安全运营 | 2025/2026年网络安全趋势报告

这份由凯捷公司发布的《2025/2026年网络安全趋势报告》以“超越明日的网络安全”为主题，深入探讨了在未来数字世界中，网络安全如何从一项技术职能转变为核心战略要务。报告开篇指出，数字世界正处在一个关键的十字路口，技术已成为战略定位、竞争力和社会韧性的决定性因素。面对日益复杂的网络威胁、脆弱的全球数字依赖以及严格的法规要求，网络安全必须融入组织的战略、文化和技术核心，其目标不仅是控制风险，更需要适应性、远见和勇气。报告围绕四个相互关联、超越技术本身并涉及领导力、决策与协作的主题展开：人工智能、数字主权、安全治理与合规性，以及网络安全的未来。

在人工智能部分，报告阐述了AI正从辅助技术演变为战略驱动力。它既为实时威胁检测、预测性风险管理和运营效率带来机遇，也带来了输出不准确、决策不透明和伦理困境等新风险，因此稳健的治理（包括伦理、透明度和人为监督）至关重要。报告收录了对荷兰铁路公司NS的首席信息安全官Dimitri van Zantvliet的专访，详细介绍了NS如何将网络安全定位为业务伙伴而非阻碍，并分享了其在AI应用与治理方面的实践经验，包括建立基于ISO 42001的AI管理体系，以及在供应链中管理AI相关风险。此外，有章节专门探讨如何利用大型语言模型将复杂晦涩的安全政策转化为清晰、可操作的全员指南，从而弥合沟通 gap，促进合规与主动安全文化。另一章则聚焦AI治理，强调其对于协调AI计划与组织战略目标、管理多领域风险（如IT、数据、伦理）以及构建信任的重要性，并提出了包含培训、伦理锚定、持续监控、事件准备和供应链协作在内的五个关键构建模块。

数字主权部分探讨了在云计算普及、国际法规冲突和地缘政治不确定性的背景下，组织对数据与基础设施控制权的迫切需求。报告指出，实现数字主权不能仅靠技术，更需要治理、架构远见和生态协作。其中一章以荷兰为例，论述了主权云不再是奢侈品而是战略必需品，并分析了公共和私营部门面临的不同风险与混合应对策略。另一章提出了一个核心观点：零信任安全模型并非数字主权的威胁，而是其实现机制。通过将访问控制从供应商默认设置转向组织自定义策略，零信任架构使组织能够无论基础设施的地理位置如何，都能通过设计获得主权。还有一章深入探讨了加密技术作为在利用云服务效益的同时确保数据主权的关键路径，强调了用户完全掌控加密密钥的重要性，并分析了美国《云法案》等法律带来的挑战与应对之策。

安全治理与合规性部分认为，严格的法规如NIS2、DORA和欧盟《人工智能法案》正在将合规性从义务转变为韧性、效率和信任的战略驱动力。报告通过采访荷兰电信公司Odido的首席安全官Martijn Ronteltap，揭示了该公司如何将合规性视为创新和韧性的基石，通过自动化、讲故事的文化以及将合规融入运营而非视为负担，在严格监管与业务敏捷性之间取得平衡。另一章详细解读了NIS2指令如何要求持续的风险驱动监控和有效的威胁检测与响应，并介绍了荷兰国家检测网络作为通过实时威胁情报共享提升国家网络韧性的关键举措。报告还探讨了在DevSecOps环境中，安全治理如何从瓶颈转变为战略推动者，通过“安全左移”（如安全设计评审、安全评估问卷）和“右向扩展”（自动化、策略即代码），将安全无缝嵌入敏捷开发流程。最后，该部分分析了首席信息安全官角色的战略崛起，指出其正从技术专家转变为直接影响创新与运营的战略领导者，需在风险管理、合规、事件响应和技术领导力等方面发挥关键作用，将网络安全定位为业务推动力。

关于网络安全的未来，报告重点警告了量子计算对当前加密标准构成的迫在眉睫威胁。量子计算机有望在短时间内破解RSA和椭圆曲线加密等广泛使用的算法，这使得“现在收割，以后解密”的攻击成为现实风险，因此量子就绪性是当下的战略要务，而非遥远的未来议题。报告解释了向后量子密码学迁移的复杂性、长期性以及全球监管机构设定的时间线（通常要求关键基础设施在2030年前迁移，全部在2035年前完成）。为应对这一挑战，组织必须立即行动，开始评估量子风险、建立密码学资产清单、培养密码敏捷性、提升内部意识与能力，并构建量子安全的生态系统。

报告最后总结强调，网络安全已不再只是一面防御盾牌，而是在不确定和变化中导航的战略杠杆。聚焦“超越明日的网络安全”是一种必然需求。那些今天就在数字韧性、敏捷性和治理方面进行投资的组织，不仅能够保护自身，还将为创新、信任和战略优势创造空间。报告旨在激励组织将网络安全置于其战略议程的核心，并采取主动步骤，共同构建一个安全、坚韧且面向未来的数字生态系统。

下列文件

2025∕2026年网络安全趋势报告（中文）.pdf

2025∕2026年网络安全趋势报告（英文）.pdf

美国国家安全战略（中文）.pdf

美国国家安全战略（英文）.pdf

-