构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 5. 对监管职责和问责制度进行了明确 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 安全运营趋势：国际顶尖企业安全运营建设趋势 关键结论： CTEM是 Gartner 于 2022 年 7 月 推出的一个框架，可帮助企业持续、

大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 ：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。

监测与协同响应。二者层级互补、技术联动， 共同提升工业互联网安全防护效能。 (5) IT 技术为 OT 设备防护、控制优化提供支撑。IT 与 OT 必须融合贯穿安全建设全程，从而实现网 络协同防御、数据统一治理、应用安全延伸，有效打破技术壁垒，形成适应工业互联网特性的融 合安全能力，保障生产安全与效率。 4 目录 引言................................. 信息安全技术信 息系统安全等级保护基本要求》及其配套政策文件和标准，进行了全面的升级与优化。其核心在于针对不 同保护对象的安全目标、技术特点、应用场景的差异，融合通用安全与新型应用安全扩展要求，注重主动 防御、安全可信、动态感知和事前/事中/事后全流程全面审计，实现了对传统信息系统、基础信息网络、 云计算、大数据、物联网、移动互联网和工控信息系统等级保护对象的全覆盖。 (1) 等保 2.0 对工业控制系统提出了专门的安全扩展要求 对应指标 指标数值范围 企业数量占比 工业设备联网率 >70% 24.19% 30%-70% 51.61% <30% 24.19% 工业互联网安全建设阶段 体系化建设阶段 40.32% 主动防御阶段 16.13% 基础防护阶段 16.13% 未启动 8.06% 从整体安全投入与数据安全投入占比情况来看：整体安全投入占比超过 10%的企业占比近 20%，而 数据安全投入占比超过 8%的企业占比也达到了

华为云通过结合业界先进的云安全理念，华为长年积累的网络安全经验和优势以及在 云安全领域的技术积累与运营实践，参考世界领先的 CSP 优秀安全实践、摸索出了一 整套行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵 从的基础设施架构，用以支撑并不断完善涵盖了 IaaS、 PaaS 和 SaaS 等具有优良安 全功能的常用云服务。在这背后，是华为云高度自治的扁平化组织，具备高度安全意 识和能力的研发运维运营团队，先进的云服务 能化的云安全防 护和自动化的云安全运维运营体系。同时，通过对现网安全态势的大数据分析， 有目的地识别出华为云存在的重要安全风险、威胁和攻击，并采取防范、削减和 解决措施；通过多维、立体、完善的云安全防御、监控、分析和响应等技术体系 华为云安全白皮书 2 云安全战略 文档版本 3.7 (2025-05-07) 版权所有 © 华为云计算技术有限公司 5 支撑云服务运维运 务器和网络设备的管理。 华为云主要负责开发和运营其数据中心的物理基础设施，提供的 IaaS、PaaS 和 SaaS 服 务，以及各种服务的内置安全功能。华为云除了提供跨层身份认证（IAM）功能外， 还负责构建纵深防御的多层防护体系，覆盖物理层、基础设施层、平台层、应用层和 数据层。同时，还能保证运维的安全。 租户在华为云上订购的虚拟网络、平台、应用、数据、管理、安全等云服务，主要负 责定制配置和运营。包括对

第 1 页 第 3 页 前 言 数字可信是基于技术信任的综合安全与信任机制，旨在通过用户自主防御 与跨组织协作，持续评估各方信誉，适应开放生态系统的信任需求。随着全球 数字经济进入快速发展的关键阶段，数字技术创新持续取得突破。与此同时， 身份信息泄露、数据算法歧视、数字资产被盗等难题也日益凸显，亟需通过数 字可信技术来解决。 中国移动作为网信领域的排头兵，积极响应国家战略，勇担新质生产力国 能够提升市场竞争力，开拓新的增长空间，实现可持续发展。 第 13 页 第二章 数字可信的概念及重要性 2.1 数字可信的理念与内涵 2.1.1数字可信的概念定义 数字可信是基于技术信任的综合安全与信任机制，旨在通过用户自主防御 与跨组织协作，持续评估各方信誉，适应开放生态系统的信任需求。数字可信 在保障数据自主流动、用户协同参与和跨平台合作方面发挥核心作用，融合数 据安全与信任技术，为数字经济提供灵活且动态的信任支撑。 隐私保护：数字可信通过加密技术和隐私计算的应用，保障用户隐私 数据的安全。 2. 数字可信与数字安全 数据安全侧重边界防护和制度信任，适用于单一主体环境。数字可信依赖 技术信任，强调用户自主防御和跨组织协作，持续评估信誉，适应开放生态中 的信任需求。两者融合解决数字经济中的安全与信任机制。 数字可信和数字安全存在显著差异，主要体现在以下几点：  信任基础不同 第 14 页 数字

 迅速感知新的恶意站点，防止用户因访问这些网站遭受财务诈骗、私密信息 泄漏等。  基于业界领先的专业防病毒引擎，实现高达 99%的病毒检测率。  基于漏洞利用和启发式检测引擎，有效防御未知恶意软件和各种变形攻击行 为。  检测用户机器被黑客操控以及通过木马外传信息等异常流量行为，并及时阻 断。 2.4 专业报表针对性强，助力企业治理 ASG提供带宽利用、工作效率、 威胁的趋势。华为 ASG能够在最短时 间内获取最新的签名，及时地获取最新的IPS引擎，从而具备防御零日攻击的能力。 华为 ASG的恶意流量检测功能升级方式分为以下几种（与IPS签名库升级基本相同），分别 适用与不同的操作场景：  自动定时升级：更新及时，能第一时间对新产生的攻击进行防御，且不需要用户干预 操作，比较适用于能连接到升级服务器的设备。如果需要确认新下载的签名库是否安 ASG能够在最短时间内获取最新的病毒特征，及时地获取最新的反病毒引擎。升 级方式分为以下几种（与IPS签名库升级基本相同），分别适用与不同的操作场景：  自动定时升级：更新及时，能第一时间对新产生的攻击进行防御，且不需要用户干预 操作，比较适用于能连接到升级服务器的设备。  实时升级：当可能有新版本发布，但未到自动升级的时间的时候，可以手工进行定时 升级，优点是实时性高，且能立刻知道升级结果。

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

融营销/智能风控… 制造类 质量控制/产品设计与开发/智能 供应链管理… 医疗类 药物研发/手术辅助模拟/医疗数 据研究分析/医疗培训… … 21 ◼ 分布式数据管理 ◼ 围绕数据全生命周期的动态防御 ◼ 人工智能与数据治理深度结合 技术侧：数据治理 22 ©2024.7 iResearch Inc. iresearch.com.cn 围绕数据全生命周期的动态防御 由单一、静态和被动模式完成向全面、动态和主动模式的转变 大数据背景下，数据的生成和处理变得日益多样化和复杂，数据安全也面临更多前所未有的威胁。传统的安全措施往往局限于孤立 的防御点、静态的策略和被动的反应，已不足以应对大数据环境中的复杂安全问题。为了有效保护大数据环境下的信息资产，安全 防御策略必须考虑到数据流动的复杂性、数据间的相互关联以 这种转变，组织能 够更有效地预测、识别和抵御各种安全威胁，确保数据的完整性、安全性和可用性，支持业务的可持续发展。 来源：结合公开市场资料和专家访谈，由艾瑞咨询研究院整理及绘制。 大数据安全动态防御体系和核心治理技术 ➢ 异常数据资产监控 ➢ 数据安全态势感知 数据生命周期 动态防护 控 监 管 评 梳 溯 ➢ 数据安全效能评估 ➢ 安全策略动态调整 ➢ 数据流转实时溯源 ➢ 数据共享贡献度评估

优先传输。四是安全增强下的高速传输。可信高速数据网的“可信”属性，决定了 其高速传输必须在安全机制保障下进行。数据在高速传输过程中，仍需进行加密、 身份认证、访问控制。网络具备抗DDoS攻击、入侵检测与防御能力，确保高速传 输不被中断或篡改。采用零信任架构，在高速中维持高安全性。五是可扩展性与未 可信高速数据网研究报告 15 来演进能力，支持向更高传输速率400Gbps、Tbps演进，兼容量子通信、卫星互 技术方向： 接入安全推行“零信任接入”机制，基于URL/API粒度精细化权限控制，实现 应用级、数据级动态授权。构建“持续验证+实时风险评估”模型，动态最小化授 权范围，建立“永不信任、持续验证”的接入防御体系。通过行为分析、设备指纹 识别等技术，强化终端可信认证与异常行为检测，确保身份可信、权限精准、操作 可控。 数据加密采用端到端IPsecv6、量子加密等隧道加密技术，保障数据在传输过 程 据级 网络质量诉求，秘钥，数据等级和数据控制属性等信息。 可信接入：一是基于零信任理念，结合URL/API粒度精细化权限控制，实现应 用级、数据级动态授权，构建“持续验证+实时风险评估”的接入防御体系。二是 通过终端可信认证、行为分析等技术，确保只有合法用户/设备可访问连接器、数 据业务节点和流通平台，防止非法入侵和数据泄露。 数网协同：感知数据与网络基于APN-ID的标识映射，根据数据实时性要求和分