网络安全是一个非常活跃的行业。新趋势、新技术和新技巧以惊人的速度重塑着格局，这意味着跟上形势可能具有挑战性。保护数据是现代企业的驱动力，将继续成为整个 2025 年组织的主要关注点。因此，随着我们进入新的一年，随着技术和风险的发展，努力将集中在不同的领域。以下是我们对 2025 年数据安全的预测。

数据隐私法规成为焦点

联合国贸易和发展会议 (UNCTAD) 指出，目前有 80% 的国家已经或正在制定数据保护和隐私立法。这些法规要求数据必须在特定司法管辖区内存储和处理，以应对与国际执法相关的风险。

这些要求影响深远。云提供商和企业必须遵守当地的数据主权法律。组织必须在新系统和应用程序中嵌入隐私设计原则。隐私增强技术将成为减轻这些风险的主要技术措施。

美国传统上一直难以实施有关数据隐私的联邦法规，通常将这个问题留给各州自己解决。一些州，如加利福尼亚州，已经出台了自己独特的数据隐私法。然而，2024 年，美国联邦《美国隐私权法案》（APRA）被提出，但仍有待批准。该法案标志着向建立联邦数据隐私法规迈出了重要一步。

尽管 APRA 的未来仍不确定，但有理由预计 APRA 和数据隐私将在来年继续成为重要的讨论话题。

企业积极拥抱合规

随着网络攻击的加剧，企业正在采取措施更好地规范其数字空间。他们正在调整合规框架，以协调和执行对其数字资产（工作负载、数据、身份）的责任，同时保持业务连续性和弹性。

为应对这些发展，2025 年的网络安全形势将从被动应对转变为主动应对。持续监控和预防潜在威胁将成为标准做法，同时还将采取更强大的身份验证措施。遵守NIS2、DORA、PCI DSS 4.0、英国网络弹性法案和欧盟人工智能法案等新法规将至关重要。因此，一些组织将把更多数据转移到本地，需要与云环境相同或更严格的安全态势。

组织转向以风险为中心的方法

随着人工智能增加网络攻击的频率和规模，组织将在 2025 年面临资源和人员限制。仅依靠被动措施来确保数据安全将是不可持续的。因此，企业将探索有效确定风险优先级的方法，将资源和精力集中在能够产生最大影响的地方。

2025 年，组织必须从单纯的合规性方法转变为更积极主动的风险导向战略。这需要清晰了解关键维度的风险，包括组织、资产和监管风险。必须根据风险对业务的潜在影响确定风险可见性的优先级。通过利用整个数据资产中的关键数据风险指标，组织可以创建可操作的视图，使他们能够做出明智而有效的决策，以加强数据安全。

作为风险管理的一部分，部署零信任架构对大多数公司来说仍将是必不可少的。公司将采用全面的安全措施来保护其 IT 系统从边缘到核心的数据。

人工智能工具支持而非取代安全角色

人工智能和机器学习将在网络安全中发挥越来越重要的作用。它们将增强威胁检测和响应，改善威胁搜寻，并将安全态势管理与行为分析相结合，以帮助实时监控和保护大型数据集，发现数据泄露企图或异常数据访问模式等风险。

网络安全供应商越来越多地整合人工智能辅助 Copilot，以增强为客户提供的服务。这些工具非常适合帮助填补人才短缺，ISC2 目前估计全球人才短缺为 480 万，但并不能取代内部团队。在未来一年，重点将不再是采用这些工具，而是安全团队如何利用人工智能工具的功能。那些希望保持敏捷的人可能会利用这些工具将他们的威胁调查能力提升到一个新的水平。

人工智能引发的入侵事件激增

采用人工智能技术对于网络威胁来说也是一个现实，黑客利用人工智能来扩大攻击，并通过开发自动化脚本来降低技能门槛。

随着企业成为大量高级网络钓鱼攻击的目标，企业内部人员成为攻击受害者的可能性达到了历史最高水平，我们预计到 2025 年，此类攻击将稳步上升。一旦凭证被泄露，企业的整个网络安全就会崩溃，而且随着生成式人工智能迅速推进社会工程方法，针对凭证泄露的典型防御措施将无法跟上步伐。

关键基础设施攻击增多

过去几年，针对关键基础设施的攻击呈指数级增长。绝大多数攻击都始于内部 IT 基础设施。由于关键基础设施可能产生广泛影响，因此它始终是网络犯罪分子的主要目标，IT、OT 和地缘政治问题之间的脱节为内部威胁在 2025 年蓬勃发展创造了完美条件。填补这一空白对于保护未来一年的关键基础设施至关重要。

数据强化和供应链弹性增强

2025 年，确保软件供应链安全将成为重中之重。组织将对第三方供应商（包括云提供商）进行更深入的安全评估，以确保其软件和服务的安全。保护数据免受不受控制的第三方应用程序或服务的侵害将变得更加重要，组织需要对其所依赖的服务有更高的可视性。

随着协作平台上数据激增，企业需要关注数据活动监控和数据水印，以保护敏感信息。供应链安全也将是一个重大问题，因为供应链中的漏洞可能导致大范围的安全漏洞。用户通过各种应用程序和服务生成的个人数据将增加数据泄露的风险，因此需要更强有力的数据保护措施。

后量子密码学聚焦加密敏捷性

今年早些时候，NIST 发布了第一套后量子计算加密算法，并提供了为最早在 2030 年可能发生的量子计算攻击做好准备的指南。这个时间框架推动了现在开始规划和构建量子安全网络的必要性。尽管某些协议（如 TLS 和 SSH）已更新以符合 NIST 的新标准，但 NIST 已开始研究下一套算法，这意味着当生产量子计算机问世时，今天在协议中实施的算法可能会有所不同。

这凸显了加密敏捷性在适应这些不断发展的安全建议方面的重要性。企业必须将敏捷性置于其量子准备战略的核心，确保加密敏捷解决方案能够跟上新兴的抗量子加密标准。到 2025 年，公司将需要投入时间和资源来识别其风险敞口并盘点其资产。这将体现在主要企业中加密卓越中心的稳步增长。

揽阁信息一直秉承“守护数字世界的安全，保护客户核心数字资产，构建安全可信的数字环境，守护每一份数据”的企业使命，为广大客户提供专业的信息安全产品，欢迎与我们联系，共同讨论和交流您的信息安全建设。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• Thales被评为 KuppingerCole 领导力指南数据安全平台总体领导者
• CipherTrust Transparent Encryption对于数据保护和隐私合规的重要性
• 解读数据泄露的真相：防患于未然
• AI时代的数据安全革命：Thales CipherTrust 如何筑牢智能转型的信任基石
• Thales CipherTrust 2.19 现已推出
• Thales HSM：为PCI DSS 4.0合规性打造坚不可摧的数据安全基石