本报记者 孙 琳
“数字经济在突破传统生产要素的流动限制,促进市场效率的同时,也带来了不容忽视的信息安全问题,这就要求我们必须筑牢数字安全屏障。”
“随着数字化技术更广泛和深入地服务于社会经济,数字安全的基础性作用日益突出,一些重点领域重点问题需要破解,数字安全将面临新一轮的转型升级。”
……
在近日举行的“2022全球数字经济大会——数字安全峰会暨 ISC2022互联网安全大会”上,关于数字时代如何构筑数字经济安全新长城的路径正逐渐清晰。
▶▶▶数据安全治理正加强
当前,全球经济社会正加速向网络化、数字化、智能化转型,全球数据规模呈增长态势,海量数据成为数字化转型后的重要资产,以数据为关键要素的新产业、新场景面临更加复杂的安全挑战,保障数据安全亦成为数字时代的必然课题,也是数字安全新一轮升级的必然方向。
在全国政协社会和法制委员会副主任、公安部原副部长陈智敏看来,在全面进入数字时代的当下,维护国家数据安全,保护个人信息、商业机密的任务则面临更大挑战。而这些都离不开对数据的有效安全治理。
事实上,为了保障数据安全,近年来我国已相继出台网络安全法、数据安全法、《关键信息基础设施安全保护条例》、个人信息保护法等法律法规,明确了重要数据处理者的数据安全保护义务。
更值得一提的是,近年来,国家网络基础设施安全防护水平持续提高。据工信部网络安全管理局局长隋静介绍,工信部制定了工业和信息化领域数据安全管理办法,建立工业和信息化领域数据安全风险报送与共享机制,深化电信和互联网企业数据安全合规自评,启动工业领域数据安全管理试点、工信领域数据安全管理体系。与此同时,还面向工业互联网、车联网、5G等新型基础设施,相继出台加强网络和数据安全管理的系列政策文件。
“在政策的引导下,近年来我国网络安全产业综合实力已显著增强。”隋静表示,未来还将继续完善制度规则,强化行业数据安全治理能力,加快建立数据分类分级保护、跨境数据流动监管等基本规则。
“如针对不同数据类型、不同数据用途、数据敏感程度等,完善分级分类管理办法,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理;推动数据使用者落实数据安全保护责任,维护国家数据安全,保护个人信息和商业秘密,守住数据安全底线。”隋静说。
近日,国家互联网信息办公室已公布《数据出境安全评估办法》(以下简称《办法》),将于今年9月1日起施行。业界普遍表示,《办法》出台及时必要,是对数据安全治理的进一步加强,可以更好规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,真正做到“以安全保发展、以发展促安全”。
但面临新时代的数据安全问题,也需要新的防御思路。为此,陈智敏表示,要用控制论、信息论和系统论思维,来考虑数字安全或数据安全问题。
▶▶▶中小企业数字安全可通过购买服务解决
毋庸置疑,数字经济已成为重组全球要素资源,数字安全保护能力则成为数字经济稳步发展的重要基石。数字安全的基础性作用越突出越得到重视,而一些重点领域重点群体的数字安全更是得到关注。
在“2022全球数字经济大会——数字安全峰会暨ISC2022互联网安全大会”上发布的《2022中小微企业数字安全报告》显示,在过去一年中,中小微企业遭受到的网络攻击次数正在呈现上升趋势。在受访的中小微企业中,85.3%企业遇到过数字安全问题,比以前遭受网络攻击次数要多;近77.4%中小微企业自身不具备有效处置数字安全问题的能力。
而面对数字安全危机,81%中小微企业受访者认为其带领的中小微企业会在现在或不久的将来遭到黑客攻击,对未来防御网络攻击持悲观态度;而认为不会遭到黑客攻击的仅占19%。
“中小微企业在数字化业务场景、预算、安全能力、应急响应等方面都有特定的安全需求,过去适用于大企业的安全服务和产品不能照搬。面对中小微企业面临的数字安全问题,需要新思考,新方案。”360集团副总裁首席安全官杜跃进博士表示。
而从分析来看,在过去12个月中,针对中小微企业最具破坏性的数字攻击威胁分别是恶意软件入侵(68%)、勒索攻击(65.3%)、系统漏洞(64%)和网络钓鱼(42.7%)。针对这些数字安全攻击,普遍存在中小微企业应对能力不足:这一方面是缺乏资金,另一方面是缺乏专业的数字安全团队维护。
对于缺乏专业数字安全人才,中国工程院院士、ISC名誉主席邬贺铨表示,应鼓励更多的数字安全企业,从以产品为中心向以服务为中心转变,建立专业的服务队伍,为企业提供个性化安全服务。
针对中小微企业资金缺乏,全国政协委员、360集团创始人周鸿祎则表示,不同于政府和大型企业,可考虑通过“低成本模式”来提升中小微企业对数字安全的理解和重视,帮助中小微在数字化转型中防御攻击,挽回损失,消除商业风险和负面影响。同时,由于中小微企业数字体系存在分布式部署的特点,可通过SaaS服务(指通过网络提供软件服务)采用中小微企业数字安全“云上赋能”的模式,保障数字安全能力的灵活部署和可定制化。
▶▶▶“上山”“下海”协同发力
伴随着数字化进程加快,一个新升级的数字安全时代也必然来临。针对中小微企业的数字安全,360公司已制定了“上山下海助小微”战略,通过上科技高山,解决国家数字安全“卡脖子”难题;下数字化蓝海,为传统产业数字化赋能;助小微,则是通过SaaS服务免费为中小微企业提供数字化服务,助力中国数字化战略发展。
而“上山”“下海”“助小微”,对数字安全整体行业也指明了转型升级的方向。
邬贺铨提出,要提升数字安全能力基础则是需要建立我国自主可控的数字安全技术、产品和服务的完整体系;中央网信办信息化发展局副局长、一级巡视员张望也表示,各界要加强技术协作,推动网络安全和数据安全相关理论和技术的研究向纵深发展,尽快突破“卡脖子”技术。
而企业是创新的主体,对此,全国工商联党组副书记、副主席樊友山在会上提出,要发挥网络安全龙头企业自身技术、人才优势和技术创新主体作用,开展数字安全基础理论创新、重大问题研究和核心技术攻关,助力数字安全技术创新发展。
但同时,邬贺铨也提出,数字安全不再是一个单纯的技术问题,是涉及业务、管理、流程、团队等各方面的系统工程。“下一步,应建立体系化的数据安全机制,打破各自为战,实现协同联防;以强化免疫能力为本,从技术开发与网络设计之初确立同步的安全理念,数字网络安全能力需要与基础设施同步建设;同时完善数字安全的生态系统,覆盖工业企业、设备供应商、基础电信运营商等,实现危险与处置情报共享。”
而针对“下海”,周鸿祎则认为,产业数字化已成为红海中的蓝海。“随着产业互联网的到来,传统产业和政府、城市成为数字化的主角,数字安全行业要将已经成熟地服务ToC的能力体系提炼成数字安全大脑框架,更好地服务ToB市场。而除了传统网络安全,还应更多向中小微企业、政企大数据安全、人工智能安全、城市安全等迈进。”
为此,陈智敏也提出两点建议:一方面要按照和平、安全开放、合作、有序的原则,共同构建网络空间命运共同体;另一方面,数字安全防御思路要升级,从工作思路、领导指挥、力量组织、作战样式、体系协调、标准规则制定等方面作出调整。
“希望各行业部门、机构、企业等一同为国家数字安全制度的完善、数据治理体系的创新,共同发力、协力前行。”陈智敏最后说。