时间，可以缩短我们通勤时间的15%~20%等等，那对于政府，或者对于行业和这种管理，或者是这种生态来说呢，它其实是大大提升了我们的这管理的效能。政务服务花费的时。

间缩短了45%~65%，也会减少温室气体排放10%~15%这样一个数据吧，另外它也可以降低我们的犯罪率，降低了30%~40%这样一个数据，也就是说其实对我们的管理来说呢，就是数字化其实起到了非常重要的作用，当然从管理角度来说，这次抗疫过程中为我们带来的这种数字化，为我们带抗疫的这种带来的呃，效率的提升和这种改变，其实大家都是能起到的作用吧，应该是大家都是可以看到的，那刚才我跟大家分享的其实是我们这种呃，数字经济或者数字化的这种技术，为我们的所有的生活、生产和管理带来的这样一个改变，那在这样的改变下呢，其实我们去理如何理解这种安全的破圈生态呢？其实我觉得也是从可以从两个方面来理解的，第一个方面其实我们讲的是整个安全与我们的这种数字或者it的这种。

技术的生态的融合，呃安全其实我觉得原来在我们的理解范围内，它是一个后置的行为，我们讲这种生态圈，大部分人讲的其实都是安全的生态圈，但是我觉得呃，在数字化的时代，我们讲的这个生态圈其实应该是呃把我们的安全完全融入到了我们整个的数字化进程中的这样一个生态，因为原来就是在我们讲安全的过程中，其实在整个数字化信息化的投入里头，我们国家信息化和数字化的投入，其实在整个it的投入里头的这个数据只有2%~3%这样一个数据，那未来其实在我们的这个十四五规划里头，其实是也会提出，其实它会大幅的提升。

那呃，这不仅是一个规划的要求，更是我们数字化时代的要求，其实我们可以看到，呃，我们数字化时代，我们那些数据的改变，其实都是基于我们这种数据量的增加，那数据量的增加其实就带来了大量的这种数据安全的问题，而这些数据安全的问题其实它不是一个需要后置处理的，那未来我们将把这个行为前置，那他就要求我们的安全在整个it生态圈或者数字化生态圈的这个呃里头的这种角色越来越重要了，呃既然我们在整个数字化或信息化的过程中，安全扮演的角色越来越重要，那他在整个的这个融入的速度就应该呃越来越快，那我们整个这个呃破圈的破就是体现在哪儿呢？就是我们原来从小的这种讲生态的这种安全生态间的范围融变成了一个。

呃，大一点的，更大的或者是与数字化的生态圈的这样一个范围，我们思考的问题不仅仅是一个简单的it的问题，或者it安全的，或者数字化的安全问题，更重要的思考的应该是如何把我们的安全的技术手段用于我们更好的数字化的建设过程中，然后如何我们和我们的这些数字化的厂商进行去融合和呃相互的协作吧，这个是我我觉得这个是呃破圈生态里的第一个呃解读吧，这是我对破圈生态第一个解读啊，刚才我跟大家分享的这个就是我破圈生态里的第一个破，那我其实我觉得这个破不破不立嘛，那第二个破其实我想跟大家分享的是我们这种呃真正的安全的边界的重构，那这个其实更多的是讲到我们安全的这个防御的思路，以及安全的防御的手段和技术方面的一些相关的要求吧，啊我们也看到这个。

第二个破其实也是来源于我们这种数字化的要求，那数字化的要求其实最重要的体现其实是数据量提升以后，我们这种数据量提升以后，传统的这种安全的手段，也就是说我们想之前都知道这种，呃，补锅式的这种安全的手段是不能够出现了一些捕过式的安全手段不能够解决的问题，传统的捕过式的这种防御思路呢，其实大家都知道，典型的传统的这种产品和技术，比如说加密的产品呢，防泄露的产品呢，以及备份的产品，那其实这些产品共同的特点是一个静态的产品，那我们现在数字经济时代，那我们的信息量也好，数据量也好，它是实时变动的，那他给大家提出更多的一个要求，是要求对我们这种动态的信息进行安全的防护，所以我们第一个就是在技术上来说，对安全生态圈内的这个安全范围内的种技术，是从一个这种静态的技术。

变成了一种动态的技术，我觉得这个是我们安全重构的第一个重构，刚才也说了，就是这个是第一个，我们第一个安全重构，那这里也有一些典型的产品，比如说我们现在或者是现在很多企业去研究的和应用的技术，比如说零信任的这样一个技术和手段，包括身份认证等等，那其实第二个还有就是我们对安全的要求，刚才跟大家分享的就是破军生态里头说安全，我们现在这个重要程度加深以后呢，我们对安全潜质的这个要求，其实是提升了捕锅是我们也知道这个捕锅其实是发生呃安全事件以后，我们去呃把安全这个事件呃弥补上，那是这样一个解读吧，那安全启示前置的思路其实是呃，要求我们在安全发生前就发现它，然后防止我们发生一些呃安全的问题，那这个其实是第二个思路，就是要求我们这种就是。

重构的第二个思路和想法吧，那我们说那为什么会有这种安全前次的这个要求呢？一个是这种动态的要求，或者是客户的需求端吧，另外我觉得是一个技术的支撑，因为现在我们这种呃智能化的技术，比如说人工智能的技术等等，这些其实发展以后，我们把它应用于安全以后，其实呃我们可以去实现我们安全前置这样一个这样这样这样一个要求了，所以我们才有可能出现安全前置的这样一个思路，那其实是我跟大家说的这个安全重构里头的这个重构里头的第二点，那刚才我从用破圈生态呃为破题吧，然后跟大家分享了网络安全边界的突破与重构与重建，那其实我这个分享去是讲了两个维度，然后几个角度来说，第一个维度其实就是说啊，我们这个网络安全整个的生态圈，其实是从单一的安全生态圈上，我们的数字化生态圈的这样一个。

呃破突破或者破题，第二个其实是从安全的思路讲，那由传统的安全的这种静态的安全思路，未来的要求是变成了一个动态的安全思路，那啊未来也是对于我们的安全要求，是从一个这种捕过式的安全要求，这种安全的防御方法吧，到这种啊安全前次的这样一个要求，那我想这个破圈生态既是我们整个数字化浪潮的需求，呃要求的也是我们整个安全技术，或者是我们这种it技术进步的这种呃产物安全的这种突破与重构呢，将会发展的越来越快啊。以上就是我对网络安全边界，呃突破与重构的呢全部的分享，谢谢大家。

各位朋友大家好，我是东华云CEO郭浩哲。很高兴今天能和大家就安全技术做个探索交流。安全是整个社会治理基石。数千年来，也都是大家赖以生存的基本诉求。科技革命以来，我们从线下安全延伸到线上安全。已经形成了一体化治理能力。东华软件上市以来长期服务于国家重要客户。除了长期服务的数千家客户，疫情期间我们还服务了火神山、雷神山、小汤山、健康码以及多个城市的疫情防控系统。我们一直对安全产业非常关注。与腾讯安全的合作也非常深入。特别是数字中国战略机遇期，数据的价值在不断的被释放。数据，线下资产与线上资产都依赖于科技水平的不断提升。特别是线上资产加速确权，更加依赖安全技术能力。保障过程安全。

更是企业发展中的主要任务。国家法律对数据的交易流通也需要安全技术的不断完善。科技界也涌现出像隐私计算等新型的产业链。数据流通环节的安全机制是数据形成交易的支撑，数据交易是各行各业未来资产数据化之后的核心竞争力。我们也非常关注这一环节。近年来，各地陆续成立数据交易所。未来也许会深入到行业，成立更多的行业数据交易所。东华参与过数据交易所的城建。我们深刻认知交易环节非常需要安全能力的管理与发展。另外，从东华云投资的未来场景来看。无论是自动驾驶与车路协同、乡村振兴、智慧校园、智慧园区、城市公共应急知识分享、城市物联网管理、文化大数据等领域，我们都已经广泛的与安全产品融合交付了，获得成果。

举个例子来讲。智慧城市就是一个不断的产生数据、管理数据，并依赖数据不断迭代城市管理与产业要素构建的重要场景。过往的基础设施建设已经完成了几轮投资。但盘活基础设施，实现基础设施数据化。以及未来通过应用软件开发与区块链等技术服务更多场景。都还不足够深入和智能。这里面有非常广阔的探索空间。当安全能力伴随云计算算力不断升级。我们可以打开更多场景。再比如自动驾驶领域，目前全球知名车企都在安全技术的投入非常多，以腾讯安全实验室为代表的一批科学家。在这一领域的能力已经在全球处于领先地位。未来，道路安全与自动车辆安全相辅相成，都是安全行业不断延展的场景。

还有，我再举一个案例，乡村振兴领域，农产品的生产流通长期缺少技术过程管理能力，技术含量占比较低。导致农产品价格与安全都存在隐患。区块链等安全技术。能对农产品的流通进行全过程追溯管理，实现放心、安心。这对于农业领域的发展有着重要意义。从以上很多案例中，我们看到，安全与产业发展密不可分。也是基础的技术站。值得我们全行业不断关注。可以预见，包含密码学的不断发展，泛安全行业将会成为国之重器。我想，如果大家涉足科技行业，我们应该尽快与最优秀的安全科技公司建立合作与连接。学习如何通过安全技术增值我们的应用服务场景，让更多的科技场景完善起来。

才让我们放心的在未来世界里安心的生活。另外，科技行业最近比较火的方向是元宇宙，这是从数字孪生方向迭代发展而来。东华较早的学习了腾讯云技术。发现线上资产规划与确权是一个新的时代。但线上资产的确权与保护。更加离不开安全产业。总而言之，安心就是生活，也是人类几千年来的认知，我们无时无刻不在享有安全的保护。在此，我先感谢中国科技行业安全从业者对社会的巨大贡献。今年9月1日起正式实行的。关键信息。基础设施安全保护条例更是将网络安全变成很多平台运营者的法定义务。新型基础设施将包括新型的服务方式，基于数字政府，政府为百姓办事效率大大提高。

同时也产生了海量的数据。目前，豫省市实名注册用户已超过8000万，累计上线社保、公积金证等1000多项政府服务。以及上百种电子证照。业务量也达到数十亿次。互联网安全产品。也都和云原生等技术强相关，具备高效连接的特点。云原生是未来云计算的核心方向。也涌现了腾讯t ke、林雀云等优秀产品公司。但大家能发现，安全是快速进化的，在适配着各项新技术能力来满足更多的业务场景。于无声处听惊雷。安全团队让我们在无感的情况下划风险与无形。在我看来，安全是一个底线，思维科学家不断探索，能够具备技术兜底的更多能力。

也不断扩大了市场规模。我想也许到2023年底，中国网络安全市场规模能突破千亿。当然，在今天国际市场里，安全产品现在已经一年突破1250亿美金。今年对整个安全行业和所有处于数字化转型期的政企单位而言，都是非常特殊时期。在数据安全法。个人信息保护法等法律法规的完善之下。整个社会的安全认知。都被提到一个新的制导点上。我认为网络安全行业还有一个非常大的问题，就是在于今天我们每一个网络安全企业的单点的技术能力相对来说还没有非常的。生态化就是我们可能每一个单点的企业都在做自己最擅长的一个事情，但是网络呢，又是一个非常立体和复杂的应用场景系统。

那我们需要很多安全企业在将来能够更加开放的去把自己的技术能力与其他的更多的行业同伴共同打造出一个更加有效的安全秩序。让更多的能力能够更加。好的连接起来，服务于更多的用户。这样来说呢，我们的整个安全生态就能建立起来，用生态的方式把中国的安全产业，以及我们的安全产业的人才与培训体系，以及我们的服务能力，以及我们面向我们自身的管理能力都有一个较大的提升，那在这样的背景之下，我想中国的安全产业可能会有一个更大的发展。同时我也在想。中国的今天市场规模不断提升的过程当中。安全企业。在什么样的方向上能够有巨大的可能性，那我在想。我们每一个社会服务的可持续场景。是值得我们的安全企业去花时间去研究，去探索我们的技术如何应用在更多的应用场景里，能解决场景当中的安全防护问题。

这样的问题呢，要持续。而不是说我单纯的是为了卖一套软件产品。我们应该更加关注用户长期的安全机制，就像今天的线下安全一样，我们有非常多的机构，我们有非常多的执法能力，以及我们有非常多的防护能力。它都是需要长期保障企业的生产过程，以及保障它的市场过程，那今天的在线化的安全能力也一样需要去。帮助我们今天的线上企业，以及我们线下企业线上化之后长期的安全防护能力，这可能是对整个市场来说需要去转变的。那很多企业可能说我的规模和我的技术水平。还是在研究阶段，但我就更认为他需要说是有一个非常好的互补的过程去认知和了解。

社会的更底层的需求，而不是单纯的在研发环节上。突破我自己所认为的一个障碍，或者说我去模仿其他企业的安全能力，这个都是一种相对比较内卷的竞争，我更加期待的是说大家的能力互补，能够去面向社会做非同质化的服务。而且呢，能够把自己的优势力量集中在呃。很好的社会场景当中。呃，各位朋友大家新年好，我是来自腾讯安全云顶实验室的李斌，在今天这里呢，为大家带来2022年云产业、云安全产业与技术发展趋势的一些观察与思考。首先观察一嗯是云时代的变革，嗯，在过去的几年呢，我们面临一些新的环境，新的技术和新的产业。首先从新环境看，在过去的几年，国际国内外的政治经济形势发展变化非常了快速和剧烈，呃，对产业造成了重大的影响，而疫情影响呢，也造成了一个疫情经济的新常态。呃然后呢，其次国内外的法律法规在过去几年日趋完善和严格，这些呢都对整个产业发展造成了重大的这个呃变化。同时呢，我们过去也过去几年以及今天也迎来了大量的新技术，包括云计算，大数据、5G和人工智能等等，今天呢，都已经成为了重要的生产力因子，嗯，对我们的生产生活造成了重大的影响。最后呢，由于新环境的变化，新技术的导入，我们也迎来了新的产业发展，呃，万物互联和数士融合已经成成为了今天产业发展重要的一个特征，在这样的一个时代下呢，数据成为了生产业的核心要素。而网络。

空间安全既是红线，也是发展的底线，数据安全成为了制约和影响组织发展的一个关键命脉。

呃，观察二是企业it开发与运营模式在云时代的发展和变化，在传统的这个it建设过程中呢，企业it资源交付的这个周期比较长，成本比较高，呃，然后呢，在导入云计算之后，我们发现这样的一个资，由于资源交付力度的更细腻化，以及资源交付更快捷，发生了非常大的变化。从整个资源交付的时间和生命周期看，传统的it企业建设过程中，嗯，我们交付一个计算资源，基本它的时间是以月为单位，一到三个月，而一个应用软件开发的时间，呃，是以月到年为单位，整个系统的生命周期呢，嗯，会是三到十年这样的一个长度在使用进入，在进入云时代之后呢，当我们使用云主机的时候，我们发现资源交付的时间大大的，效率大大的提高，今天呢，我们在云上可以在分钟级就部署一台呃这个云主机，呃，进入生产就绪的环境，而系统的这个生命周期时间呃从缩短到了从日。

级别到年级别，在导入新的计算的这个呃计算的服务，比如像容器服务之后呢，我们发现这个时间进一步缩短，呃系系统资源部署交付的时间短到了秒级别，而如果采用S技术的话，极端的情况下，那今天一个计算资源的交付的这个时间是到了三毫秒，它的生命周期呢，是在百毫秒这样的一个级别，那由于我们整个这样一个资源交付的效率的提高，呃，然后计费这个时间的这样的一个计费周期的呃缩短，呃使得我们企业整个的呃it架构以及开发模型也发生了非常大的变化，在传统的it架构里面呢，基本上我们系统的这个建设生命周期是以月为单位，整个的这个运营生命周期是以年为单位，在导入敏捷开发之后呢，我们发现我们的系统软件研发的这个生命周期基本上是以二到四周为一个时间单位来进行版本的迭代，而进入dev ss的时代，我们发现这个时间进一步的缩短，我们看到的是比较呃优秀的。

的极端的案例，呃，会以一到三天为一个版本来进行版本的这个迭代和灰度的发布。嗯，观察三是云时代新技术和架构的演进对于云安全带来的挑战，在今天呢，由于呃算力的这个提升，我们今天拥有了海量的数据，同时呢也拥有了海量的算力，而海量的数据和算力本身就对我们一些传统的安全机制，嗯以及安全能力造成了这个制约和挑战。在今天呢，伴随着云计算，5G等等一些新技术的应用，产生了新的架构，新的方法，新的技术，比如像云上普遍存在的这个抽象化服务，呃，扁平化的这样的一个计算，分布式计算以及异构计算，这些呢，都从底层的技术上面，呃，对整个传统的安全模型和安全技术带来了挑战。在管理机制上呢，我们今天也发生了一些变化，嗯，跟随就是云上嗯不同的这个服务模型，比如像S斯帕斯和萨斯，嗯，那我们产生了不同的这样的一个责任分担的矩阵，嗯，今天呢，就是资产的所有权，数据的所有权，然后所有设备应用系统的管理权和控制权，以及整个系统建设的成本模型。

都和过去有非常大的这个变化，这些呢，对于整个企业信息化，呃，信息安全的建设都带来了新的这样的一些变化，最后呢，是在计算环境上，由于我们前面看到的资源交付的周期和力度的变化，比如像我们从传统的这个it建设周期以年为单位，到了今天可能短到以小时、分钟甚至毫秒为单位，我们今天呢，处于一个非常速动态变化的这个生命周期环境中，呃，并且处一个持续的这个对抗性的这个呃，持续性的对抗呃环境这样的一个环境，下面这些呢，都对我们整个今天的运营安全带来了非常大的挑战。呃，针对这些挑战呢，我们最后还总结了一张图，就是在呃过去几年我每年会跟踪和更新的一张图，就是网络空间安全外部威胁的发展形式，呃在今年来看呢，有几个重要的特征，第一呢，就是在威胁主体上，呃我们大概看到一八年开始，国家级别的这样的一些网络空间安全，呃攻击的力量，这样的一个威胁进入我们的视野，而在嗯，2021年到二一啊，就2021年到今年为止呢，我们发现它已经成为了一个重要的威胁影响因子，比如像在去年十月份国家公布的一批呃案例中，就有类似的这样的一些影子。然后另外呢，传统的这样的一些安全威一胁，比如像呃商业间谍，有组织犯罪，还有就像国内的黑灰产等等，依然是非常重要和主流的这个呃威胁因子在攻击利用趋势上面呢，我们看到除了呃传统的零日攻击PAPP以外，呃然后呢，像这个基于硬件呃部件的攻击，针对软硬件供应链的攻击呃和针对这个呃AI呃协议的攻击。

呃也逐渐成为主流和重要的攻击手段，今天呢，在利用利用技术的去呃利用技术上面我们看到它的层次更丰富呃，对战更深入呃，然后隐藏性更高，同时呢，就是说发现的难度也更大。最后呢，在受攻击目标上，今天是一个呃非常多层次的攻击目标，呃除了关键基础设施以外，包括像一般性的这个企业的一般性商业数据以及个人信息，呃个人的敏感信息都是重要的受攻击目标。

嗯，最后一个观察呢是呃在过去几年我们经常呃听到一个词就是依法治国这个词，呃我们看到呢，在网络空间领域，依法治国这样一个理念在逐步的落地，在过去几年呢，呃密集的发布了包括网络安全法、数据安全法、个人信息保护法，呃民法典的更新以及密码法等等一系列新的这个法律法规和条例。在今天呢，我们看到到二一年为止，整个国内关于网络空间安全和数据安全的法律法规体系已经趋于完善，呃对整个企业安全治理和发展形成了重要的指引。

这里呢，有一张图是我们过去几年国内在于法律法规呃，然后在以及相应的支撑标准方面制定的一个发展的历程。我们看到从一九年开始，呃开始有密集的这个新的法律开始出现，呃以及研究和标准制定和时践落地。嗯到二一年为止，呃几个重要的法律发布，可以说是对整个法律呃，网络空间的安全的法律体系呃定下了一个定义之锤，包括数据安全法，个人信息保护法，然后还有关键基础设施保护条例和网络安全审查办法等等。呃，基本上法律法规的框架已经趋于完善，呃，而相应的支撑标准呢，呃也是在紧密的制定中。基于以上几个观察呢，我们也一直在思考，嗯，在整个云安全产业领域，哪些是重要的发展的这个技术，呃，哪些是未来的技术。首先呢，从产业趋势看，我们观察了包括像数字化政务，像制造业的创新，呃，金融呃，新的这个金融和零售技术，然后智慧城市和可持续发展等等这样一些重要的呃产业领域，通过对这些产业领域支撑性的it技术技术，以及新兴的安全技术，呃这样的一个逐层分析，最终呢，我们得到了七个核心的安全技术级，包括就是API和应用安全，新的身份和访问技术。

呃密码学和加密的基础设施，隐私保护和安全计算硬件安全工程容器虚拟化和内核安全，以及大规模的呃云上综合安全分析和治理这样七个核心技术集，呃然后呢，也把它形成了三张重要的这个呃技术版图，包括云安原生安全的技术版图，呃云数据安全的框架，治理框架，还有就是云综合治理防护的体系。嗯，后面这里呢，就是我们关于这样几个体系的，呃一些探索和实践。首先探索一呢是在云原生安全方面，在今天我们观察到伴随着云的这个产业的逐步的发展，呃云原生内生的安全能力已经成为了重要的一个组成部分，所以这里呢，我们建立了这样一个云原生安全能力参考框架，把整个云原生的安全分为了这样五个层面，首先呢，在最底层是云原生的网络安全，包括呃云原生的这个网络安全的隔离技术，呃边界防护以及综合的这个安全治理等等。在支上支撑呢，是云原生的计算技术，在硬件虚拟化隔离，容器安全隔离和内核安全技术支撑之下呢，呃对整个计算资源的保护，云主机安全，呃计算容器的运行式安全，提供相应的防护体系，在之上呢，是云原生的应用安全，基于就是呃开发者，呃云上的这个开发者平台，呃把整个研发安全，呃安全的这个编码安全的测试和实施的云安全访。

库，形成一整个体系，嵌入到我们的开发者平台，来形成端到端的这个呃安全开发流水线功能，然后再这上呢，是云原生的数据安全，基于云上的高性能呃密码技术，以及相应的这个呃高可靠性的这样的一些加密机等等这样的一些底层技术，我们构建了云上的隐私保护，数据加密和这个数据安全，以及呃云上的这样的一些数据安全治理相关的技术，来形成云上云生的数据安全保护能力，最后呢是云原生的安全治理能力，那从身份的治理，风险的治理，数据的治理等等几个角度，我们形成一整个云原生呃大规模的安全治理技术，来对云平台，云数据以及云上租户安全提供最整体的这样的一个安全保证。

探索二是大规模的云平台和云租户安全治理体系。呃根据整个风险治理的模型，我们把云上平台就是百万级这个主机，嗯千万级用户这样的一个体系呢，嗯，它的安全治理体系分为这么几个环节，包括呃早期的风险识别，嗯过程中的持续的风险监控和防护，然后发现问题之后及时的这个实时的响应和恢复，然后最后以及整个体系持续的运营和改进这样五个环节。呃然后在之下呢，是各项关键的支撑技术，然后在底层呢，是我们服务化的这样一个能力模型，然后最后呢，是我们呃统一的这个呃云平台以及云住户的安全治理的这样的一个平台。

呃，探索三是呃研发运营一体化能力，呃能力框架以及落地的实践。呃在整个云平台建设的过程中，除了云基础设施以外，云本身云产品、云服务的这个安全研发一直是重要的组成部分。那从这个角度而言呢，就是我们把整个从软件开发的需求设计，到代码的这个编写到测试，自动化的测试到发布以及持续运营，嗯，组成了这样相应的这个流程环节，并且呢，构建了相应的自动化的工具，把这些工具模块嵌入到云开发者平台中，具形成高效率呃低成本的股份的和开发过程的衔接，来保障云产品的安全。

探索四，伴随着呃2021年数据安全法和个人信息保护法的发布以及落地，在今天呢，云数据安全已经成为一个非常重要的核心命题，在这里呢，我们建立了云数据安全治理的框架，嗯，在这个框架里面呢，我们把整个企业数据安全治理分为五个层面，嗯，在最顶层的是呃法律法规的合规框架，包括呃在网络安全法、数据安全法和个人系保信息保护法的指引之下呢，建立相应的合规指引，在之下呢，是主治保障体系，包括建立相应的数据安全负责人制，呃，然后业务部呢，全全员参与，以及相应职能部门的支撑，最后呢，还有就是建立相应的审计监督机制。呃，然后再之下呢，是呃数据安全治理的这个流程体系，在这里呢，我们把整个数据安全治理流程体系分为八个部分，分别呢就是从呃初期的数据资产的盘查，以及分类分级呃，然后风险的评估和这个个人信息数据和个人信息保护的这个风险评估，然后以及相应保护机制和流程的建立。

嗯，还有呢，就是事件响应和监控，还有就是信息和沟通，呃还有呢，就是监督和检查等等这样的八个环节来实现，就是整个数据安全治理体系在流程上的闭环，再之上呢，是数据安全的这样的一个技术体系，呃，分别就是说从相应的维度呃，构建相应的工具和能力，对流程体系进行支撑，来实现从合规指引到组织体系到流程体系，到最终的技术落地，呃，来实现无缝的这个贯穿和衔接，最后呢，是整个云基础设施来对上提供基础环境的安全保障。呃，以上呢，就是我们在2022年云安全产业趋势方面，我们的一些观察思考和探索，那关于呃，整个这样的一些详细内容呢，大家可以参与我们相关的这个报告，嗯，谢谢大家。好的，非常感谢我们专家们干货满满的分享，同时呢，也要特别感谢以上几位为本次报告投入的精力，贡献的智慧，希望报告发布以后呢，能够帮助大家对2022年产业互联网安全的趋势有更好的把握，深刻理解安全行业，共建安全产业，一起捍卫数字经济的美好未来。

那完整的报告内容大家可以关注腾讯安全公众号，或者是扫描屏幕下方的二维码获取，那我们今天的发布会到这里就全部结束了，感谢大家的关注，谢谢。