2021年作为“十四五”的开局之年,网络安全形势愈加严峻,国际上针对关键信息基础设施的勒索攻击频现,国内大型互联网平台数据泄露、个人信息被滥用等问题触目惊心,网络安全已经成为全社会关注的焦点。没有网络安全就没有国家安全,没有数据安全就没有网络安全。《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》等一系列法律法规的密集出台施行,让网络安全治理更加纲举目张,《信息技术与网络安全》期刊采访360集团首席安全官杜跃进,希望进一步为读者剖析廓清“十四五”时期网络安全治理的方向。
360集团副总裁兼首席安全官 杜跃进博士
Q1:《关键信息基础设施安全保护条例》与《数据安全法》已于9月1日起双法并施,《个人信息保护法》也将于11月1日施行,法律法规如此密集地实施,是否与国内外频发的数据安全事件有关?杜跃进:我国网络安全和数据安全相关法律法规的制定实际上从2016年、2017年就已经开始密集起草,这当然一方面和国内外数据安全事件频发有关,但同时也是数字经济和国际局势发展的必然。从安全事件方面,这些年国内外数据泄露、被窃取、被勒索等事件屡见不鲜,其中包括不少造成重大影响的事件,导致各国开始重视相关法律法规的完善。另一方面,全球在数字经济领域的竞争越来越激烈,数字经济可能涉及到的新安全风险也不断延展,很多国家不断推出各种相关法律,在这种情况下,我国也需要有更加完备的法律基础支撑,才能保证在全球数字经济大潮中顺利发展。
Q2:您认为“十四五”时期的关键信息基础设施安全能力建设要在哪些方面着力?
杜跃进:“十四五”规划明确提出,加强网络安全保护,要“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”。首先是回归能力本质,要认识到关键信息基础设施面对的是一伙最聪明的攻击者,与之对抗的思路要从软硬件“平台”或“产品”回归到“能力”的本质上来,构建人机结合的有建设、有运营、有积累的能力体系。第二是回归攻防视角。能力一定是他证而不是自证的,需要在攻防博弈的过程去构建。第三是贵在持之以恒。能力建设不是凭空产生的,是在持续地跟攻击者对抗的过程中一点一滴积累起来的,比如说微软操作系统的安全设计,之所以能够从XP到Win7到Win10不断跃升,正是在全球实际对抗过程中不断总结、不断积累、不断创新才实现的。关键信息基础设施安全能力建设具体要从五个方面着力:
首先,更新网络安全观念,建立新型安全风险可以摧毁业务的认识。数字经济时代面临的安全风险不同于传统意义上的计算和通信网络的安全,威胁还可能来自于数据,由此造成的损失可能直接导致业务崩溃。我们将面临来自数字世界、物理世界和人类社会的融合安全挑战,几乎所有方面均迫切需要创新。在技术上,要跳出传统IT安全的限制,转到“以数据为中心”;在管理上,要改变原来自上而下的单一模式,从特定行业的强化“管理”方式,转到面对普遍问题的多方“治理”模式,建立多方参与的数据安全治理生态;在机制上,调整单一处罚的“一刀切”式做法,转到有处罚、有激励、有帮助,充分调动各方积极性。同时,所有的研究都不能停留在理论证明层面,而是要围绕真实的场景和问题,依靠真实的效果进行评估检验,并且要保持快速迭代和持续改进。
其次,设计基于攻防视角、整体思维、统一调度、开放运营以及能力驱动的网络安全体系。在大国博弈日益激烈的数字化时代,国家关键信息基础设施网络安全方案需要体系化、系统化设计。其中,“攻防视角”意味着要抓住安全的本质,从攻防对抗的视角设计一切。“整体思维”代表要从局部环节了解风险、从整体高度进行分析、评估和应对。“统一调度”指向了有组织、有策略的多部门大范围协同联动。“开放运营”表明需要尽量调动各方面最优资源。“能力驱动”则是以能力建设和持续升级为目标、以实践能力衡量为指标。
第三,打造以安全大脑为核心的新一代网络安全能力体系。新的能力体系要基于全时、全视角、全维度的安全数据,通过持续的知识化提炼和高级安全专家资源支撑,建立全视角的安全感知能力,帮助关键信息基础设施的各组成单元提升安全监测预警与协同处置能力。同时,以安全大脑为核心的新一代能力体系需要政府、科研院所、企业同步设计和同步建设,形成功能完备的关键信息基础设施防护体系和运营机制,从而具备应对国家级复杂攻击及新威胁的网络防御能力。
第四,建立实战导向的网络安全能力评估和检验机制。采用能力思维,以实战为目标,从“产品主导”转向“能力主导”开展网络安全建设。如美国国防部、能源部近年来一直在国防工业产业链与关键基础设施行业大力推进网络安全能力成熟度认证。一方面,可由国家有关部门牵头制定网络安全能力成熟度治理标准、测评规范和工作流程,通过权威的、面向APT对抗的网络安全能力成熟度评估,制定安全能力发展与进化路径,提升相关企业和行业防范重大攻击和网络威胁的应对能力。另一方面,针对关键信息基础设施开展常态化实战演练,检验网络防御和应急响应的有效性。培训人员专业技能与安全意识,形成稳定可靠的专业支援力量。
第五,网络安全服务机构要打磨服务能力,赋能国家关键信息基础设施保护。9月22日,国务院总理李克强主持召开国务院常务会议,审议通过“十四五”新型基础设施建设规划,推动扩内需、促转型、增后劲。其实早在全国规划通过之前,各地“十四五”新型基础设施建设规划已经陆续公布。“新基建”包含信息基础设施、融合基础设施以及创新基础设施,是网络安全服务行业发展的“新东风”。在产品层面,最底层的可信性是一切安全的基础。要减少软硬件、数据和人员被仿冒的可能性,同时尽可能减少和修补软硬件产品本身存在的不可避免的安全缺陷或安全漏洞。在系统运行层面,要增强对安全事件的预防、发现、响应能力。由于攻防的不对称,不能只依靠被动的防御,要增强对安全威胁的溯源、取证、慑阻,提高系统的可对抗能力。在业务层面,要完善关键信息基础设施的容灾备份技术体系,制定适应多场景、全流程、标准化的容灾备份方案。通过提升可存活性增强核心业务的存活能力,在各种最坏的情况下确保关键数据不受影响、核心业务和应用不中断。
Q3:《个人信息保护法》特别针对大型互联网平台引入“守门人条款”,要求按照国家规定建立健全个人信息保护合规制度体系,您认为这对互联网经济发展生态和数据安全市场将分别产生什么样的影响?
杜跃进:随着平台经济的迅速发展,特别是大型互联网平台的隐私保护和数据安全问题已经成为了世界各国共同面对的一个难题,大型互联网平台因为掌握大量用户数据、复杂业务数据,理所应当需要承担数据安全保护的具体义务和责任。《网络安全法》明确了网络运营者在网络安全维护中的主体责任地位,对于维护个人信息安全,平衡个人信息保护和有效利用做出了规定。在此基础上,《个人信息保护法》参照欧盟《数字市场法》引入“守门人条款”,是落实网络运营者主体责任的有力举措。《个人信息保护法》要求大型互联网平台建立健全个人信息保护合规制度体系,对于平台的安全运营起到规范促进作用,对于互联网生态中的中小互联网平台也起到示范作用,可助力行业规范的形成。中小互联网企业如果未来想取得大的发展,势必要加强数据安全方面的投入,这对于互联网生态的健康发展大有裨益。可以预见“守门人条款”会产生的效应:一方面大型互联网平台因超前布局数据安全,普遍具备实施“守门人条款”的技术实力,其市场垄断地位有可能随用户信任度上升而进一步加强。另一方面中小企业主动或被动的数据安全需求提升,但因受限于自身的实施能力,势必对数据安全市场带来一定的增量。第三方面会带来数据安全市场的模式创新。数据安全责任不能只压在大平台上,只抓大平台放弃小平台是行不通的,与此同时还要兼顾不公平竞争的问题,所以未来要寻求模式创新,即大平台有大平台的做法,小平台要探索创造另外一种行之有效的做法。
Q4:数字经济时代,要求兼顾数据安全与数据合理有效利用,这对开展数字经济时代的数据安全治理提出哪些新的挑战?有哪些技术手段可以用来应对这种挑战?
杜跃进:开展数字经济时代的数据安全治理首先需要理念上的更新。本轮数字化工业革命与信息化时代有着本质上的不同,数字化时代的功能开发是以数据为中心,进而通过算法产生各类动态功能。数字化时代的算法跟传统的算法也完全不同,输入的是动态数据而非固定参数,产出的结果也在持续调整。因此,数据安全问题的本质在于对数据施加的行为而不是数据本身,例如数据被用来窃取个人隐私、被倒卖或者进行大数据杀熟,这些行为构成是否违法的认定,从而对数据安全治理提出新的挑战。
兼顾数据安全与数据合理有效利用,使得数字经济面临两个挑战,一方面是发展面临挑战。数据是数字经济发展的血液,对数据安全的片面或错误的理解,可能会制约数字经济本身的发展。另一方面是安全面临挑战。如果我们不了解数字经济领域里面数据是怎么用的,怎么存的,业务数据在不同的组织、系统之间是怎么流转的,数据安全治理的方案根本无法落地。数据安全是全新的事物,现在数据安全的法律标准、技术产品都还没有放到数字经济的真实场景下来实践检验,这是面临的最大的挑战。
下好数字安全这盘大棋,最终要从产业中来到产业中去,各种技术包括隐私计算、联邦学习、安全多方计算等,要放到不同产业的具体应用场景中去验证其有效性,比如说医疗、金融、教育等行业的应用场景不尽相同,不能试图用一个招数来包打天下,需要具体问题具体对待。
Q5:信创产业发展的战略大方向已经明晰,“十四五”时期如何根植信创产品来构建新的安全能力?
杜跃进:信创产品首先解决的是最底层技术的可信问题,在解决底层技术问题后,未来根植信创产品从底到上地构建新的安全体系是有可能的,但目前阶段谈这个问题还为时尚早。当前要关注信创产品本身的安全能力,并放在具体应用场景下不断经受安全挑战并快速迭代。但是信创安全方面的人才和能力储备目前还很薄弱,需要加大信创安全生态的建设。
Q6:您认为我们应该如何加强“产学研用”各界协同,推动网络安全人才队伍建设?
杜跃进:网络安全归根结底是人才的竞争,人才队伍建设是非常重要的。2015年国务院学位委员会批准在“工学”门类下增设“网络空间安全”一级学科,一大批院校开设网络空间安全学院和专业,但人才缺口仍然非常大。我们不禁要问:大学是不是培养网络人才的主力军?大学培养出来的人在社会上到底用的怎么样?目前这两个问题都没有明确的答案。过去很长一段时间里,大学培养的人才在产业界是不太被认可的,产学研用协同效果不佳,这其实才是最大的问题。
首先,网络安全尚未形成完整成熟的理论体系,也无法应对快速变化的网络安全形势。大学学科建设的理论体系通常比较完备,比如计算机学科教授计算机原理,其原理在可预见的几十年里也不会变。但网络安全学科实践属性较强,属于人和人的对抗,要求跟着对手的变化而变化。理论体系不成熟,实验环境没有,真实的场景遇不到,给我们传统的大学教育带来巨大的挑战。
第二,产业界参与的动力不足。企业首先不得不考虑的是生存发展问题,通过校企合作等模式可以培养企业自己用的人,但是怎么让企业有意愿参与到面向社会需求的系统化大规模人才培养,需要建立新的模式。
第三,网络安全人才的定义在动态调整。网络安全人才早期是指密码类人才,后来逐渐转变为攻防类的,但攻防类的人才大学里又很难培养。在数字化时代,智慧工厂、智慧城市等场景下需要大安全类人才,既要懂安全又要懂决策和协调,所以今天网络安全人才定义的范围要比原来大很多。
因此,网络安全人才培养首先要分层次,按照当前的主流共识,第一层是研究创新型的人才,要求有很扎实的理论基础,比较宽的视野,此类型人才可以由大学来培养。第二层是应用型人才,比如可以分析安全设备的数据,或基于大数据来找线索;第三层是实用型人才,这种类型人才要具备一定安全素质,融入到具体的生产过程中。不可能所有层次的人才都由大学来培养,某些层次的人才完全可以通过职业教育和社会培训来培养,培养方式要创新。
Copyright © 2005-2021 网信安全世界版权所有