展望2023:值得关注的十大网络安全趋势******
开栏的话:今年是全面贯彻落实党的二十大精神的开局之年。即日起,本版开设“前沿观点”专栏,翻译引介国际信息通信行业的前沿观点,聚焦信息通信领域的动态和发展,认真贯彻落实中央经济工作会议部署要求,为我国信息通信行业高质量发展作出应有的贡献。欢迎广大读者来信提出相关批评建议。
又是网络安全动荡的一年。复杂多变的国际局势加剧了国家间的数字冲突。加密货币市场崩溃,数十亿美元从投资者手中被盗。黑客入侵科技巨头,勒索软件继续肆虐众多行业。
信息安全传媒集团(Information Security Media Group)就2023年值得关注的事件咨询了一些行业领先的网络安全专家,内容涵盖了影响安全技术、领导力和监管等层面新出现的威胁与不断发展的趋势。这是对未来一年的展望。
网络犯罪分子将加大对API漏洞的攻击力度
随着组织越来越依赖开源软件和自定义接口来连接云系统,API(应用程序接口)经济正在增长。API攻击导致2022年发生了几起引人注目的违规事件,其中包括发生在澳大利亚电信公司Optus的违规事件。专家预计,新的一年网络犯罪分子会加大对API漏洞的攻击力度。
攻击者将瞄准电网、石油和天然气供应商以及其他关键基础设施
关键基础设施可能成为攻击者的主要目标。许多工业控制系统已有数十年历史,易受到攻击。事实上,此前IBM X-Force观察到针对TCP端口的对抗性侦察增加了2000%以上,这可能允许黑客控制物理设备并进行破坏操作。专家警告,准备好应对针对电网、石油和天然气供应商以及其他关键基础设施目标的攻击。
攻击者将增加多因素身份验证(MFA)漏洞利用
多因素身份验证(MFA)曾被认为是身份管理的黄金标准,为密码提供了重要的后盾。2022年发生了一系列非常成功的攻击,使用MFA旁路和MFA疲劳策略,结合久经考验的网络钓鱼和社会工程学,这一切都发生了变化。攻击者将会增加多因素身份验证漏洞利用。
勒索软件攻击将打击更大的目标并索取更多的赎金
勒索软件攻击在公共和私营机构激增,迫使受害者支付赎金的策略已扩大到双倍甚至三倍的勒索。由于许多受害者不愿报案,没有人真正知道事情是在好转还是在恶化。专家预计会有更多类似的情况发生,勒索软件攻击会击中更大的目标并索取更多的赎金。
攻击者将瞄准大型的云企业
数字化转型正在推动向公有云的大规模迁移。这种趋势始于企业部门,并扩展到大型政府机构,创造了复杂的混合和多云环境的大杂烩。应用程序的容器化加剧了恶意软件的感染,今年我们看到了针对AWS云的无服务器恶意软件的引入。随着越来越多的数据转移到云上,应高度关注攻击者是否会瞄准主要的云超大规模应用程序。
零信任将得到更广泛的采用
零信任的原则自2010年就已出现,但仅在过去几年中,网络安全组织和供应商社区才接受最小特权的概念并不断验证防御。此前,美国国防部宣布其零信任战略,这种方法得到了重大推动。随着黑客轻松地跨IT部门横向移动,组织希望实现防御现代化。专家预计零信任会得到更广泛的采用。
首席安全官将获得更好的个人保护谈判合同
2022年10月,优步前CSO乔·苏利文(Joe Sullivan)因掩盖2016年数据泄露事件被定罪,这在网络安全领域引发了不小的冲击波。刑事责任让高级安全领导者重新考虑他们在组织中的角色。首席安全官或将被提供更多人身保护的合同。
网络保险的式微将增加企业的财务风险
第一份网络保险政策是在20多年前制定的,但勒索软件攻击造成的恢复成本和业务损失呈指数级增长。事实上,大型医疗机构的损失通常超过1亿美元。因此,网络保险公司正在提高费率或完全退出该业务。网络保险的可用性将继续枯竭,增加企业的财务风险。
政府机构将对加密货币公司实施更严格的控制
一系列违规行为、市场价值的重大损失和FTX加密货币交易所丑闻使加密货币世界在2022年陷入混乱。寻求政府机构对加密货币公司实施更严格的控制,以保护投资者、打击洗钱和提高安全性。
组织将调整自身提供教育和认证计划的方式
多数大型公司多年来一直提供网络安全意识培训,但似乎并没有奏效。更糟糕的是,越来越难找到熟练的网络安全资源。未来,组织将积极寻找改变自身提供教育和认证计划的方式,着眼于更积极地学习、职业道路规划和提高信息安全人员的技能。
(作者:作者:安娜·德莱尼卡尔·哈里森 翻译:方正梁)
智慧城市建设加速释放数据要素红利******
智慧城市是数字经济的重要载体,其核心目标在于实现兴业、善政、利民。近年来,随着大数据、AI、云计算、物联网等技术日趋成熟,我国的智慧城市建设进入了高速发展阶段,形成了多个智慧城市群。
政府牵头
做好智慧城市“顶层设计”
政策扶持对于智慧城市建设推进的意义重大,国家“十四五”规划提出以数字化助推城乡发展和治理模式创新。今年的政府工作报告明确指出,要建设数字信息基础设施,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村。
2021年9月,北京城市副中心政务服务中心正式投入运行。该中心推进政务服务与5G、区块链、大数据、物联网、人工智能等技术的融合创新,配备了50多台智能政务终端设备,通过“云窗口”系统建设,以位于六里桥的北京市政务服务中心为审批总后台,打造“数据共享、信息复用、远程交互”三位一体的新模式,实现群众和企业从办事预约申报、咨询导服、受理审批,到结果反馈等服务全流程的“智能无感”新体验。
北京城市副中心政务服务中心相关负责人介绍,数字技术正广泛应用到现有政务服务场景中,办事人通过智能终端或综合窗口可完成1993个市级事项全流程异地办理,形成了“东西呼应、双子联动”的服务新格局,具有首都特色、智能高效、暖心贴心的政务服务新模式正在赋能北京城市副中心,使得营商环境不断优化、经济发展再添“翼”。
浙江省衢州市将“城市数据大脑”作为未来衢州政府数字化转型的主抓手,通过科学利用城市数据资源、算法资源、算力资源,统筹优化城市公共资源,实时补齐城市运行短板,实现“全城渗透、全层嵌入、全产业感知、全域脉动”,持续驱动数据产业创新、数据治理赋能、数据服务优化,为推动市域治理体系和治理能力现代化建设提供有力支撑。
衢州市副市长田俊表示:“通过‘城市大脑’的建设,给基层治理赋能,贯通了省市县‘一网通管’,在市场监管、应急响应、生态环保、群众文化生活建设领域实现了系统性打通。通过数字化消除传统体制障碍,形成合力,职能的下沉使基层治理达到‘最优解’。”
企业参与
智慧城市项目“遍地开花”
数据是数字经济时代重要的生产要素,如何进行安全、高效的数据交易是激活数字经济发展潜力的重要课题。中国信息通信研究院工业互联网与物联网研究所所长金键指出,智慧城市建设的重心在于充分发挥数据要素的作用和价值,将处在不同部门、不同行业、不同系统间的海量异构数据融合与共享。
作为数据和数字经济大省,广东省正在积极探索行之有效的数据交易模式。目前,广东省重点打造新型数据交易所,为市场提供安全可控的流通交易平台。
在政府的积极推动下,广东省各类中小企业、创新型初创企业、服务创新企业积极将自身的数据、服务、资产,以及算力资源等产品投入市场交易。数据交易所采用“一所、多基地、多平台”架构运营,引入央企控股及省区市龙头国企优势资源共同建设,将围绕数据交易服务、数据资产管理及增值、数据应用服务、金融衍生工具、数据企业孵化等业务打造多平台,充分发挥市场在资源配置中的决定性作用,加快释放数据红利。
随着政府关于加快智慧城市建设的政策不断出台,政策红利持续释放。各地的高科技企业纷纷响应政府号召,投身智慧城市建设新赛道。与此同时,传统企业也在积极探索“智慧转型”之路,为市场注入新活力。
浙江省宁波市正推动数字经济赋能传统城市管理改革。北仑区作为宁波市的“老港区”,城市环境卫生治理工作负担较重。北仑区通过引入具有数字化平台开发能力的国内大型环卫企业——中环洁集团股份有限公司,实现了优化体制机制整体布局,完成了传统环卫部门的“数字化”和“智能化”转型。
企业数字化平台数据接入政府数字管理平台,实现了“政企联动”“一网统管”模式,让“数字城市”发展具备更多潜力,让创新的城市管理与智慧城市发展有了更多的“适配性”,这样的运营模式为城市带来了新活力。
探索未来
智慧城市发展前景广阔
根据IDC《全球智慧城市支出指南》,2021年中国智慧城市的IT总体投资达259亿美元,年增长率15%。近年来,各地逐步加大智慧城市建设的投入力度,智慧城市发展前景广阔。
中国国际经济交流中心首席研究员张燕生指出,要探索如何将城市治理和数字经济有效结合起来,提升城市管理整体水平,以及探索数字经济赋能如何提升全要素生产率,让技术进步推动生产力的提升。
中国社科院中国城市发展研究会副理事长贺可嘉认为,下一步,智慧城市建设应该与大数据、云计算、区块链、人工智能等技术进行深度融合。从政府角度看,政府可能将逐渐主导在物理空间推动城市的智慧化工作,在元宇宙空间推动孪生智慧城市的建设工作,完成线上线下双城市的发展实践。线下智慧空间建设将打破环保、能源与机械智能化等传统科学壁垒,全方位改善城市生活环境。线上孪生城市的智慧空间将打破时间与空间束缚,让居民分享到更具层次的互动体验。
在金键看来,智慧城市建设应以促进数据要素流动为核心,从新型基础设施建设、综合服务能力提升、典型应用打造三个方面形成政府和企业共同参与的多元投资和协同联动模式。充分发挥科技巨头的技术创新能力,联合打造综合服务平台,帮助传统企业和中小企业实现数字化转型。
根据中国智慧城市工作委员会数据,2022年,我国智慧城市市场规模将达到25万亿元。随着智慧城市建设水平的不断提高,未来将有越来越多的城市实现“智能化”,从而让更多的人都能感知数字技术带来的变革、享受数字经济发展带来的红利。(经济参考报记者 孙广见 杨柳 郝菁)