构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 5. 对监管职责和问责制度进行了明确 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 安全运营趋势：国际顶尖企业安全运营建设趋势 关键结论： CTEM是 Gartner 于 2022 年 7 月 推出的一个框架，可帮助企业持续、

大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

融营销/智能风控… 制造类 质量控制/产品设计与开发/智能 供应链管理… 医疗类 药物研发/手术辅助模拟/医疗数 据研究分析/医疗培训… … 21 ◼ 分布式数据管理 ◼ 围绕数据全生命周期的动态防御 ◼ 人工智能与数据治理深度结合 技术侧：数据治理 22 ©2024.7 iResearch Inc. iresearch.com.cn 围绕数据全生命周期的动态防御 由单一、静态和被动模式完成向全面、动态和主动模式的转变 大数据背景下，数据的生成和处理变得日益多样化和复杂，数据安全也面临更多前所未有的威胁。传统的安全措施往往局限于孤立 的防御点、静态的策略和被动的反应，已不足以应对大数据环境中的复杂安全问题。为了有效保护大数据环境下的信息资产，安全 防御策略必须考虑到数据流动的复杂性、数据间的相互关联以 这种转变，组织能 够更有效地预测、识别和抵御各种安全威胁，确保数据的完整性、安全性和可用性，支持业务的可持续发展。 来源：结合公开市场资料和专家访谈，由艾瑞咨询研究院整理及绘制。 大数据安全动态防御体系和核心治理技术 ➢ 异常数据资产监控 ➢ 数据安全态势感知 数据生命周期 动态防护 控 监 管 评 梳 溯 ➢ 数据安全效能评估 ➢ 安全策略动态调整 ➢ 数据流转实时溯源 ➢ 数据共享贡献度评估

优先传输。四是安全增强下的高速传输。可信高速数据网的“可信”属性，决定了 其高速传输必须在安全机制保障下进行。数据在高速传输过程中，仍需进行加密、 身份认证、访问控制。网络具备抗DDoS攻击、入侵检测与防御能力，确保高速传 输不被中断或篡改。采用零信任架构，在高速中维持高安全性。五是可扩展性与未 可信高速数据网研究报告 15 来演进能力，支持向更高传输速率400Gbps、Tbps演进，兼容量子通信、卫星互 技术方向： 接入安全推行“零信任接入”机制，基于URL/API粒度精细化权限控制，实现 应用级、数据级动态授权。构建“持续验证+实时风险评估”模型，动态最小化授 权范围，建立“永不信任、持续验证”的接入防御体系。通过行为分析、设备指纹 识别等技术，强化终端可信认证与异常行为检测，确保身份可信、权限精准、操作 可控。 数据加密采用端到端IPsecv6、量子加密等隧道加密技术，保障数据在传输过 程 据级 网络质量诉求，秘钥，数据等级和数据控制属性等信息。 可信接入：一是基于零信任理念，结合URL/API粒度精细化权限控制，实现应 用级、数据级动态授权，构建“持续验证+实时风险评估”的接入防御体系。二是 通过终端可信认证、行为分析等技术，确保只有合法用户/设备可访问连接器、数 据业务节点和流通平台，防止非法入侵和数据泄露。 数网协同：感知数据与网络基于APN-ID的标识映射，根据数据实时性要求和分

AI播客 安全服务趋势观察：安全与智能双向融合演进 AI for Security 大模型提升业务安全能力 Security for AI 大模型应用急需安全堡垒 安全服务解决方案：构建智能化防御，全域业务保安全 反诈全域应用 • 涉诈号码库 • 诈骗通路阻断 • 误停机分析模型 • 微信停复机核身 UGC内容安全 • 文本检测 • 音频检测 • 图像检测 • 视频检测

90%。 33 图 2 哈密-重庆、哈密-北京骨干算力网 90%网络重载测试 在技术方面，项目链路带宽利用效率、时延、抖动、丢 包等各项技术指标均优于国家标准；在安全方面，V2V 协议 能结构性防御系统漏洞、协议弱点和各类攻击；在应用方面， 哈密算力已为北京、重庆等 16 家科研院所、企业提供算力 测试和商用服务，使用算力超 100PFlops，支撑重庆李克强 院士工作站汽车大模型训练、郑州大学医学大模型推理、北 申报单位：数字宁夏建设运营有限责任公司 当前，国家“东数西算”工程正在加快实施，全国一体 化算力网络国家枢纽节点各项建设进入快速发展期，数字宁 夏公司承担宁夏枢纽安全一体化工程建设，加快构建宁夏枢 纽集群安全防护体系，提升安全防御能力和运营服务质效， 有力保障用户网络和信息安全。 52 一是建设一体化安全运营管理平台。梳理行业主流安全 管理解决方案，建成安全态势感知、安全数据治理、安全运 维管理等安全服务能力，实现集群内网络和数据安全“可知、

战。Verizon 发布的《2025 数据泄露调查报告（DBIR）》显示， 30% 的数据泄露事件与第三方直接相关，相较 2024 年的 15% 翻倍，软件供应商和云平台等第三方正日益 成为组织防御中较为薄弱的环节。一旦发生数据泄露，不仅会导致企业核心商业机密外泄，还可能引发法律 纠纷与监管处罚，损害企业声誉，影响客户信任，进而削弱企业在市场中的竞争力。 挑战六 . 复合型人才储备匮乏，技能提升路困难重重 审核发票真伪、控制单笔费用额度 , 这种模式虽能解决局部风险，但难以应对复杂多变的内外部环境带来的系统性风险。随着企业经营复杂度提 升与数智化转型深入，智能费控系统正加速向 “从单点防控到体系化防御” 的风险管理模式升级。即在系统 内搭建多层级、动态化的预警体系。除了设置费用阈值、异常交易等基础预警规则，还将基于机器学习算法 构建风险预测模型，主动识别潜在风险。例如，通过分析历史违规数据的特征模式，预测未来可能发生的舞 如分析供应商数 据预判履约风险）；价值导向层面，将风险思维融入经营，借风险应对抓机遇（如分析市场风险布局新业务）； 智能化上，用算法自动预警，在动态变化中合理配置管控资源，生成应对方案、实现主动防御；全流程协同 则贯穿经营全周期，打破部门壁垒，构建联动管理体系。 因公消费由员工散订发展到借助聚合消费平台实现员工的无需报销，已经超越了传统订购工具的范畴。它利 用平台的聚合优势，实现同屏比价

统一身份认证和访问管理项目 主机安全项目 应用开发安全技术标准项目 信息技术体系为信息安全提供技术工具，需要在物理、网络、主机、数据和应用各层面都建设相 应的技术工具，实现多层次立体的技术安全防御体系。 网络安全加固项目 数据安全规划项目 制定数据安全方面的标准和要求，如数据分类分级，文档分类 分级管理，文档数字权限管理，核心数据库访问授权审计等 建设主机安全技术标准，部署统一补丁管理、统一防病毒及恶 制定应用开发身份认证，权限管理，网络传输加密，配置项中 账户密码安全要求等技术安全要求标准 结合目录认证和数字证书认证，建立统一身份认证和访问管理 系统，集中管理用户身份和系统访问 优化网络安全域划分和安全之间访问策略，入侵检测和防御系 统，远程访问安全 76 . 目录 详细交付材料见：《信息化管控蓝图》 现状分析回顾 1 应用架构规划 2 技术架构规划 4 建设路线及投资预算 6 信息化治理规划 5 数据架构规划