研究機(jī)構(gòu)Gartner近日發(fā)布2024年及未來(lái)中國(guó)網(wǎng)絡(luò)安全七大趨勢(shì)。這些趨勢(shì)包括以業(yè)務(wù)為中心的安全投資、威脅暴露面管理、零信任采用、網(wǎng)絡(luò)安全平臺(tái)整合、身份優(yōu)先安全、網(wǎng)絡(luò)韌性、網(wǎng)絡(luò)安全判斷力。

　　該機(jī)構(gòu)表示，CIO需要就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及網(wǎng)絡(luò)安全項(xiàng)目的有效性和業(yè)務(wù)價(jià)值進(jìn)行有效溝通，這一能力也將有助于對(duì)企業(yè)安全控制進(jìn)行適當(dāng)規(guī)模的投資。此外，CIO還需要確定以業(yè)務(wù)為中心的安全投資的優(yōu)先級(jí)，在審查網(wǎng)絡(luò)安全預(yù)算時(shí)從業(yè)務(wù)角度論證安全投資的必要性。

　　持續(xù)威脅暴露面管理項(xiàng)目使企業(yè)或機(jī)構(gòu)能夠維持一致、可操作的安全態(tài)勢(shì)、補(bǔ)救措施和改進(jìn)計(jì)劃，以便業(yè)務(wù)高管和IT團(tuán)隊(duì)了解情況并采取相應(yīng)行動(dòng)。該項(xiàng)目結(jié)合了攻擊者和防御者的視角，最大限度地減少企業(yè)當(dāng)前和未來(lái)面臨的威脅。采用該項(xiàng)目的企業(yè)或機(jī)構(gòu)會(huì)使用工具來(lái)記錄資產(chǎn)和漏洞、模擬或測(cè)試攻擊，同時(shí)利用其他形式的態(tài)勢(shì)評(píng)估流程和技術(shù)。項(xiàng)目包含五個(gè)可循環(huán)的步驟：范圍界定、暴露面發(fā)現(xiàn)、優(yōu)先級(jí)排序、驗(yàn)證和動(dòng)員。

　　零信任是一種安全范式，可明確識(shí)別用戶(hù)和設(shè)備并授予其適當(dāng)?shù)脑L問(wèn)權(quán)限，以便企業(yè)能夠以最小的摩擦進(jìn)行運(yùn)營(yíng)，同時(shí)降低風(fēng)險(xiǎn)。零信任可以作為一種安全方式、一種戰(zhàn)略或某些特定架構(gòu)和技術(shù)實(shí)施加以應(yīng)用。

　　中國(guó)企業(yè)或機(jī)構(gòu)希望降低復(fù)雜性、簡(jiǎn)化運(yùn)營(yíng)并提高員工效率。精簡(jiǎn)供應(yīng)商數(shù)量之后，企業(yè)或機(jī)構(gòu)可利用數(shù)量更少的產(chǎn)品降低運(yùn)營(yíng)復(fù)雜性、提升員工效率、實(shí)現(xiàn)更廣泛的集成，并獲得更多類(lèi)型的功能。然而，這也可能導(dǎo)致風(fēng)險(xiǎn)集中、更高的價(jià)格和運(yùn)營(yíng)影響。但這一顧慮并不能削弱企業(yè)或機(jī)構(gòu)對(duì)供應(yīng)商整合和集成的需求。企業(yè)或機(jī)構(gòu)對(duì)提供身份和網(wǎng)絡(luò)安全服務(wù)等關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的安全供應(yīng)商網(wǎng)絡(luò)安全韌性越來(lái)越感興趣。

　　中國(guó)的數(shù)字經(jīng)濟(jì)推動(dòng)了社會(huì)的數(shù)字化變革，數(shù)字身份在人們的生活中發(fā)揮著越來(lái)越重要的作用。如今，數(shù)字身份讓用戶(hù)的個(gè)人身份不再僅僅用于自身，而是廣泛地分布于多個(gè)組織、系統(tǒng)、算法和智能設(shè)備之中。同時(shí)，管理機(jī)器可信身份也成為企業(yè)或機(jī)構(gòu)面臨的一項(xiàng)挑戰(zhàn)。

　　網(wǎng)絡(luò)韌性是指能夠適應(yīng)和響應(yīng)數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的威脅或故障的能力。具有網(wǎng)絡(luò)韌性的企業(yè)或機(jī)構(gòu)能夠在快速恢復(fù)之后，確保軟件和技術(shù)的基礎(chǔ)設(shè)施和服務(wù)是可靠、安全和可訪問(wèn)的，以應(yīng)對(duì)所有類(lèi)型的惡意或不利的服務(wù)中斷。網(wǎng)絡(luò)韌性戰(zhàn)略使恢復(fù)原則得到更有效的應(yīng)用，以最大限度地減少或消除中斷帶來(lái)的業(yè)務(wù)損失，但目前并不可能消除所有安全事件。

　　網(wǎng)絡(luò)安全判斷是指整個(gè)企業(yè)或機(jī)構(gòu)中的決策者獨(dú)立做出明智的網(wǎng)絡(luò)風(fēng)險(xiǎn)決策的能力，而不是依賴(lài)安全團(tuán)隊(duì)的決策協(xié)助。網(wǎng)絡(luò)安全判斷力不同于傳統(tǒng)的員工意識(shí)，后者通常指不會(huì)帶來(lái)業(yè)務(wù)價(jià)值的風(fēng)險(xiǎn)決策。網(wǎng)絡(luò)安全判斷力涉及存在多種權(quán)衡因素的風(fēng)險(xiǎn)決策，并且沒(méi)有單一的行動(dòng)方案。（李璇）

　　 轉(zhuǎn)自：人民郵電報(bào)