网闸 外网应用 内网应用 终端响应 边界防护 边 界 防 护 INTERNET 网站 Web 服务 0Day 漏 洞 暴 力 破 解 钓 鱼 邮 件 社 工 攻 击 社会工程学攻击：在计算机科学中，社会工 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 \ 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 标，重点保证数据安全和系统运行安全。 进不来 • 身份认证机制， 以及从云端、 边界、端点的 立体防护体系。 • 终端准入机制 出不去 • 数据加密、解 密、数据防泄 密 DLP 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 黑白交替、拉锯战容易导致身心俱疲 ✗ 仅了解已知资产，供应链、分子公司等风险覆盖不全 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性

可信高速数据网以“安全、高速、合规”为核心理念，基于IPv6+融 合新技术聚焦“数算、数网、数安协同”的演进主线，旨在破解数据流通 中的技术性瓶颈。其核心价值在于，不仅实现了数据资源的安全确权与 动态防护，更通过网络与数据/算力的深度融合，提升了数据调度的实时 性、灵活性与经济性。 可信高速数据网的建设，有助于我国构建“横向联通、纵向贯通”的 全国一体化数据流通格局，推动形成统一开放、竞争有序的数据要素市场 宽。结合数据分类分级管理，在网络边界部署数据围栏，并通过APN-ID标识与路径 可视技术，实现敏感数据全流程可溯、可管、可控，确保合规流通。 3�数安协同：筑牢数据流通的安全屏障 可信高速数据网以“内生安全、动态防护、合规监管”为核心，构建覆盖网络 传输全生命周期的安全体系。在传输与存储层面，部署量子加密、零信任接入、抗 量子密码等新型安全技术，确保数据“密文可用、明文不可见”。在设备与链路层 面，强化防 基于自身数字发展需求，在数据网络的安全性与传输效率建设上已开展大量实践， 形成了各具特色的发展路径，为我国可信高速数据网建设提供了重要参考。 美国：以“技术-制度”协同构建可信、高速的数据网络 美国围绕“安全防护-开放共享”核心诉求，以制度明确网络建设方向，以技 术强化网络核心能力，形成“战略引领、技术落地”的发展路径。 1� 战略定位与制度框架 美国通过顶层战略与专项立法明确数据网络的建设目标：一是强化可信安全治

网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 方面的问题： 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 操作系统安全、交换机VLAN 划分、以及集群下存储安全及服务器双机热备，保 障可靠性等；  服务器虚拟化安全：虚拟机管理器安全：服务最小化原则、内核模块完整性、补 定管理机制等；虚拟机安全：虚拟机安全隔离、访问控制、恶意虚拟机防护（ 防地址欺骗、 VM 端口扫描等）、虚拟机资源限制等；  网络虚拟化安全：虚拟交换机：采用 VLAN 划分虚拟机组、对端口限速，禁止 混杂模式进行网络嗅探等；虚拟防火墙：设置安全访问控制策略，建立逻辑安全

具备可持续发展能力。优先支持脱胎于大型工业企业、具有工业 基因、熟悉行业机理的实体机构建设促进中心。 三、主要功能 (一)资源整合。汇聚政产学研用金等相关资源，整合技术、 产品、数据、标准、解决方案、基础设施、人才、安全防护等各类 资源要素，创新运营模式和合作机制，促进数字化转型资源开放 与共享。 第 7 页 共 162 页 (二)生态营造。通过供需合作、产融合作、产教合作等多种 形式营造制造业数字化转型良好生态，加快优秀案例和典型经验 效评估可采用自评估或第三方评价等方式，企业参与评 估人员应涵盖企业管理者、各业务部门责任人以及一线 技术工人。 (四)推进迭代优化 企业根据数字化成效评估结果，针对转型实施中的 短板和不足，迭代解决方案版本，强化安全防护，优化 实施效果。立足自身战略定位和业务发展方向，进一步 第 15 页 共 162 页 制定下阶段数字化转型目标和任务，统筹推进场景数字 化改造和业务数字化升级，持续强化全流程精益管理水 标准建设，打造工业数据空间，推动数据便捷高效流通。 (七)加强安全保障 健全工业企业网络安全管理制度，深入实施工业互 联网安全分类分级管理，建立健全定级防护、评估评测、 监测预警、信息通报、成效评价等工作机制，指导企业 落实《工业控制系统网络安全防护指南》相关要求，开 展重要工业控制系统识别认定，构建工控安全评估体系。 督促企业落实《数据安全法》《工业和信息化领域数据 安全管理办法(试行)》等法律政策要求，加强重要数据

可信数据空间 • 区块链底座 • 隐私计算 • 大数据平台 • 零信任安全 • 数据风控 办公协同基座 • 企业微信 • 企业邮箱 • 腾讯文档 • 腾讯会议 数据风控 边界防护 可信通道 数据底座 可信数据 技术工具箱 人工智能趋势观察：技术泛化实现多维度赋能 AI原子能力 大模型化 智能体成为 变革引擎 B端模型应用 日趋成熟 多模态AI 丰富C端体 验 人工智能解决方案：共享模型与工具，共创百业智能化 全渠道数智化 • 数智人客服 • 营业厅全域数智化 • 人脸实名核身 大模型原子能力 • OCR大模型 • ASR大模型 • AI人脸防护盾 智能体开发平台 • 知识库管理 • Multi Agent • 工作流编排 • 文档解析与拆分 • 多轮改写 B端大模型应用套装 • AI代码助手 • AI知识沉淀 • AI协同办公 • 误停机分析模型 • 微信停复机核身 UGC内容安全 • 文本检测 • 音频检测 • 图像检测 • 视频检测 代码供应链安全 • 软件制品扫描 • 软件漏洞扫描 • 黑灰产刷机防护 • 小程序安全 大模型应用安全 • 大模型安全网关 • 大模型安全态势管理 数据服务趋势观察：跨界数据助力精细化运营 数据助力基站调优治理 商客市场走向精准营销 线上投流趋于降本增效

利好结果的同时 ，也扩大了受攻击的节点范围 ，企业安全防护亟需跟 进 从制造业企业的视角看 ，伴随着数字化转型的推进 ，制造业企业部分业务逐渐趋于云化、一体化、集成化。这一趋势推动业务联 动 性增强的同时 ，也让制造业企业暴露了更多的攻击节点 ，这必然会带来安全防护的需求。而设备、工控系统、数据等要素作为 制造 业企业生产转运的核心 ，其安全防护的需求将优先被满足 ，故针对设备安全、工控安全和数据安全的产品和服务亟需跟进 ，故针对设备安全、工控安全和数据安全的产品和服务亟需跟进 （详情见 需求场景示例 - 安全防护）。 制造业数字化转型需要安全厂商守护 外部数据市场情况 • 全国数据生产总量： 2023 年全国数据生产总 量 达到 32.85 泽字节 （ ZB ） ， 同 比 增 长 22.44% 。 • 数据开放： 2023 年公共数据开放量同比增长 超 16% 。 • 数据交易： 基于制造企业全业务流程的风险识别与防护体系构建 某制造企业数字化转型工业网络安全建设项目概况 安全设备部署（产品落地与策略优化） 目标：精准部署安全设备 ，配置相应安全防护策略 ，提供全方位安全防护 依据招标文件技术参数要求 ，完成安全设备的选型及性能测试 ，并在网络架构关键节点（如 区域边界、工业主机等）实施精准部署 ，通过策略优化、安全联动及持续监控 ，实现全方 位 安全防护 整体要求： •

二是创新多技术融合自研算法。自主研发涵盖密码学、 隐私保护联合建模和可信硬件等多种技术融合方案，解决多 方数据挖掘场景中的计算性能和效率问题，实现分钟级的亿 级样本求交。 三是实现全生命周期安全防护。通过计算前关键字段保 护、数据资产加密存储，计算中算法、协议、通信和参数计 算安全保护，计算后数据存证、应用授权、流程审计等安全 保护手段，保障数据共享交换安全可信。 图 1 平台架构和运行成效 成为算力基础设施必须面对和解决的关键问题。韶关数投与 奇安信以内生安全为核心理念，构建集群—数据中心两级一 体协同防护体系，实现统一指挥调度、联防联控、快速处置 一体化安全防护，大幅提升韶关数据中心集群安全防护能力。 一是构建区域一体安全防护中心。围绕云、网、数、边、 端、密码等安全需求，构建涵盖算力基础设施、云平台、应 用等全栈式安全防护体系，稳妥有序推进风险监测、研判分 析、事件处置、应急响应等安全运营工作，为 20 三是搭建安全运营服务门户。依托云安全及安全公共服 务能力，为 20 余家数据中心及其用户提供超过 15 项自助订 阅式安全服务，充分满足用户多样化安全需求，保障云平台 和用户业务安全。 截至目前，韶关一体化安全防护体系已接入华韶、鹰硕、 电信等 5 家数据中心，积累超过 2 万种威胁检测规则和 30 个场景化检测模型，可捕捉 98%以上潜在入侵行为，缩短威 胁响应及处置时间至 60 分钟内，比行业标准提升

，快捷构建智能应用，实现“模型使用自由” • 模型灵活集 成 • 流程自动智 能 • 能力无限拓 展 • 行业专属适 配 • 安全多重保 障 自动任务分解 插件服务 评估优化 内容安全 问题侧防护 模型侧防护 答案侧防护 服务编排 提示词工程 多模型管理 应用层 政府 医疗 教育

用独有专利的功率转化技术，业界充电效率最高达 96.5% （业界 94% ）。 体积小高可靠：模块功率密度达到 40.8W/inch^3 ，重量、 体积较业界轻 10% ；无扇设计、 IP55 高防护等级，最高工 作温度达 75 度 21 集照明、充电、 WiFi 、安防监控、环境监控等多功能的一体化智慧路 灯 / 人脸识别 / 人员管理 / 绿色能源 / 空间管理 / 资产管理 / 园区运营管理 控 IOT 漏洞响应 现场应急响应 应急预 案演练 应 用 层 网 络 层 感 知 层 客户痛点和挑战 挑战 1 ：分布广 , 类型多 , 数量大 , 难管理 挑战 2 ：漏洞多、防护能力弱 挑战 3 : 安全攻击难发现、难响应 挑战 4 : 个人隐私泄露 , 人身伤害及财产损失 解决方案和独特性 解决方案： IoT 统一管理方案、敏感数据及隐私保护解决方案、 IoT 威胁感知解决方案、 多设备、多系统的快速接入 独特性：多平台融合和统一管理 客户价值 价值 1 ：联接：设备全联接和管理，海量（百万 + ）接入能力；上线 时间从 3 天缩短到即插即用 价值 2 ：联动：提升整个智慧园区的安防防护水平以及安全事件的处 理效率 价值 3 ： 统一 37 DaaS 平台 数据生产和加工 数据消费 数据源 园区物业 公司 IT 公司外部 商业环境 … 安防 设施 资产 办公 生产