在一切皆可編程,萬物均要互聯的當下,所有數字化場景所面臨的安全問題,早已經超出了簡單的網絡安全的范疇,漸趨成熟的5G應用所推動的工業(yè)級、城市級的數據鏈接,讓虛擬世界與現實世界聯通,虛擬世界的攻擊由此可以對物理世界產生傷害。
作為全國政協委員,360創(chuàng)始人的周鴻祎深知這一問題的重要性,他總是通過各種方式提醒,如今安全風險幾乎遍布所有的數字化場景,已經突破了計算機安全、網絡安全的范疇,上升為數字安全問題,監(jiān)管部門、企業(yè)機構,甚至是社會個體,都必須意識到這種變化帶來的重大影響。
全國政協十三屆五次會議期間,周鴻祎接受了《中國經營報》記者的專訪,他表示,數字化新技術、新應用的產生,導致簡單安全問題升級為復雜安全問題,因此,要面向新型數字技術和應用場景,研究建設前瞻性的數字安全平臺體系,企業(yè)則要以能力導向代替合規(guī)導向,夯實產業(yè)數字化的安全底座。
《中國經營報》:隨著5G、AI等技術的發(fā)展,數字化的應用場景越來越廣泛,你認為數字經濟時代最大的安全挑戰(zhàn)是什么?和過去有什么不同?中華廚具網
周鴻祎:進入數字化時代,首先明確一點,最大的安全威脅來自大型的網絡攻擊,小毛賊、小木馬基本上還有,但不成氣候。值得注意的是,數字化時代,這種網絡攻擊造成的威脅已從虛擬世界拓展到現實世界,對城市安全、產業(yè)升級、科技創(chuàng)新、社會穩(wěn)定帶來嚴重隱患。安全風險也已經突破計算機安全、網絡安全的范疇,升級為數字安全。數字化有三個特征,一切皆可編程、萬物均要互聯、大數據驅動業(yè)務,其本質是軟件重新定義整個世界。在這種趨勢下,虛擬世界與現實世界交織融合,過去針對虛擬世界的攻擊會傷害到現實世界。還有大數據驅動業(yè)務,數據也可能變成被攻擊的對象,過去數據主要起到存儲的作用,現在數據一旦癱瘓,就意味著業(yè)務歇菜了。
具體來看,產業(yè)數字化已經深入各行各業(yè),安全風險遍布所有數字化場景。互聯網發(fā)展進入下半場,主題是產業(yè)互聯網,主角是政府和傳統企業(yè)。隨著產業(yè)數字化的發(fā)展,安全風險也遍布關鍵基礎設施、工業(yè)互聯網、車聯網、能源互聯網、數字政府、智慧城市等各大場景。由此,數字化的安全威脅已經超越虛擬世界,延伸到了現實世界,影響國家、國防、經濟、社會乃至人身安全。去年,美國最大的油管公司遭受勒索攻擊,導致18個州進入緊急狀態(tài)。
數字化新技術、新應用的產生,會導致簡單安全問題升級為復雜安全問題。隨著大數據、云計算、人工智能等大量新技術的使用,除了網絡安全外,還面臨著大數據安全、云安全、供應鏈安全、區(qū)塊鏈安全等一系列新的復雜安全挑戰(zhàn)。以大數據安全為例,360公司每年接到并處理的勒索攻擊事件多達4000余起,受害企業(yè)面臨著重要數據資產被盜和泄漏的嚴重后果,輕則造成業(yè)務停頓,重則被迫繳納巨額贖金。
《中國經營報》:中國出臺了《數據安全法》《個人信息保護法》等法律法規(guī),你認為這對數據安全能起到多大的保護作用?中華廚具網
周鴻祎:《數據安全法》《個人信息保護法》等法律法規(guī)施行,不僅對掌握數據的互聯網企業(yè)有影響,也將對正在進行數字化轉型的政府、傳統企業(yè)產生巨大影響,因為未來數字化的主角就是它們,智慧城市、智能汽車和工業(yè)互聯網等都將由數據驅動業(yè)務。因此,所有相關企業(yè)都要盡到保護數據安全的義務與責任。
首先,要明確自己所處行業(yè)屬性以及核心業(yè)務是否涉及關鍵信息基礎設施,如果涉及,則需要從嚴執(zhí)行《網絡安全安法》《數據安全法》,并開展以《網絡安全等級保護條例》《關鍵信息基礎設施安全保護條例》為基礎的安全管理工作,所有工作都要留痕記錄。
其次,對于涉及關鍵信息基礎設施的企業(yè)在申請海外IPO或者已經完成海外IPO的要定期開展數據安全審查,提交相關材料,涉及任何數據跨境傳輸的行為要申請通過后再進行。
第三,個人信息收集是國家管控的重點,相關企業(yè)需要按照《個人信息安全規(guī)范》《個人信息保護法》《數據安全法》等相關法律法規(guī)進行數據安全治理工作。
第四,相關企業(yè)要結合自身業(yè)務所處的行業(yè)、城市的細分要求開展相關數據安全審查工作。
《中國經營報》:近幾年,國家在網絡安全、數據安全上的投入不斷擴大,你如何評價這種投入和效果?中華廚具網
周鴻祎:國家這兩年的投入確實在加大。在總體安全觀的指引下,安全相關法規(guī)密集出臺,政策體系不斷完善。從個人信息保護到關鍵信息基礎設施安全保護,從網絡安全審查到大數據安全管理,涵蓋數字安全各個領域的重要制度相繼建立。
從產業(yè)角度看,近年來網絡安全產業(yè)體系逐步建立,產業(yè)規(guī)模井噴式發(fā)展,隨著我國新型基礎設施建設的全面鋪開,新技術新場景驅動的安全需求與日俱增。信通院數據顯示,2020年我國網絡安全產業(yè)規(guī)模達到1729.3億元,較2019年增長10.6%。2021年產業(yè)規(guī)模約為2002.5億元,增速約為15.8%。
同時,安全企業(yè)綜合實力顯著提升。一是從事安全的企業(yè)越來越多,已經達到近3000家,年新增200多家;二是我國安全企業(yè)的國際影響力日漸加深,在漏洞挖掘、攻防競賽、技術認證等方面認可度逐漸提升。
我認為網絡安全的市場還有很大空間。目前的投入大部分用來買硬件,也有一部分錢買了軟件。但網絡安全的實戰(zhàn)和對抗能力是非常重要的,現在還要解決大數據安全的問題、解決云安全的問題,所以要引入一些專業(yè)的服務團隊,同時國家要對數字化安全體系進行規(guī)劃。
《中國經營報》:企業(yè)如何在越來越嚴格的數據安全監(jiān)管環(huán)境下實施經營行為,達到合規(guī)與效率的平衡?中華廚具網
周鴻祎:我們必須認識到,未來大數據不僅是重要的生產資料、生產資源,也是重要的攻擊對象,一旦數據遭到攻擊,企業(yè)、機構業(yè)務就將停擺。現在,國家在這方面也做好了立法的準備,企業(yè)要根據相關法律法規(guī)、標準規(guī)范要求,采用相應的制度、技術手段和產品保護數據安全,這既是對國家和社會運行負責,也是對企業(yè)機構自身負責,這里面包含以下幾個要點:
一是建立數據安全治理體系,委派高管牽頭負責數據安全治理工作,根據《數據安全法》等法律法規(guī)的監(jiān)管要求開展自身數據分類分級工作,對企業(yè)數據實施分類分級管理,分類分級結果與數據存儲、權限、脫敏、開發(fā)等措施掛鉤,實現體系管理。
二是建立以數據為中心、覆蓋全生命周期的數據安全防護體系。在數據全生命周期的各個階段部署關鍵的安全保護措施,確保各個環(huán)節(jié)的數據可管可控。
三是定期開展風險評估和數據安全成熟度評估,并通過實網攻防以及安全應急響應演練,及時改進公司中存在的風險,一旦發(fā)生安全事件后能及時響應,并做出最合適的反應措施,從而把損失降低到最小。
四是建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,增強員工數據安全意識,提高企業(yè)自身數據安全能力。中華廚具網
《中國經營報》:在現在的數字化體系下,數據安全、網絡安全已經不是一個簡單的主體可以實現的,從國家和企業(yè)的角度來講,你認為有哪些保護網絡安全、數據安全的建議?
周鴻祎:第一,要瞄準產業(yè)數字化新場景,同步規(guī)劃建設行業(yè)數字安全體系,保障傳統產業(yè)數字化轉型。未來,所有傳統行業(yè)都將被數字化重塑,產生工業(yè)互聯網、能源互聯網、車聯網等產業(yè)數字化新場景。我建議相關行業(yè)主管部門把建設行業(yè)數字安全體系納入產業(yè)數字化的整體規(guī)劃,推動各行業(yè)龍頭企業(yè)建設以安全大腦為核心的數字安全體系,以能力導向代替合規(guī)導向,夯實產業(yè)數字化的安全底座。
第二,要面向新型數字技術和應用場景,研究建設前瞻性的數字安全平臺體系。當前,人工智能、區(qū)塊鏈、量子計算等新技術不斷進步,數字貨幣、自動駕駛、元宇宙等新應用不斷興起,帶來不可預知的安全風險,傳統網絡安全缺乏成熟的應對經驗。建議相關部門采取“揭榜掛帥”的方式,鼓勵企業(yè)、研究機構、高校共建數字安全平臺,例如,依托國家新一代人工智能開放平臺、大數據開放協同實驗室等,牽引帶動行業(yè)創(chuàng)新數字安全體系。
第三,可以以城市為主體,由政府統籌打造城市級數字空間安全基礎設施和應急體系,保障經濟社會穩(wěn)定發(fā)展。城市作為經濟、人口的集中地,未來將集聚全國80%的GDP和人口。俄烏沖突等現實案例已證明,城市已成為網絡戰(zhàn)的首選戰(zhàn)場,也是維護國家數字安全的主陣地。一旦城市的政府服務、關鍵基礎設施群遭受網絡攻擊,就會讓城市業(yè)務停擺、經濟停滯。
值得注意的是,過去城市并非數字安全的建設主體,講究“誰建設誰負責”,大大小小的企業(yè)、單位都靠自己來應對網絡安全問題,缺乏統一的數字安全感知、應急、指揮體系。因此,我建議以城市為主體,由政府統籌打造城市級的數字空間安全基礎設施,建設城市的“數字安全醫(yī)院”,包括城市級的統一感知系統、應急系統和指揮系統,做到及時發(fā)現、快速響應、聯防聯控,為各單位輸出安全基礎服務,為政府服務和關鍵基礎設施群正常運營保駕護航。
第四,還可以開展對開源代碼的系統性漏洞挖掘,構建開源代碼的安全風險評估機制。當前,全球范圍內90%以上的云服務器操作系統、80%以上的移動操作系統都基于開源軟件。我國銀行、能源、國防、醫(yī)療、電力等重要行業(yè)運行的系統大量使用開源軟件。
但是,開源軟件由于生態(tài)開放,存在著大量的安全漏洞等風險,如果被惡意利用,足以撼動我國關鍵信息基礎設施的安全。建議監(jiān)管機構通過安全社區(qū)、挑戰(zhàn)賽等形式,鼓勵各方力量開展對開源代碼的系統性漏洞挖掘,掌握安全隱患。并對關鍵信息基礎設施和重要信息系統開展普查,摸清開源軟件使用情況“家底”,精確掌握其類型、協議、來源等基礎信息,形成全量使用關系視圖,并進行系統漏洞挖掘,布局安全風險管理。
第五,還應該建立軟件企業(yè)安全責任制,明確軟件企業(yè)承擔起開源軟件的全生命周期安全管理。建議有關部門明確要求開源軟件企業(yè)有義務對所使用的開源代碼進行漏洞審查,建立企業(yè)安全響應中心,提高開源軟件的安全管理能力。
中華廚具網 www.hoppecoke.com
)
