数字安全和治理危机扑面而来,中国应该如何应对?


    一场远超以往的数字安全和治理危机,正朝我们扑面而来。
    【1】
    5月27日,美国国土安全部发布了该国针对管道部门的首个网络安全规定。该规定要求,管道公司对当前的安全措施进行审查,并在30天内向相关部门汇报审查结果。
    在此之前,美国最大的燃油燃气管道运营商之一:科洛尼尔管道运输公司,5月7日遭遇黑客组织入侵,并被勒索赎金,不得不关闭了一条关键运输管道,影响了美国东海岸45%的燃油供应,甚至全美17个州和华盛顿特区都因此进入紧急状态。
    5天后,美国总统拜登签署《关于加强国家网络安全的行政命令》,要求以强制推行零信任架构、加强供应链安全、成立网络安全审查委员会等“大胆的举措”,来提升美国政府面对网络威胁的整体抵御能力。
    这一事件背后,是网络安全领域一个新的风向标:
    随着工业互联网、大数据、云和人工智能的广泛普及,从政府到企业,从经济到民生,都正在全面转向数字化、网络化,数据也已成为全新的战略性基础资源和新型生产要素。
    如果说,过去的网络安全,风险主要集中在信息本身;那么,未来的网络安全问题,已经越来越多地对现实世界产生巨大威胁。
    2009年,美国通过“震网”病毒,对伊朗核设施发动网络攻击。作为全世界第一起国家级的网络攻击,震网事件让外界意识到,“数字炸弹”同样可以摧毁工业实体。
    此后,这一逻辑已得到越来越多的证实。
    比如,2015年,由于黑客的入侵与破坏,乌克兰电力系统主控电脑被瘫痪,导致乌克兰约1/4的变电站停止供电长达6个小时。
    这为黑客们指明了一条全新的劫掠道路。
    从2017年的WannaCry,到2021年的incaseformat,从宏碁、台积电、富士康被勒索,到此次美国的管道运输中断,网络勒索越来越产业化,并且越来越有针对性。
    与通过复杂的地下黑产链条洗劫网民相比,对数字化产业实体的攻击,更加简单、粗暴、高效。
    《2020数据泄露调查报告》也显示,全球去年数据泄露事件多达3950起,同比增长96%,在受影响行业中,医疗、金融保险和制造业排名前三。
    面对新的威胁,我们的网络数字安全体系必须有所变革。
    那么,我们面临的网络安全威胁有哪些变化?我们已经做了哪些工作?下一步应该如何应对?
    最近,参加了第四届中国数据安全治理高峰论坛等多场与网络安全有关的会议,并与一些业内专家有进行交流。现在,将一些主要的观点,做了一个简单的加工整理:
    【2】
    先看一下当前的形势,以及我们面临的一些主要问题。
    中国保密协会副会长 纪清阳:
    这些年来,我们在保密领域始终处于战略被动:计算机的出现,我们如临大敌;移动存储的出现,我们如临大敌;网络的广泛应用,我们同样如临大敌...此外,大数据、人工智能、云计算也都给保密工作带来了深深的焦虑。未来,伴随更多新的信息技术出现,肯定还会给我们带来更多新的困惑。
    战略被动的原因在于,我们的信息在“裸奔”。
    中国现在有最好的密码专家,我们有最新的编码技术和思想,但是我们对密码的应用还相对较弱,缺少强大的产业,应用始终跟不上。这是当前中国数据安全的一个重大短板。
    中国计算机学会抗恶劣环境计算机专委会荣誉主任 刘爱民:
    要立足长远,建立一个数据安全的护城河,不能仅停留在各行业数据应用企业的内部,更要上升到国家安全的维度。
    当前,包括操作系统、数据库、信息化终端设备产品的核心硬件,绝大多数都是由外国厂商提供的,并且在国内主要或重大行业都有所应用,解决关键技术“卡脖子”的问题迫在眉睫。
    大数据安全协同技术国家工程实验室副主任 钟力:
    在数字经济时代,数据成为驱动一切的基础,这为数据安全带来了很多新挑战:
    过去的很多数据安全解决方案,都局限在一个系统、一个数据库,或是一个网站里,在数据流动的今天,这种解决方案已经力不从心。
    比如,一组数据经过了脱敏,可能就被认为是安全的;但通过大数据分析以后,却能够把敏感的内容再恢复出来。
    此外,数据被窃取、加密勒索、内鬼泄露、合规挑战,包括针对大数据分析的数据投毒、数据污染等情况,都是典型的数据安全威胁。
    安华金和科技有限公司创始人&CEO 刘晓韬:
    数据安全治理可以分为国家、行业和企业三个层面。
    国家层面,法规制度建设已经在推进中;行业层面,金融、运营商和政府侧跑的速度比较快;但在企业的落地层面,目前困扰是最大的。
    一方面,企业要促进数据共享,另一方面,他们又要去满足合规性,这是巨大挑战。
    尤其是数据安全体系怎么建,大家都普遍还处于迷茫状态:
    一,数据分类分级非常复杂,既跟数据多样性有很大关系,也跟数据规模有很大关联。某些用户数据库一万多个,能达到几千万个表,十几亿个字段,如何把分类分级的标签打到具体的字段上,通过什么方式实现?落地的服务和技术手段都还存在挑战。
    二,随着网络安全与数据安全等概念的普及,各行业客户大多配置了一些应对单一场景化的数据安全产品,包括防火墙、脱敏、审计、加密等数据安全等。但目前还缺乏统一化、平台化的应用能力,尤其是多家公司的数据之间如何交互、流通、共享,实际上非常困难。
    三,要做好整体性的数据安全运营,也还存在人才培养梯度上的挑战。
    四,随着数据的共享流动,数据安全也需要在技术方面有所突破。比如隐私计算、多方计算、联邦计算、联邦学习等技术,现在都还处于技术发展的初期,真正实用化、产业化的程度还不是很高。
    国家工业信息安全发展研究中心保障技术所研究总监 杨帅锋:
    工业互联网数据贯穿其各个层面,是当前驱动整个智能化生产的重要引擎,是实现智能化运营的动力,也是工业互联网创新发展的血液。
    但从形势上来看,针对工业互联网领域的数据安全形势却非常严峻,从能源行业、交通行业,包括智能工厂,近年来都有安全事件发生。特别是勒索攻击近年来非常猖獗,对工业数据的勒索攻击已经成为当前一个重大威胁。
    在大规模工业互联网场景下,数据流量大,攻击者的路径多,可以从网络端渗透到生产端,去窃取以往没有暴露在互联网中的工业数据;有的工业生产受限于网络资源或计算资源,高强度加密措施难以适用,数据传输也可能会面临泄露或遭窃听。
    同时,攻击难度降低。不管是在工业主机还是工业数据库、工业App上,只要任何一个环节存在漏洞或者后门,被攻击者利用,都将让黑客有机可乘。由于数据流动路径和流转方式更为多样,对网络攻击的追踪溯源难度也会变得更大。
    此外,人工智能、大数据等新一代信息技术的应用也带来了新的安全风险——工业数据集中汇聚到云端,会加大数据泄露的风险;攻击者还可利用人工智能技术,结合更多关联信息,通过数据挖掘技术,来获取到敏感信息等等。
    【3】
    再来看看我们在顶层设计方面的思考与进展。
    公安部网络安全保卫局原局长 顾建国:
    目前,已经发布和正在制定中的网络安全相关标准,已有将近30部。
    其中,包括以国标35273、个人信息安全规范为代表的一批个人信息保护和数据安全方面的标准,全面覆盖了个人信息保护、生物特征识别技术、数据安全等要求,以及网上购物、即时通讯、网络支付、网约车、音视频服务、快递物流服务等各个业务领域。
    但是我们也应该承认,在数据安全技术方面,我们还存在着不少短板和差距。比如较为时髦的差分隐私保护、多方计算、同态加密等等,这还都是人家的东西,我们不能老是跟在别人后面,邯郸学步,亦步亦趋,必须下大决心,加快自主创新的步伐,力争在关键核心领域取得重要突破。
    中国计算机学会计算机安全专委会荣誉主任,公安部第一、第三研究所原所长 严明:
    我们的等级保护发展到现在,已经形成了四大有力的支撑支柱:
    第一是法治定位。《网络安全法》以法律形式明确了等级保护制度,并且规定了关键信息基础设施保护,在等级保护的基础上实行重点保护。
    第二是技术标准。这些年来我们形成了相对完整且严谨的技术标准,支撑等级保护2.0一步步向前推进。
    第三是队伍建设。从网监到网络安全保卫、网安,已经形成了一个相对成熟且具有管理和执法能力的专业警察队伍。
    四是技术服务。目前,全国已有200多个等级保护评测机构,下一步还将引进关键信息基础设施保护的第三方技术服务队伍。
    下一步,数据治理如何与我们现有的信息化安全体制结合起来,是必须重点考虑并严格落实的一大问题。
    北师大网络法治国际中心执行主任、博导,中国互联网协会研究中心副主任 吴沈括:
    从欧盟GDPR,到美国云法案,再到2021年日、韩、印、新、南非等地区的新一代数据立法,数据安全的规则博弈一直在不断升级。
    我们可以从实际的案例中看到,不管是在美国,还是在欧洲,与数据相关的资产投资、出口管制,都已不再是一个假想,而是我们中国企业已经感受到的业务现状。
    在中国,从2015年的大数据纲要,到2020年关于“十四五”和2035年愿景目标的建议,数字化转型已经成为一个不可逆的国家战略部署。在不同层面,数据都已经成为我们工作的核心节点。
    尤其是侧重于数据安全的《数据安全法》,和侧重于数据保护的《个人信息保护法》,都让我们看到了很多立法者和国家层面的考虑:
    第一,数据作为国家基础性战略资源,关系到国内发展,也关系到国际话语权。
    第二,数据活动的全方位融合拓展和复杂的数据处理结构,给我们带来新的机遇,同时伴生更高风险。
    第三,以创新为主要引领和支撑的数字经济,需要完善的数据治理体系予以保障。
    第四,数字政府/电子政务的升级过程中,也亟待政务数据管理制度和开放利用规则的支撑。
    在《数据安全法》二审稿当中,我们看到了五项重要的制度:
    一,分级分类制度,包括未来各地区、各部门重要数据目录的制定出台。
    二、数据安全风险管理制度和数据安全应急处理制度,为单个企业的风控合规提供了一个有效的指引
    三,数据安全审查制度。
    四,管制物项数据出口管制制度。从目前来说,数据出口管制其实已经不是一个假想,已经成为在目前的业务实际当中所要面对的问题。
    五,数据安全国际对等制度。我们现在能看到企业在国内经营以及在海外扩展的过程当中,如何来预判不同的制度之间可能产生的冲突和协调,以及可能的解决方案,比如关于数据跨境流动领域的标准合同问题。在这方面,中国的立法设计和欧盟以及其他国家的立法设计之间已经产生了互动。
    中国工程院院士 沈昌祥:
    在数字化条件下,网络安全已经从网络空间扩展到物理空间。网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。
    面向未来,我们必须调整理念,从系统工程角度来解决数据安全问题,要构建一个主动免疫的网络安全保障系统。
    这个系统的目标,是实现“六不”防护效果:攻击者进不去,非授权者重要信息拿不到,窃取保密信息看不懂,系统和信息改不了,系统工程瘫不成,攻击行为赖不掉。
    工信部网络安全产业发展中心副主任 李新社:
    数据治理的根本的目的,不是治理,而是通过治理发展产业,推动经济。
    在2014年,工信部用的词是信息安全,2018年,变为了网络安全。未来,网络安全一定要突破“网络”两个字的本意,把它看成一个空间、社会,从整体的安全角度来考虑这个问题,从产业大局面来考虑这个问题。
    要进行数据治理,不能只谈技术。数据安全的问题,归根结底是个法律问题、管理问题,是经济社会过去没有碰到过的新问题,是全球所有国家在数据治理过程中同时要面对的问题。
    在新型的社会构建过程中,从生产要素、构成环节、治理过程、治理方法、法律法规、人的要求,都在发生巨大的改变!接下来,所有现实社会的场景,都可能反映到信息数据治理之中。
    【4】
    最后看一下,在网络安全落地过程中的一些实践与思考:
    中科院信息工程研究所大数据安全研究室主任、信息安全共性技术国家工程研究中心主任、研究员 王伟平:
    大数据在提升国家治理能力和产业能力的同时,也给我们带来了新的数据安全风险。零散的低价值数据经过聚合和挖掘,可能会产生新的数据价值。
    与传统的资产不同,数据从产生到销毁是一个动态的生命周期。我们对整个生命周期的安全过程域进行了定义,从产生、传输、存储、交换、处理和销毁,以及一些通用的安全需求,定义了30个技术点,都有安全的问题需要考虑。
    从数据资产的角度来看,整个数据安全治理体系还需要从数据资产的识别、分级分类以及数据的安全防护和安全监管三个方面,来构建完整的数据安全治理体系。
    腾讯安全总经理王宇:
    根据第三方数据,2020年的网络犯罪数量,较2019年增长了300%,同时,有80%的公司和85%的远程办公用户反映,受到了更多的网络攻击。
    而从腾讯内部的监控数据来看,2020年受到的攻击数量,是2019年的5.8倍;而个人设备的失陷率,是内网设备的18.6倍。
    在远程办公场景中,个人设备已经成为一个薄弱环节,远程办公需求给企业带来的安全问题,也已经成为企业网络安全的一个新常态。
    传统的网络架构也是我们说的边界防御,它主要是以封堵围的方式进行企业边界保护,是一种护城河式的防御体系,但是一旦突破边界,内部所有流量都是完全信任的,对于内部的访问不会做任何的控制。
    相比传统的防护理念,零信任强调的是持续验证和永不信任。它以身份安全为基础,在这个过程当中融合多因子的持续校验,做到最小化的授权。
    这个体系的构建,是假设我们在一个被攻陷的网络环境下,如何用多维度的数据去进行这样的一个校验,结合端到端的网络加密。这是一个更加符合未来安全趋势的理念。
    安华金和联合创始人兼副总裁 杨海峰:
    过去两年以来,我们在数据安全治理实践落地的主要经验是:数据需要全生命周期的、覆盖各种业务场景的、体系化的防护。
    我们所做的核心工作,是帮助客户从管理、技术、运营等多个方面,建立一个完整的数据安全治理体系,实现对数据流动性的保护和监控。
    针对数据的生产、采集、存储、使用等各个环节,从数据库侧的访问,到业务侧的数据访问,一直到终端侧的访问,我们建立起了一个完整的、联动式的追踪体系。从而帮助各行业客户清楚知道数据的流向,实现对数据安全的持续保护,即使出现泄露,也知道数据泄露到哪里去了,知道应该如何追踪、如何定责等等。
    在这个过程中,最重要的不是提供基础能力,而是通过我们持续的运营策略监督,来实现对数据安全治理专业、规范、易操作、可持续的落地。