2021网络安全前瞻调研 报告 网络安全 | 为未来赋能您的 员工 34摘要洞悉网络安全的复杂性 56数字化转型网络安全及转型挑战 79客户体验个性化体验甚或侵犯权益？合乎道德地使用个人数据 1011零信任保护没有边界的网络世界 1213新兴技术连接新兴技术领域 1415着眼行业网络安全没有万能的解决方案 1617结语深度洞见 调研方法 德勤 2021网络安全前 瞻调研报告 由德勤与 Wakefield Research于 2021年 6月 6日至 8月 24 日间联合开展， 采用 线上方式就网络安全 问题访问了近 600位 首 席 高管，其中包括约 200位首席信息安全官、 100位首席信息官、 100位首席执行官、 100位首席财务官和 100位首席营销官，他 们均来自年收入不低 于 5亿美元的公司。 网络安全前瞻调研报告 2 收入减少 监管罚款 名誉损失 14% 17% 知识产权盗窃22% 对人才留用的 负面影响16% 股价下跌19% 运营中断32% 领导层变更17% 其他3%17% 客户信任流失 / 负面的品牌效 应 当前情况 当下，企业为保持竞争力 ，采用融合自建基础 设施与混合 IT架构，并与第三方云供应商开展 合 作等一系列信息技术举措。这些复杂的集成环 境需要 不同 于传统内部 IT架构的新型管理形式。 受访的大多数首席信息官和首席信息安全官 （ 41%）表示，如何转型以及了解日益复杂的 混合生态系统是其面临的最大挑战。 新冠疫情不仅造成市场压力，还宣告着 远程 办 公时代的到来。 无论大型还是小型企业， 都在 迅速 变革工作环境，随之而来的就是网络攻击 面大大 增加， 但企业往往 很少甚至没有时间考 虑安全问题。毫无意外，攻击 事件频繁发生。 69%的受访者称在 2020年初至 2021年 5月的期间 ， 其企业受到 的威胁有所增加或显著增加，各行 业和各地区均是如此。在受访的 全球首席高 管 中，有 32%表示运营中断是最大的影响，其次是 知识产权盗窃（ 22%）和股价下跌（ 19%）。 尽管风险环境日益严峻，数字化转型和迁移 上云仍是客户的首要任务。数据在 企业内的 流动，它 不仅仅能提高效率，还能推动新的 价值创造方式，连通各业务线并丰富客户体 验。我们的调查数据凸显了数据 迁移的特点 - - 94%的受访首席财务官表示他们正考虑将其 财务系统或企业资源规划（ ERP）系统迁移 上云。 洞悉复杂性 当下，我们生活在一 个 网络 无处 不 在的世界，其中，数字化转型持续 加速，远程办公日趋普及。科技创 新及其驱动的创新文化，似乎已远 远超出我们能够认知、衡量并应对 这些成倍增长的风险的能力。 85% 年收入在 5亿到 300亿 美金之间 在 1到 20个国家运营 87% 40%位于美洲 28%位于欧洲、非洲和 中东地区 32% 位于亚太地区 公司总部 网络事件的最大影响 * *受访者最多可选择两项答案，因此各选项的百分比加总超过 100%。 3 持续验证，从不轻信 在 被问及管理企业网络安全的最大障碍时，受 访者将跨越复杂边界的数据管理排在首位 （ 44%），其次是更好地划定企业网络风险的 优先顺序（ 31%）。所幸的是现在部署零信任 方案（ Zero Trust）已然可行，使用基于持续 风险评估的实时访问决策替换简单的实体验证。 在实施过程中，它是对当今网络生态系统网络 边界模糊的有效应对，认为架构内每个组件都 有弱点，每一层设施均需要保护。 得益于近期计算能力的提升，企业中零信任 架构的出现和采用到企业中广泛的文化变革， 揭示了网络安全的角色如何转变，其重要性 如何提升。零信任不仅仅是一种技术修复， 它是一套相互交织、洞悉敌对活动及相关业 务风险、并变革于消减风险的方案集合。这 种洞察需要 IT部门和业务部门之间的协调， 以及整个企业的安全意识提升和培训。 摘要 “我们正处在转型和快速发展 的时期。企业面临的最大两项 挑战 分别是混合 IT架构和转型。 这将创造一个更加多元和复杂 的环境。如何实现更多的可见 性，尤其是对云部署，是企业 的当务之急。” 德勤全球网络安全服务 领导人 EMILY MOSSBURG 重构网络防御 黑客变得越来越老练，也越来越了解资产的市场价值 无论 是医药知识产权、工程和产品专利、客户或其他关键数据 企业将继续增加其网络防御预算。在总年收入超过 300亿美元 的受访者中，近 75%表示，今年在网络安全方面的投入将超过 1亿美元。 随之而来 的挑战即是，如何确保这些投入 能够提高在 日益复杂的混合网络 生态系统中被放大的风险的透明度 。除获得技术和 经验 外，还要求企业进 行组织变革，以推动从企业到合作伙伴和第三方供应商的有计划的治理。 技术 在发展，首席信息安全 官的职责也在改变。随着网络在企业中蔓延渗 透，必须重新定位首席信息安全官在企业架构中的位置。除简化汇报线外 ， 增进与 首席执行官的关系也有利于加强首席信息官对业务优先事项的理解 并及时捕捉创新 。 首席信息安全官，这一新的运营角色在企业内更高的参 与度，能够确保网络安全团队将必须满足的要求、技术方案和控制措施完 全嵌入到创新举措中。 这 不仅在一开始就将风险降到最低，还能将产品和 服务开发的整体风险降到最低 。 鉴于网络安全对企业深度文化 影响，因此我们今年将调研范围从直接监管 网络安全的负责人 扩大到 网络安全的最广大的拥护 群体 ： 首席执行官、首 席财务官、首席营销官、首席信息官以及首席信息安全官。他们的观点彼 此相似，但在不同地区和行业还是存在差异。 展望未来 尽管 没有简单的组织或技术解决方案 能够洞察支撑现代企业日益复杂的集 成网络生态，但是 ，却有许多组织、文化和运营方面的措施，一旦结合使 用， 可以促使企业 将 网络安全嵌入 其业务举措和企业文化的核心，嵌入其 不断发展 的技术生态系统 。 下一代技术发展将继续打造更加互联互通的世界，在此次报告 中，我们探 索了其中部分措施并强调 了企业洞悉现时技术复杂性和未来技术变革能力 的重要性 。 摘要 4 1% 其他 16% 数据分析 15% 云技术 15% 新购或升级 ERP 系统 14% 运营技术 /工业控 制系统 13% 物联网 12% 区块链 /加密 货币 14% 人工智能 /认知计算 “公司高管和董事会成员 的主要目标 必须是充分了 解数字化转型给公司带来 的实际风险， 能够与所 有其他类型的风险一样同 等地管理此种 风险。” 德勤网络安全服务全球网 络战略及转型领导人 MATTHEW HOLT 认知 网络风险 由于网络威胁会影响整个企业，可能使业务瘫痪并迅速摧毁来之 不易的声誉，因此董事会务必要以他们能够理解的方式评估网络 风险。他们需要将网络威胁与其擅长处理的风险进行比较，熟练 分析网络风险情况，就像其了解资产负债表的健康情况一样。 一旦 他们能够理解其所面临的网络风险的性质和规模，他们才知 道如何分配资源才能最好地减轻风险 。 此次 调研发现， 41%的受访者使用网络成熟度评估指导网络投资 决策； 35%使用风险量化工具； 23%称其依赖于公司网络领导层 的经验。当被问及对新的和 /或现有应用程序进行风险分析 /威胁 建模的频率时， 37%的首席信息官和首席信息安全官表示他们每 季度进行一次， 29%每月进行一次。尽管这些评估通常属于首席 信息官和首席信息安全官的职责范畴，但更多的利益相关者也务 必要了解这些工作的相关性和重要性。 网络安全及转型挑战 在任何行业，保持竞争力都需要快速开发新产品和 服务并推向市场。 创新型业务模式不仅仅是简单地将现有 流程数字化，其正在覆盖供应链并打造 新颖的客户体验。这种转型也使企业面 临新的网络风险，要求企业采用新的网 络战略保护不断发展的业务模式。为管 理这些风险，公司高管和董事会成员需 拥抱变革，实施跨业务线的有效治理 ， 并演进风险 管理流程以实现对所有新接 入业务的端到端可见度洞察，也包括由 第三方承接运营的业务 领域 。 能否成功 取决于企业高级管理层的承诺 ， 以及在 网络安全方面有效投入的同时，他们理 解网络安全风险的能力 。 在被问及如何对其未来一年的数字化转 型举措进行排序时， 16%的受访者将数 据分析列为首要任务， 15%选择云技术， 另有 15%选择 新购或升级 ERP系统 。在今 年的调研中 ， 增加了 OT/ICS（运营技术 /工业控制系统）的问题以及回应选项 （ 14%认为其是首要任务），这表明整 个行业正在努力实现工厂和运营技术环 境的数字化和 现代化 。 真正具有颠覆性的是变革的速度和规模。 新冠疫情爆发后，整个世界都转向线上活 动，这种颠覆立刻变得更加明显。随着企 业大量员工远程协作，所有企业部门几乎 立刻转型。所幸大部分所需的生态系统， 从云到 Shadow IT (影子 IT设施 ) 到 ICS （工业控制系统），均已就位并准备好迅 速扩张。但不太明显的是这种转变背后存 在着网络风险，目前很少有企业掌握识别 并缓释网络风险至可接受水平的的方法。 企业数字化专项举措 优先级排序 数字化转型 5 构建合适的网络安全团队 期望董事会成员或首席高管成为网 络安全专家并不 现实 。 但 他们却可 作出招聘决策，组建网络 团队 ，帮 助其了解网络安全问题， 并 以其能 理解的方式提供相关信息 。 10% 物联网 10% 云迁移与整 合 12% 数据安全 11% 应用程 序安全 11% 基础设施 安全 10% 事件响应 /灾 难恢复 13% 威胁探测与监控 12% 网络转型 11% 身份解决 方案 全速前进？ 面对规模竞争的压力，企业领导人 通常过于关注数字化转型的结果， 而无法充分考虑网络安全的风险。 这种情况下，就算击败竞争对手， 也会产生具有明显盲点的隧道视野 效应。 随着 网络安全问题渗透 到从客户触点 到智能 工厂以及员工 的远程设备的各 个角落， IT部门的职责不再局限于 管 理防病毒 软件和 密码安全， 它不仅要 保持网络运行，更需要更广泛、更深 入的思考。 目前，首席信息安全官 需要获得授权 去 影响所有业务线 、收集整个企业范 围内的信息 并与董事会和高级管理层 直接对话，还要投入资源和 人力充分 保障企业最重要的战略重点和资产。 这在面对首席财务官时很难说清楚，因为对 大笔网络安全投资的 结果通常是毫无结果。 这也意味着零网络事件是花费很多的。那么， 首席信息安全官该如何规划其网络安全预算？ 2019年，首席信息安全官和首席信息官表示 他们的网络预算平均分配给各个网络安全项 目。 2021年，这一情况并未改变，受访者再 次表示网络安全预算进行了类似的平均分配 。 首席高管应认识到，管理网络风险没有一劳 永逸的解决方案。 因此， 网络安全预算 正在增加，着重倾向于 威胁情报 、 监测和 监控、网络 转型以及数据 安全。在全球范围内，首席信息安全官和首 席信息官正不断投资于云上规模化网络解决 方案；网络 /技术韧性；人工智能驱动的威胁 评估和识别，以构建企业的网络防线。 企业 以近乎平均 的网络安 全预算 分配应对 各领域的 风险 数字化转型 6 85% 是 11% 否 4% 不知道 / 不确定 个性化体验甚或 侵犯权益 ？ 合乎道德地使用个人数据 我们都期望个性化、有针对性的体验，从食品配送到出差旅行和医疗保健的 一切都能基于我们过往的互动轨迹。 我们不希望 自己总有被 营销人员跟踪的 感觉，无休止的硬塞一些我们不感兴趣的优惠券。 公司如何管理客户数据， 在 保护隐私的同时实现在线连接和个人体验， 可能是盈利或亏损，乃至能否长期存续的差异因素 。 您是否能衡量并证明对全球数据隐 私条例的遵守情况？ 隐私设计 对于每一个面向客户的项目，务必要在项目最初 考虑隐私和安全。反思与客户建立这种程度的接 触度对业务模式的重要性，并仔细思考提供恰当 服务水平所需的信息类型以及此等信息谁可以访 问、如何储存和保护方式。在问到首席营销官是 否能够衡量并证明对全球数据隐私条例的遵守情 况时，绝大多数受访者（ 85%）回答可以。 避免 数据膨胀 仅仅 收集大量 数据希望未来 有用，这是对资源的浪 费并可能导致失败。若客户没有看到明显的好处 ， 他们是反感提供个人信息的。 收集并有效使用个人 数据 打造 真实 、个性化和人性化的体验将推动企业 发展。但另一方面，所拥有的数据越多 ， 面临 的 风 险也越多。关键在于如何平衡。在被问及 是否收集 个人数据时，受访的首席营销官中有一半表示收集 数据打造个性化客户体验更为重要，另一半则表示 不收集个人数据以防数据泄露更为重要。 客户体验 7 51% 极 好 还行 40% 有待提高 9% 价值与信任 如今，人们意识到其个人数据拥有内在价值。 他们将交出个人数据视为一种投资，并想要 知道有何回报：提供个人数据应使生活更加 便利。像任何有价值的东西一样，个人数据 必须安全可靠。同时，人们对机构提出更多 要求 ，谋求选择如何及何时使用其个人数据。 当公司可信的兑现他们的承诺时，客户关系 会加深。 客户 行为反映出他们对公司的信任程度。高 信任分数与回头客密切相关 当客户认为 公司诚实可靠 ，他们的复购率会上升 540%， 此外，还会在社交媒体上强烈 支持。 因此， 受信任企业的表现大大优于其他 企业，例如 ， 受信任企业在过去一年的抗风险能力高出两 倍 。 根据 我们的调研， 91%的首席营销官认为其 企业“极好”或 “还行” 地平衡了收集数据 和建立信任。如此高的信任度让人不禁要问， 其他首席高 管也这么认为吗？这当然 表明首 席高管间需采用协同方式， 以确保盲点不会 被忽视 。 道德监管 消费者越来越愿意购买有绿色环保产品公司的 产品，并积极响应社会问题。同时，他们也担 忧公司如何使用其个人数据。 传统 而言， 公司听从监管机构的指引哪些 该 做 哪些不该做。 虽然遵守世界各地的各种法律至 关重要，但如果无法解释分享数据的目的，仅 仅假设人们愿意分享个人数据已远远不够。另 外，解释要使用通俗易懂的语言 。 无论 公司 处于哪个地区， 那些将 信任植入公司 DNA并清楚地 传达愿意 遵守客户 隐私权保护的 公司将得到客户的忠实拥护。 公司应编制简洁 明了的用户协议，便于用户访问、删除或迁移 其个人数据。 当 客户看到 公司认真考虑数据 政 策 并公开数据足迹时 ，他们更愿意与公司分享 数据 。 以隐私 设计开 始 使用所收 集的数据， 不收集不 需要的数 据 打破孤岛， 使信息变 得可访问 并可在企 业中自由 流动 建立无 缝体验 并坚守 诚信 如果 /当发 生数据漏 洞 ，则利 用这个契 机从错误 中学习并 建立更多 的信任 让信任成为指明灯 阐述您试图打造的客户体验场景，以及为此所需（和不需要）的数据。企业中 的相关主体都对建立客户信任负有责任。 让公共 关系部 门参与 所有工 作 *Deloitte HX TrustID research， 2020年 10月至 2021年 6月 客户体验 您认为贵公司营销部门在收集数据和建立客户信任之间的平衡如何？ 0201 03 04 05 06 8 阿根廷 澳大利亚 巴西 中国 法国 德国 印度 日本 英国 美国 从不参与 每半年一次每年一次 不定期每季度一次 每次 100% 56%33% 11% 13%50% 38% 75% 25% 75% 5%21% 33%67% 100% 10% 40% 62% 33% 5% 50% 42% 47% 11% “客户不会像企业那样 从隐私、安全和身份等 方面担忧其数据使用， 而是会想该公司是否 考虑到了我的最大利益？ 他们使用我的数据是对 我有利还是对他们有利？ 他们是否在竭尽所能地 保护我的个人信息？ ” 德 勤 网络安全服务全球 数据与 隐私保护领导人 ANNIKA SPONSELEE 关于数据泄露 尽管各企业采取 了最高级的防范措施，数据泄露事件 仍层出不穷。明智的做法是 警惕数据泄露随时 可能发 生，并未雨绸缪。措手不及只会让情况变得更糟。您 的事件响应 态度 将诠释贵司品牌的声誉。 您应与您的 网络安全团队一起开展事件响应计划演练和 数据 泄露 场景测试 ， 并协力制定恢复计划和相关沟通策略 。 根据我们的调查，各首席营销官表示正全力协作其网 络安全团队， 其中 46%表示他们会每季度参与一次此 等计划和测试。全球响应程度不一，较之于其他国家， 阿根廷、德国和澳大利亚的首席营销官与其网络安全 团队的协作程度更高 。 当发生泄露事件时，您有义务将所发生情形充分告知客户。清楚地 向客户简述您所采取的响应举措，并选择最恰当的信息传递方式： 是否有必要由首席执行官亲自 致函，公司提供礼品或 给予其他补偿 ？ 即使 事态严峻，沟通得宜也可以加深与客户的关系。将客户利益放 在首位，处理好棘手情况，可以帮助您的声誉迅速反弹，并取得客 户更深的信任 。 打破数据孤岛 首席 营销官和首席体验官往往先根据品牌和营销要求制定决策，最后才与首 席信息安全 官确认数据收集得当与否（ 通常答案为“否”）。不同团队对数 据收集持不同看法。一个团队认为其工作需要收集尽可能多的数据，而另一 团队认为只需收集必要的数据并加以保护。而最佳实践 是 协力 研究 如何在 收 集用以提供 无缝体验所需信息的同时，尽可能 地降低公司 及其 客户所担风险。 在利用 数据将客户 体验点连接起来之前 ，企业应有将数据孤岛链接的 人才。 反之，在设计隐私政策和沟通机制时 ，企业也 应引入市场营销人才。这对 品 牌营销和 信息传递而言日益重要，而他们可以提供帮助。 您多久参与一次 贵企业 的网络安全事件响应计划和测试？ 客户体验 9 “当前存在一种误解，即认 为采用零信任理念需实施大 规模的淘汰和取代计划。 其实退一步，战略性地考虑 采取迭代和增量法来实现你 的目标状态，这点至关重 要。 ” 德勤网络 安全 服务美国零 信任安全 架构领导人 ANDREW RAFLA 72%的受访者表示，其 所在企业仅 在去年就经历了 1至 10起网络攻击和数据泄露事件 。 如今企业面临的挑战 是 “如何 才能完全消除固有的信任”？这对 我们如何建立 现代安 全架构而言是一次颠覆性变革。幸运的是，零 信任安全 架构能够满足要求。 保护 没有边界的 网络世界 在 传统 环境中， IT资源均包含在明确 的 网络边界内。外部流量 不得信任，而所有内部流量得以信任。现在呢？我们生活在 一个高度互联的世界，一切事物的联系都日益紧密。对于大 多数现代企业而言，网络边界基本上已经消失。 数字化的快 速发展导致 IT 的复杂性和 成本提高。 如今 ，移动办 公人士日益希 望能够不受地 方和设备限制 开展工作。 数字产品和 服 务的发展转向 云端。 对更优质便 捷的业务协 作和供应链 集成的 需求。 攻击方变得 更 加 老练 ，能够 入侵当前的 网 络防御 系统。 实时访问控制 终于，我们有计算能力和技术进行基于风险的访问控制实时动态 决策。 实时访问控制不再 采用 二元法 ： 允许或拒绝。 每个连接请求都将根据一组上下文因素进行验 证，从而得出基于风险的访问决策： 源连接是否来自经认证和授权的用户 ？ 它是否来自已知且安全的设备 ？ 该用户是否经常从该地理位置进行连接 ？ 连接时间 与该用户 历史记录是否一致？ 是否 存在其他 应在授予访问权限之前加 以 重视的信号或威胁情报？ 01 02 03 04 05 关于零信任 零信任并非一种技术或单一的解决方案，而是一套基于“持续验证，从不轻信”这一 基本原则的安全架构策略。其理念是将传统的基于边界或“城堡与护城河式” 的安 全管理方式，转变为按需在单个资源与客户之间构建信任的安全管理方式。在零信任 模式下，用户将基于经不断重新验证的内外部因素建立可信连接。 是 什么推动了向零信任的转变 ？ 零信任 10 巨大优势 通过 降低运营复杂性和简化生 态系统集成，它可以： 改善客户体验 提高业务敏捷性 提升业务弹性 减少威胁面 实现成本节约 优化 与业务合作伙伴的协作 加速 上云之旅 网络卫生 转型与混合 IT 网络安全人才 限制 影子 IT 26% 41% 20%13% 踏上零信任之旅 大多数企业已经有意或无意地走上了 “零信任”之旅， 所采用 方法因战术、架构或战略的主导程度而不同。虽然零信任适用 于所有行业和领域，但并不能提供一个 “万能”的解决方案。 零信任是一项历时多年的倡议，是一次打破业务、 IT和各网络 领域之间数据孤岛的变革。任何零信任之旅都将面临荆棘阻碍， 需要 整个 企业 给予 强有力的领导层支持、投资和认同才能确保 成功 。 您需要考量 与企业相关 的业务驱动因素、现有功能和用例。牢 记网络安全基本原理至关重要：您想要保护哪些资产？这些资 产在哪里？谁（身份）和哪些（设备）应能够访问这些资产， 且须满足哪些条件？要回答这些问题 ， 企业需确定执行 IT资产管 理和数据治理功能的优先顺序，以了解自身资产和数据的类别 和重要性 并由此创建 访问控制 策略 。 然后确定您的目标并 将其嵌入端到 端策略， 这是实现所期望业务成果的最可靠方法。 然而，这并非易事。受访者纷纷表示“数据管理 /边界和 复杂性 加剧” 是 在 企业 在网络 安全管理中面临的最大挑战 。 零信任不仅仅是一项技术解决方案，更是一次文化变革。其对 整个企业的 影响不可小觑。沟通、员工专业培训、认知和运营 流程调整 等 软 因素 是取得成功的关键要素。总而言之，此等计 划需要结合所有利益相关者的承诺 以制定 与业务契合的战略， 以及强有力的领导、专用架构、技术工作组和可落地试点计划 的支持。 前行之 路 科技巨头正引领零信任的成熟度之旅，并应用这些 原则开发 、 运营和 提供安全服务。 其他领先企业正采用零信任战略以支持 业务优先事项、数字化转型和企业风险战略。在对自身架构进 行现代化升级时，了解领先企业如何创新及实现规模化部署也 有助于您加速数字化转型。毋庸置疑，变革已然开始。您越早 开始向零信任过渡，此次旅途就越安全。最好是坐在驾驶 座里， 决定您的目的地 实现零信任正当时宜。 现状 本 报告概述了首席信息 官和首席 信息安全官在企业网络风险管理 方面所面临的挑战。其中最大的 挑战是 转型与 IT混合架构中的网 络安全清洁、 人才限制和影子 IT设施时代的到来。 随着数字化 转 型加速，这些挑战只会变得愈发复杂。我们必须重新构建能够 支 持加速数字化转型的 安全架构。现在是行动的时候了！ 以下 哪项是贵企业在 基础 设施网络 安全管理方面所面临的 最大 挑战？ “ 是时候充分利用零信 任原则，构建能够跟上 并实现数字化转型的现 代安全架构了。 ” 德 勤网络安全服务全球零信任 安全架构领导人 MARIUS VON SPRETI 零信任 11 “许多企业忽视了连接 其环境中现有 技术设备 所 带来的风险。整个生 态系统 的受攻击面正在 增加。 ” 德 勤网络安全服务全球网络新 兴技术领导人 DANA SPATARU 服务和功能的可用性 内部业务考量 合规遵从能力 加强隐私能力 提升安全能力 64% 59% 50% 45% 31% 连接新兴技术领域 大众 目光往往聚焦于量子计算、 5G和数字孪生等前 沿技术，但在制造业应用了数十年的既有技术（如 运营技术）也属于新兴 技术范畴 。 无论一项技术是全新问世或是部署已久，“新兴”是指它与互联网的连接， 也指现实世界与数字世界以几乎任何可以想象到的方式实现互联。我们正 见证一场彻底颠覆医疗设备、交通运输及农业等各个行业的数字化转型。 数字化转型不仅改变了几乎所有事物的制造及使用方式，也带来了前所未 有的安全 风险。 首席 信息官和首席信息安全官对未来 三年将推动 其采用新兴技术的因素进 行了排名 ，提升安全 能力位居榜首（ 64%），其次 是加强数据 隐私能力 （ 59%） 和合规遵从能力 （ 50%）。 以下哪项因素将推动您采用新兴技术 ？ *受访者可多选适用答案， 因此各选项的百分比加总超过 100%。 新兴技术 12 “尽管人们普遍认 为，近期发生的重 大网络攻击事件是 复杂性日益提高所 导致的结果，但实 际上大多数网络攻 击的发生都是由于 缺乏基本的安全控 制 和网络安全 清洁 计划。 这并不复 杂。 ” 德 勤网络安全服务全球 网络新兴技术领导人 DANA SPATARU 新兴技术 的四大支 柱 互联产品 智慧城市 5G 网络安全 运营 技术 （ OT） 虽不见，但相连 小型 全数字化 实体仍可从 单一视角监控网络风险。但在短期内， 此举对于拥有复杂互联生态系统的大型实体而言已不可取 。对此， 解决 办法是让各方明确其权限下运营流程的安全责任和问责机制。 即使没有 整体视角， 但当各方均高效负责其生态系统的一环，提 高其安全性，则整体风险自然降低 。 各 企业 达成整体安全目标 的速度因技术类型及其复杂性而异，但 核心理念是有效涵盖安全基本要素并安全地共享信息。现在，解 决办法很简单。从长远来看 ，企业应 牢记，各区域之间若能保持 流程一致，将大大提高效率和效果。越早达成一致性，就能越快 达到更高的安全成熟度。集中式和分散式模型均能奏效，但它们 最终应该合并为一个综合网络风险视图。 业务核心 从 治理角度来看， 新兴 技术栈 或将十分复杂 ，应委任安全事宜的 负责人 ， 得到董事会 的认可和 支持，不仅 有助于 获取和 管理技术 ， 还有助于建立正确的 战略合作伙伴关系。与传统 IT不同的是，新 兴技术与核心业务紧密相连 ，得到高管支持将变得更加容易。 举例 而言，如果一家制造企业 的 OT设施遭遇 网络攻击，人们很容 易看出该问题将很快超出首席信息安全官的解决范畴。随着生产 陷入停滞，运营主管即刻便感到担忧，收入损失会令首席财务官 和首席执行官感到头疼，负面 报导亦会令首席 营销官感到困扰等 等。 安全即资产 上述情况说明， 新兴 技术使企业业务管理者对网络安全的影响显著提升。 当前市 场环境日益互联， 若首席执行官 想 要提升产品销量， 构建安全机制可令其产品更 具竞争力。企业应 将对安全机制的关注重点从 成本增加转向价值 创造 ，这将开启 如何减少业务中断以推进改进流程的对话 。当然 ，安全机制是必要的，尽管它是 讨论基础 ，但它也是 次要 论题 。 互联互通不断加速 传统上 与互联网隔绝的运营技术（ OT）领域最近经历了一波又一波的勒索软件 攻击。随着越来越多的公司选择远程管理厂房和设备，此等攻击对生产的直接 影响引起了人们对互联脆弱性的关注，而新冠疫情更是 使得这一情况 加剧 。 重要的是 要 清楚 ， 所有的互联生态系统 医疗设备、汽车乃至整个城市 都 有类似的风险特征。医疗设备可能 是基于医院 原有的内部平台而造，而现在借助 互联网便可在家使用。经互联赋能的电动汽车有望在全球范围内迅速取代化石燃 料汽车 。互联 汽车需要分散于各地的众多供应商提供零部件，但这些供应商可能 并未在其零部件中内置安全机制。随着城市大力推动服务与关键基础设施互联， 其与云服务供应商、平台所有者等众多第三方合作亦是势在必行。上述情形均会 导致互联生态系统的受攻击面增大、风险倍增以及责任不明等情况发生。 德 勤 网络专注 于 以下 新兴技术特定领域： 这 四大领域涵盖 了我 们在实践中遇到的 绝 大多数场景 13 新兴技术 13 “对领导层而言，在计划 变革之初便将网络安全纳 入考量范围至关重要。哪 些数据和资产是变革的一 部分？企业需要哪些技术 来保护它们？ ” 德 勤全球客户与行业领导人 SIMON OWEN 没有万能的解决方案 董事会、管理层以及 网络风险管理者纷纷表示，网络风 险一直是各行业中排名前三的企业风险。所有行业愈发 意识到知识产权和客户信任的脆弱性。 各行各业正纷纷踏上数字化转型之路，而围绕网络安全和诸多地域及其他因 素的监管成熟度仍有参差。虽然疫情期间涌现出许多共同主题，如供应链安 全和远程办公加速了对零信任安全架构的需求，但目前尚无可适用于所有行 业解决网络挑战的万能解决方案 。 无论企业路在何方， 保持对某些日益关键的领域的关注至关重要。为应对无 处不在的网络威胁，许多政府正加大监管力度，部署前沿安全措施已是势在 必行。在 法规还没有涉及的领域 ，技术的日益互联和个性化也迫使生态系统 在安全基础上重新构建。最后，意识到所有行业的脆弱性可以 促进信息共 享 适应和学习其他行业 的做法将变得愈发重要 。 监管激增 网络 攻击已经导致某些行业的监管 部门频繁出台新政。 2021年 5月，美国东 海岸最大的成品油管道运营商 Colonial Pipeline遭遇勒索软件攻击，该事件 催生出一项要求能源公司加强网络安全的新行政指令。 在 能源资源和工业（ ER&I）领域，升级网络防御的紧迫压力与其他 长期 行政指令 （如 脱碳） 并存 。例如：由于时间紧迫， 美国近期修订的 2035 年目标 能源领域的转型 将利用大规模的数字化加以实现。这包括 转向 5G和部署一系列互联技术 ，而这些技术本身也对 网络安全 提出更 高 要求。 从 Colonial Pipeline遭遇 勒索 软件攻击事件中汲 取的教训 主动 制定危机应对计划。为包括网络事件在内的技 术中断情况做好准备： 确认 可能成为攻击目标且对运营至关重要的 资产 对关键系统和 运营 技术（ OT）网络进行划分 加速采用零信任安全 架构 增加业务弹性：将安全响应与安全防御及检测并 重 主动 出击。主动威胁追踪、机器学习和自我修复系 统等现代安全原则可助力您主动出击，对抗网络安 全威胁。 着眼于行业网络安全 14 “ 无论生命科学机构 、 大型银行还是能源 公司 ， 其真正面临的难题是选择关注重点 。 绝对安全是 不切实际的幻想 。 领导层必须 就如何划分资产的保护优先级做出基于风 险的明智决策 ， 并果断行事 ， 然后不断地 重新评估这些决策 ， 因为 企业 内外 的环境 并非一成不变 。 ” 德 勤全球客户与行业领导人 SIMON OWEN 个性化服务越多，风险越高 在 生命科学与 医疗领域 ，一种与患者直接交互的新型医疗服务模式正推动加强网络安全 的需求。医疗服务提供商为监测患者的治疗进展，以及生命科学公司为提供以患者为中 心的服务，他们使用远程设备和应用程序以改善健康结果，此举引发 了人们对 数据和隐 私保护的担忧。 这种 对应用程序的监控和使用可以快速 积累汇集 数据 ，赋能企业创建基于云的数据湖以 收 集有用信息， 从而优化研发、治疗与支持以及产品发布流程并提升 患者便利性。 这些技术 进步均可能带来网络安全威胁。生态系统的设计和构建需要考虑到数据的保护、加密、匿 名化处理以及防止泄露。 总体而言， 比起应对各地区不同监管要求这一难题，全球生命科学公司更担心遭遇网络 攻击 。 对于企业而言，与客户沟通过程中建立并维持客户信任非常重要；对于业务而言， 保护知识产权亦是至关重要 。 知识 共享 无处 不在的网络威胁和疫情期间暴露出来的安全隐患改变了行内 的信息共享 方式。尽管 遭遇网络攻击事件必然会导致声誉受损，但有企业认为主动公开事件详情也具有价值和 意义，可以补救并修复品牌声誉。企业已经意识到，闭口不谈网络安全不仅不会带来竞 争优势，甚至还可能危及整个行业 。 各国政府已经认识到采取集体防御的重要性，并帮助建立了旨在共享信息 的 公共 的 /私 人 的 合作 伙伴关系（如美国成立了信息共享与分析 中心 (ISACs)） 。其次，各大企业首席信 息安全 官 期望 相互 学习。虽然他们更多是与同行交流， 但无论是金融 服务、石油 天然气 行业，还是生命 科学、制造业 等行业，均开始出现跨行业交流 。此外，拥有丰富的经验 的首席信息安全官们也经常从一个行业投身到另一行业 。我们 希望在不久的将来看到更 多跨行业和地域的交流与分享。 着眼于行业网络安全 15 世界风云变幻。 混合办公模式正在成为 “新常态”， 云部署对 各大 企业而言日益 重要 ， 设备 和 应用程序互联互通不断 加速。 除了 在网络边界 不明的生态系统中争取更大 的可见度， 我们别无 选择。无论是业务中断、声誉受损还是股票估值缩水，所引致的 风险都过高。正如复杂性是问题所在，解决方案也绝不简单。 责任上达 显而易见 的是，未将网络安全纳入业务的企业 可能错过数字化 转 型带来 的机遇， 也更易遭受攻击。 对此 ， 我们关键建议就是充分 赋权首席信息安全官，这意味着其直 接汇报对象为首席执行官。此外，企业还必须确保首席信息安全 官 职责能够覆盖所有 业务 线。 反之，首席信息安全官亦须以董事会易 于理解的方式提供风险评估报告。但是，首席信息安全官 不仅仅是 汇报职责上达， 其还需自始参与新业务的发展，以 确保落地的系统 实施 适当的 网络安全治理 。 跨越孤岛 既然 技术 支持企业内部 信息可以自由流动，我们也应展开信息交流。 打破根深蒂固的数据孤岛，使各业务部门在 网络安全领域 展开合作 至关重要。推动战略部、产品开发部、合规部、信息技术部以及营 销部召开会议，从而在各项新计划伊始便了解所需的数据资产以及 相关的安全和隐私要求 。 在计划之初便考虑到安全和隐私问题， 防患于未然，也是避免后续问题的最佳做法。 深度 洞见 随着 数字化 转型渗透到企业方方面面， 企业愈发清晰地 意识到，其虽能推动人才和流程创新，却也能放大和传 播风险 。在 企业被迫应对前所未有的全球挑战之际 ，德 勤所开展 的网络安全调研具有一定的借鉴意义。 结语 16 实施零信任安全架构 技术和组织复杂度高是既有 事实。依靠过时方法验证用户和其他实体之举实不明智，很 容易被黑客利用并带来可怕后果。幸运的是，现在我们可以将风险持续评估能力和访问 控制实时审查能力集成于复杂的安全架构。 零 信任既是一种技术创新，也是一种文化创新。改变人类自身行为离不开沟通与培训。 零信任能够确保创新及业务战略得以安全实施，更令每个人都意识到其在推进数字化 转型方面可带来持续益处。 安全即资产 数据 是数字化转型的命脉。认识到数据的功能性（即业务成果和客户体验的驱动力） 固然重要，但了解其如何创造长期价值也同样重要。具有出色数据治理、全面隐私政 策 和强健的安全 机制的公司更能赢得客户和业务合作伙伴的信任。尽管企业很容易将 网络安全预算仅仅看作一项开支，但在高度互联的今天，其对品牌和股东价值保值有 着举足轻重的影响。实施安全管理并非一个项目，而是一个谨慎处理数据、通讯和端 到端业务交互的承诺。 知识共享 虽然网络安全管理并无万能的解决方案 ， 但 企业 在数字化转型道路上面临的许多威胁 具有共通性 。 随着网络攻击日益常态化 ， 各个行业或地区无一能够幸免 ， 但我们可就 如何在事件发生时进行有效处理相互学习 。 因此 ， 与同行分享经验和知识是全面改善 安全环境的关键 。 风险与回报 无论 您的网络安全预算 多或少 ，采用上述方法将有助于您 更 高效 地 利用自身资源。 人们往往过于 关注转型所带来的复杂性和大量风险，其实认识到其 益处同样 重要。当您 获得转型的全局视角，体验 到混合 IT架构为 企业 带来 的敏捷性，赢得客户信任并从容应 对复杂性时，您将收获更大的回报。 结语 17 德勤中国 网络安全咨询领导人 薛梓源 德勤中国网络安全咨询主管合伙人 电话 : +86 10 85207315 电邮 : 东区 冯晔 德勤中国网络安全咨询合伙人 电话 : +86 21 61411575 电邮 : 江玮 德勤中国网络安全咨询合伙人 电话 : +86 21 23127088 电邮 : 石沛恩 德勤中国网络安全咨询合伙人 电话 : +86 21 33138366 电邮 : 张震 德勤中国网络安全咨询合伙人 电话 : +86 21 61411505 电邮 : 阎光 德勤中国网络安全咨询合伙人 电话 : +86 21 23166282 电邮 : 北区 薛梓源 德勤中国网络安全咨询主管合