2021年,备受关注的数据安全法、个人信息保护法、关键信息基础设施保护条例等法律法规正式施行。在近日召开的“2021年网络安全创新发展高峰论坛”上,与会者表示,随着这些法律法规的颁布实施,包括数据安全、关键信息基础设施保护和信息保护等在内的网络安全重要领域创新发展全面发力。
数据安全:强化全生命周期治理
“在数据有效性、安全性备受挑战的今天,人工智能给社会建设和经济发展带来重大而深远的影响。与此同时,数据隐私、算法偏见、技术滥用等安全问题也给社会公共治理与产业智能化转型带来严峻挑战。”中国科学院院士张钹表示。
为此,张钹提出,要发展“第三代人工智能”,即发展安全、可信、可靠和可扩展的AI技术,打造AI安全算法平台,助力网络强国建设。
中科院计算机网络信息中心网络空间安全技术与应用发展部主任龙春表示,虽然国内人工智能数据安全法规政策和研究报告不断出台,但缺乏针对人工智能数据安全流转的风险分析及技术建议,有必要开展人工智能数据安全技术体系研究。
北京明朝万达科技股份有限公司研发中心总经理安鹏认为,安全铸就数据价值,数据安全治理并非仅由单一产品或平台所构建,而是围绕数据生命周期,结合企业或组织自身数据现状,建立与制度流程配套的技术和工具,进而持续提升企业或组织的数据安全防护能力。
《数据安全复合治理白皮书》在此次论坛上发布。据介绍,白皮书以贯彻落实数据安全法的具体要求为目的,从组织建设数据安全治理体系的视角出发,总结提出了数据安全复合治理模式,将安全与业务、管理与技术复合,形成有机整体,为数据安全治理模式与治理科技能力的升级提供实践路径。
关基保护:契合行业安全需求
专家指出,关键信息基础设施支撑着国家经济运行的关键业务,并承担社会服务的重要功能,是关系国家安全、国计民生和公共利益的战略资源。
针对数字化转型下关键信息基础设施的安全风险与防护对策,公安部第一研究所副所长、中国计算机学会计算机安全专委会主任于锐指出,关键信息基础设施存在“特定行业范围+严重危害后果”的特点,必须从政策、组织、机制到技术、产品、系统等各方面高度重视关键信息基础设施的保护。
电网安全关系到国家安全、社会稳定和各行业正常运行。据国家电网有限公司大数据中心安全质量与合规部大数据安全处副处长刘圣龙介绍,国家电网以保护关键信息基础设施安全为目标,构建关键信息基础设施技防体系。围绕通信网络、区域边界、计算环境、安全运营、安全管控等方面,强化安全技防能力建设,优化安全策略,通过分区分域、运营监测、安全评估、攻防对抗等措施提升网络安全技防水平。
中国移动信息安全管理与运行中心总经理张滨表示,5G赋能千行百业,不仅助力各领域数字化转型,而且将带动万亿级GDP增长。中国移动在标准突破、人才培养、应用落地三个方面不断强化安全实践,统筹安全发展,为经济社会数字化、网络化、智能化转型提供坚实的安全保障,以安全网络为核心打造5G安全体系。
信息保护:构建技术防御体系
北京大学网络与信息安全实验室主任陈钟认为,无线、嵌入技术和网络连接的广泛性以及网络复杂性,使得内部与外部已很难区分,采取全新的结构和技术方可解决信息基础设施更大规模的不安全问题。为此,需要建立严格的概念与逻辑体系,并在科学认知的基础上形成能指导实践的理论体系。
华为中国首席网络安全与用户隐私保护官李加赞在分享实践经验时表示,华为将安全隐私要求融入公司主业务流程,在公司治理、研发、验证、供应、交付、审计等各个环节践行网络安全与用户隐私保护,以基于风险消减的管控方法论保障业务的有序开展。
值得注意的是,网络空间安全热点话题“零信任”也引发了分析探讨。中国信息安全研究院副院长左晓栋指出,“零信任”的本质是一种理念和思路,不是某种固定的技术。“零信任”的产生有客观必然性,源于网络安全风险加大,传统信任模型受到挑战。“零信任”的实质是对访问控制的新要求,但不是网络安全的全部。国家信息技术安全研究中心总师郭晓雷也表示,“零信任”是框架而不是具体技术,是技术组合而不是单一技术,可由多种方法实现。
奇安信集团总裁吴云坤提出,基于“零信任”架构,结合“零信任”与数据实体防护,构建数据安全技术防御体系。他表示,数据安全的整体防护思路就是围绕整个业务流转和数据流动进行防护,以数据安全治理为基础支撑,得出数据安全策略,把精准管控与实体防护拉通,构建“以身份为基石、以规则为准绳、持续信任评估、动态业务合规”的数据安全。
北京芯盾时代科技有限公司联合创始人兼CTO孙悦建议,以“零信任”业务安全重塑安全边界。他表示,要以“零信任”构建数字经济的安全基座,基于多维可信身份建立兼顾安全、体验、成本的弹性信任。
北京数字认证股份有限公司董事长詹榜华表示,信任是数字交互的基础和前提,而“零信任”是以建立网络信任和管理网络信任为基础,多种安全保障措施协同构建网络安全保障体系的理念或思路。实现“零信任”安全的关键能力体现为“五大支柱、三个层面”,五大支柱是指身份、设备、网络、应用、数据,每个支柱的能力均从三个层面展开,即感知与分析、自动化响应与动态调整、策略管理。