大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 人员 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 ✗ 价低者中标 ✗ 部分单位租借或友情支持 ✗ 情报滞后，响应较晚 ✗ 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

监测与协同响应。二者层级互补、技术联动， 共同提升工业互联网安全防护效能。 (5) IT 技术为 OT 设备防护、控制优化提供支撑。IT 与 OT 必须融合贯穿安全建设全程，从而实现网 络协同防御、数据统一治理、应用安全延伸，有效打破技术壁垒，形成适应工业互联网特性的融 合安全能力，保障生产安全与效率。 4 目录 引言................................. 信息安全技术信 息系统安全等级保护基本要求》及其配套政策文件和标准，进行了全面的升级与优化。其核心在于针对不 同保护对象的安全目标、技术特点、应用场景的差异，融合通用安全与新型应用安全扩展要求，注重主动 防御、安全可信、动态感知和事前/事中/事后全流程全面审计，实现了对传统信息系统、基础信息网络、 云计算、大数据、物联网、移动互联网和工控信息系统等级保护对象的全覆盖。 (1) 等保 2.0 对工业控制系统提出了专门的安全扩展要求 全事件处置方面的需求，更加适配工业场景应用 和工业控制系统。 (2) 工业安全防护的重点集中在工业主机安全、边界安全和工业安全管理三个关键领域  工业主机安全要求： 一方面要通过技术手段或主动免疫可信验证机制，有效识别并阻断恶意代码入侵与病毒行为； 另一方面，对于控制设备的补丁更新、固件更新需谨慎操作，在充分测试评估确保不影响系统安全稳 定运行的前提下进行。 此外，要对控制设备的软盘驱动、光盘驱动、USB

华为云通过结合业界先进的云安全理念，华为长年积累的网络安全经验和优势以及在 云安全领域的技术积累与运营实践，参考世界领先的 CSP 优秀安全实践、摸索出了一 整套行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵 从的基础设施架构，用以支撑并不断完善涵盖了 IaaS、 PaaS 和 SaaS 等具有优良安 全功能的常用云服务。在这背后，是华为云高度自治的扁平化组织，具备高度安全意 识和能力的研发运维运营团队，先进的云服务 能化的云安全防 护和自动化的云安全运维运营体系。同时，通过对现网安全态势的大数据分析， 有目的地识别出华为云存在的重要安全风险、威胁和攻击，并采取防范、削减和 解决措施；通过多维、立体、完善的云安全防御、监控、分析和响应等技术体系 华为云安全白皮书 2 云安全战略 文档版本 3.7 (2025-05-07) 版权所有 © 华为云计算技术有限公司 5 支撑云服务运维运 务器和网络设备的管理。 华为云主要负责开发和运营其数据中心的物理基础设施，提供的 IaaS、PaaS 和 SaaS 服 务，以及各种服务的内置安全功能。华为云除了提供跨层身份认证（IAM）功能外， 还负责构建纵深防御的多层防护体系，覆盖物理层、基础设施层、平台层、应用层和 数据层。同时，还能保证运维的安全。 租户在华为云上订购的虚拟网络、平台、应用、数据、管理、安全等云服务，主要负 责定制配置和运营。包括对

3）数据治理：随着业务规模和系统规模的不断增加和扩大，为了支持海量数据 的存储、高并发访问以及保证数据的可靠性，分布式数据管理概念应运而生。同 时，传统单一、静态和被动的数据管理模式也将向全面、动态和主动模式转变。 4 企业服务概述 O v e r v i e w 01 5 ©2024.7 iResearch Inc. 融营销/智能风控… 制造类 质量控制/产品设计与开发/智能 供应链管理… 医疗类 药物研发/手术辅助模拟/医疗数 据研究分析/医疗培训… … 21 ◼ 分布式数据管理 ◼ 围绕数据全生命周期的动态防御 ◼ 人工智能与数据治理深度结合 技术侧：数据治理 22 ©2024.7 iResearch Inc. iresearch.com.cn 围绕数据全生命周期的动态防御 由单一、静态和被动模式完成向全面、动态和主动模式的转变 大数据背景下，数据的生成和处理变得日益多样化和复杂，数据安全也面临更多前所未有的威胁。传统的安全措施往往局限于孤立 的防御点、静态的策略和被动的反应，已不足以应对大数据环境中的复杂安全问题。为了有效保护大数据环境下的信息资产，安全 防御策略必须考虑到数据流动的复杂性、数据间的相互关联以

 迅速感知新的恶意站点，防止用户因访问这些网站遭受财务诈骗、私密信息 泄漏等。  基于业界领先的专业防病毒引擎，实现高达 99%的病毒检测率。  基于漏洞利用和启发式检测引擎，有效防御未知恶意软件和各种变形攻击行 为。  检测用户机器被黑客操控以及通过木马外传信息等异常流量行为，并及时阻 断。 2.4 专业报表针对性强，助力企业治理 ASG提供带宽利用、工作效率、 务器获取 organizationalUnit对象作为部门，获取Person对象作为用户，并且将导入到本地的部门保持 与AD上同样的树状结构。 从TSM导入用户时，由ASG设备通过http协议主动向TSM请求部门和用户数据。ASG与 TSM之间通讯的协议内容是使用xml封装后使用3des算法进行加密的，属于内部协议。 3.1.2 单点登录 单点技术(Single Sign On, 威胁的趋势。华为 ASG能够在最短时 间内获取最新的签名，及时地获取最新的IPS引擎，从而具备防御零日攻击的能力。 华为 ASG的恶意流量检测功能升级方式分为以下几种（与IPS签名库升级基本相同），分别 适用与不同的操作场景：  自动定时升级：更新及时，能第一时间对新产生的攻击进行防御，且不需要用户干预 操作，比较适用于能连接到升级服务器的设备。如果需要确认新下载的签名库是否安

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

优先传输。四是安全增强下的高速传输。可信高速数据网的“可信”属性，决定了 其高速传输必须在安全机制保障下进行。数据在高速传输过程中，仍需进行加密、 身份认证、访问控制。网络具备抗DDoS攻击、入侵检测与防御能力，确保高速传 输不被中断或篡改。采用零信任架构，在高速中维持高安全性。五是可扩展性与未 可信高速数据网研究报告 15 来演进能力，支持向更高传输速率400Gbps、Tbps演进，兼容量子通信、卫星互 技术方向： 接入安全推行“零信任接入”机制，基于URL/API粒度精细化权限控制，实现 应用级、数据级动态授权。构建“持续验证+实时风险评估”模型，动态最小化授 权范围，建立“永不信任、持续验证”的接入防御体系。通过行为分析、设备指纹 识别等技术，强化终端可信认证与异常行为检测，确保身份可信、权限精准、操作 可控。 数据加密采用端到端IPsecv6、量子加密等隧道加密技术，保障数据在传输过 程 据级 网络质量诉求，秘钥，数据等级和数据控制属性等信息。 可信接入：一是基于零信任理念，结合URL/API粒度精细化权限控制，实现应 用级、数据级动态授权，构建“持续验证+实时风险评估”的接入防御体系。二是 通过终端可信认证、行为分析等技术，确保只有合法用户/设备可访问连接器、数 据业务节点和流通平台，防止非法入侵和数据泄露。 数网协同：感知数据与网络基于APN-ID的标识映射，根据数据实时性要求和分

战。Verizon 发布的《2025 数据泄露调查报告（DBIR）》显示， 30% 的数据泄露事件与第三方直接相关，相较 2024 年的 15% 翻倍，软件供应商和云平台等第三方正日益 成为组织防御中较为薄弱的环节。一旦发生数据泄露，不仅会导致企业核心商业机密外泄，还可能引发法律 纠纷与监管处罚，损害企业声誉，影响客户信任，进而削弱企业在市场中的竞争力。 挑战六 . 复合型人才储备匮乏，技能提升路困难重重 综合管理体系。这一过程中，智能费控作为连接预算、审批、报销、支付与分析的关键节点，正逐步从工具型应用迈向 业务决策支持的战略平台。它不仅实现费用全流程的透明可控，更通过 AI 与数据智能，实现费用使用行为的主动识别 与风险预警，引发我们对“人机协同如何优化”、“费控的边界在哪里”、“如何将费控嵌入业务场景并反哺决策”的更深层 次思考。 本白皮书所述智能费控是指利用先进的信息技术（如人工智能、大数据、 多变的内外部环境带来的系统性风险。随着企业经营复杂度提 升与数智化转型深入，智能费控系统正加速向 “从单点防控到体系化防御” 的风险管理模式升级。即在系统 内搭建多层级、动态化的预警体系。除了设置费用阈值、异常交易等基础预警规则，还将基于机器学习算法 构建风险预测模型，主动识别潜在风险。例如，通过分析历史违规数据的特征模式，预测未来可能发生的舞 弊行为；根据宏观经济波动、行业政策变化等外部