中国信通院近期发布的《全球数字经济白皮书》显示,2020年,中国数字经济规模为5.4万亿美元,位居世界第二;同比增长9.6%,位居世界第一。
但挑战往往与机遇并存,“在中国建设数字中国,发展数字经济之际,网络安全产品理念如何与时俱进,开拓更新,更好地为数字经济保驾护航,是网络安全行业面临的共同问题。” 在ISC 2021云峰会上,三六零(601360.SH,下称“360”) 集团创始人、董事长周鸿祎表示。
8月9日-8月12日,由中国互联网协会、中国网络空间安全协会、全国工商联大数据运维(网络安全)委员会、中国计算机学会、360互联网安全中心等机构大力支持的ISC 2021云峰会正式启幕。在云峰会上,专家学者、行业领袖、企业创始人等重磅嘉宾,围绕大数据、人工智能、信创、零信任等网络安全热点议题纷纷发表真知灼见。
数据安全威胁数字经济健康发展
“数据安全,是当前最恐慌、最混乱的新问题。”360集团副总裁、首席安全官杜跃进博士指出,“如果大数据杀熟、侵犯用户隐私等数据安全问题不能得到控制,消费者、企业、监管部门相互之间不能放心,数字经济的整个社会秩序便会受到影响。”
对于数据安全为何受到如此重视,国家信息中心首席工程师、研究员、《信息安全研究》杂志社社长李新友表示,数据安全威胁国家安全,威胁数字经济健康发展,数据本身具有价值。
谈及如何应对数据安全严峻挑战,李新友提出组建国家数据安全管理局、建设数据海关、建设天下数仓、建设数据交易市场、建设网络数据安全监管平台等建议。
中国科学院院士冯登国则谈到对数据安全和隐私保护的几点认识。一是要深刻认识大数据时代数据安全的内涵;二是要加强数据安全法律法规研究与制定;三是要紧跟国际数据安全技术发展趋势;四是要高度重视使用中的数据安全;五是要紧密结合产业和应用实际。
人工智能存在被欺骗可能性
作为新一轮科技革命和产业变革的重要驱动力量,人工智能正在对经济、社会发展带来颠覆性影响。但人工智能技术是一把“双刃剑”,在推动数字经济社会创新发展的同时,也可能引发一系列安全挑战。
“各个场景、各个领域的人工智能系统都存在着被攻击和被欺骗的可能。” 360集团AI安全实验室主任邹权臣指出。
通过实例演示,中科院信息工程研究所副主任陈恺向观众展示了,如何能够利用声音、图像中的噪声信息“骗”过人工智能大脑,对抗自动驾驶目标识别系统。他表示,人工智能技术虽然广泛应用于计算机视觉、自然语言处理、自动驾驶等领域,但由于人工智能系统容易受到攻击,限制了其在关键安全领域的应用。
网络安全威胁成为影响人工智能技术应用的主要因素。“未来网络安全将呈现零信任、无边界、赛博化的特点,人工智能面临着软件漏洞、系统安全、网络安全、传感器欺骗、数据投毒等五大威胁。”北京大学教授陈钟指出。
信创领域:自主可控不等于绝对安全
大力促进信息技术应用创新产业发展,是为了解决核心技术被“卡脖子”、“受制于人”等问题,而制定的一项国家战略,因此同步做好信创安全保障变得尤为重要。
“信创是科技创新的重要领域,关系到我国经济未来的可持续健康发展。”中国工程院院士邬贺铨特别指出,网络安全是信创产业的使命所在。
“自主可控不等于绝对安全,软硬件设计缺陷导致的安全漏洞无法避免。”杜跃进博士指出,由于信创产品大量基于开源软件构建,其供应链、生态中软硬件后门无法杜绝。此外,大量使用未经大范围安全考验的开源软件,同样使得大部分信创产品自身安全性非常脆弱。
但同时,推进信创安全工作也会遇到各种困难,其中,抵触心态、身份主义是最大困扰,社会上普遍还是抱着“发现问题的是坏人”的思想,意识不到“让不让挖,漏洞都在那里”,“知不知道,对手都会知道”。
不过,《网络产品安全漏洞管理规定》的出台,或将有利于推进安全漏洞管理的制度化、规范化发展,并助力改善信创安全保障工作难以开展的情况。正如深信服首席安全研究员、蓝军首席架构师彭峙酿提到漏洞挖掘时所言,“我们如果做相关的漏洞研究,是希望能够先于攻击者发现这类漏洞,提前帮助厂商修复相应漏洞,获得更高的价值。”
零信任护航行业数字化发展
近两年,零信任成为网络安全圈火热的理念之一,也成为助力打造数字经济安全生态的重要力量。
360政企安全集团首席战略官潘柱廷表示,“零信任不是具体的产品或技术,而是一种非常好的思想方法。用6A来标度零信任,用零信任来重构6A,我们将收获一系列看法、一系列理念、一系列解决办法,以及一系列工具、一系列平台、一系列项目工程。”
所谓6A理念,即Account & Subject(账号和主体)、Application & Object(应用和目标客体)、Authentication(认证)、Authorization(授权)、Access Control(访问控制)、Auditing(审计),明确定位在“标识访问层”,任何网络空间的活动,都会在这薄薄的“标识访问层”中留下自己的投影。
华为安全产品领域副总裁王任栋提出,零信任是护航行业数字化发展的良好安全体系,以6A为基础,打造持续风险评估,逐次授权的动态信任模型。其一,对设备风险持续评估,对人员身份动态鉴别,让风险可检测;其二,对应用精细化授权,让核心信息资产等数据不泄露;其三,对安全威胁精准识别,威胁发生及时隔离阻断,让威胁能闭环。
不过,零信任推进工作中也存在难题。“零信任体系化实施很难,落地场景难选取,安全体系难改造,实施效果难评估,体系建设难持续。”芯盾时代行业解决方案部总监孙永飞表示,因此芯盾时代提出诊+规+点+线+环的、落地实践方法论,针对用户的安全能力、安全痛点进行深度调研,结合安全能力成熟度模型全面塑造用户画像,以此进行合理的安全规划,基于多维度的原则选取第一个落地点。
据悉,本次ISC 2021云峰会甄选十大主题分享,全面覆盖战略、技术、场景等多个维度和领域的数百议题,致力于推动安全产业的创新发展,打造中国数字经济安全生态,为护航中国数字经济发展贡献力量。