齊向東表示,隨著數(shù)字化的深入,智慧場景的增加,我們已經(jīng)進(jìn)入“數(shù)智時(shí)代”。數(shù)據(jù)是重要的戰(zhàn)略資源,也是網(wǎng)絡(luò)攻擊的重要目標(biāo);人工智能是先進(jìn)生產(chǎn)力,也是關(guān)系到社會(huì)生產(chǎn)、生活安全穩(wěn)定的基礎(chǔ)設(shè)施。在這種大背景下,網(wǎng)絡(luò)安全面臨全新挑戰(zhàn)。
齊向東還和大家分享了以下三個(gè)觀點(diǎn):
第一個(gè)觀點(diǎn):從安全看數(shù)智,停服停工是挑戰(zhàn)。
一方面,數(shù)據(jù)安全事故可能導(dǎo)致“社會(huì)停服”,F(xiàn)在數(shù)據(jù)和智能與政府運(yùn)作、社會(huì)服務(wù)密切相關(guān)。“一網(wǎng)通辦”實(shí)現(xiàn)了數(shù)據(jù)多跑路、群眾少跑腿;從飛機(jī)、火車、公交出行,到公園、博物館、科學(xué)館等公共服務(wù),也幾乎看不到傳統(tǒng)票證卡,都是掃碼、刷臉。可見社會(huì)服務(wù)離不開數(shù)據(jù)了,一旦數(shù)據(jù)出現(xiàn)事故,就會(huì)導(dǎo)致“社會(huì)停服”。疫情期間,西安等地的核酸檢測、健康碼、行程碼就出現(xiàn)過不同程度的數(shù)據(jù)事故,導(dǎo)致社會(huì)停擺。再比如今年5月,美國一城市遭勒索,數(shù)據(jù)被加密鎖定,多項(xiàng)市政服務(wù)中斷。
另一方面,智能安全事故可能導(dǎo)致“生產(chǎn)停工”。現(xiàn)在數(shù)字工廠、無人工廠開始流行,勞動(dòng)工人減少,機(jī)器人增加。這些智能化生產(chǎn)過程靠數(shù)據(jù)驅(qū)動(dòng),一方面產(chǎn)品設(shè)計(jì)、生產(chǎn)工藝流程、檢驗(yàn)標(biāo)準(zhǔn)數(shù)據(jù)化,形成生產(chǎn)大數(shù)據(jù)中心;另一方面生產(chǎn)過程數(shù)據(jù)又回到數(shù)據(jù)中心,用于改進(jìn)生產(chǎn),產(chǎn)品銷售以后的運(yùn)行數(shù)據(jù)也會(huì)回到數(shù)據(jù)中心,用于改進(jìn)服務(wù)。如果發(fā)生數(shù)據(jù)事故,“智能”就會(huì)變成“傻瓜”,工廠就會(huì)“生產(chǎn)停工”。今年3月,空客德國工廠由于物流供應(yīng)商被黑,物料庫存數(shù)據(jù)無法查詢,被迫停工;還有之前美國科洛尼爾石油管道公司數(shù)據(jù)遭勒索,超8千公里的輸油管道被關(guān)閉,17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。
這些案例是“冰山一角”,在安全公司看來,政企數(shù)據(jù)化、智能化是“突如其來”,疫情三年是“加速應(yīng)急”,數(shù)智系統(tǒng)沒有做好安全準(zhǔn)備,沒有充分的安全技術(shù)規(guī)劃、安全體系建設(shè)、安全人才培養(yǎng)。所以從安全看數(shù)智,“停服停工”頻發(fā)是必然。
政府和企業(yè)要加快補(bǔ)上數(shù)智安全課。尤其這兩年,數(shù)智“安全紅線”越來越多,安全主體責(zé)任不斷壓實(shí)。今年4月,國家網(wǎng)信辦就出臺(tái)《生成式人工智能服務(wù)管理辦法(征求意見稿)》,強(qiáng)調(diào)服務(wù)提供者需要確保數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)。我國對(duì)數(shù)據(jù)違法的處罰力度也在不斷加強(qiáng)。今年3月,浙江一公司因數(shù)據(jù)安全違法,第一責(zé)任人被罰100萬元。
第二個(gè)觀點(diǎn):從數(shù)智看安全,“易攻難守”是常態(tài)
數(shù)智時(shí)代,網(wǎng)絡(luò)安全、數(shù)據(jù)安全事件越來越常態(tài)化。具體表現(xiàn)在三方面:
一是勒索攻擊常態(tài)化。勒索攻擊是網(wǎng)絡(luò)空間的“流行病”,就像人類的流行病一樣常態(tài),無法被根治。因?yàn)閿?shù)智時(shí)代攻擊窗口激增,漏洞不可避免,數(shù)據(jù)一旦被加密導(dǎo)致停工,客戶需要在停工損失和贖金損失之間做出選擇,不少客戶會(huì)選擇交贖金。又因?yàn)槔账鲌F(tuán)伙都是跨國作案,通過加密貨幣收取贖金,線索難見、證據(jù)難找,破案率接近于零,沒有法律的威懾,又有利可圖,勒索者、攻擊者隊(duì)伍不斷擴(kuò)大。數(shù)據(jù)顯示,85%的公司遭遇過至少一次勒索攻擊,同時(shí)有研究機(jī)構(gòu)預(yù)測,到2031年,全球勒索軟件造成的贖金損失預(yù)計(jì)將超過2650億美元,每2秒就會(huì)發(fā)生一起勒索攻擊事件。比如,今年6月,美國近百家政企機(jī)構(gòu)遭勒索;4月,中國臺(tái)灣電腦零部件制造商微星遭勒索;3月,荷蘭大型海運(yùn)物流企業(yè)遭勒索等等。
二是數(shù)據(jù)泄露常態(tài)化。數(shù)據(jù)的采集、存儲(chǔ)、傳輸?shù)雀鱾(gè)過程都存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。根據(jù) FBI和CSI等機(jī)構(gòu)聯(lián)合做的一項(xiàng)安全調(diào)查報(bào)告顯示,超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部。一方面,管理員、技術(shù)員、操作員這“三員”是打開數(shù)據(jù)大門的鑰匙,一旦成為內(nèi)鬼會(huì)導(dǎo)致數(shù)據(jù)安全防線不攻自破;另一方面,智能工具的廣泛使用,加劇了數(shù)據(jù)被動(dòng)泄露風(fēng)險(xiǎn)。數(shù)據(jù)顯示有2.3%的員工會(huì)將公司機(jī)密數(shù)據(jù)“投喂”到ChatGPT中,企業(yè)平均每周向ChatGPT泄露機(jī)密材料達(dá)數(shù)百次。
三是私挖濫采常態(tài)化。數(shù)據(jù)作為資源富礦,能給業(yè)務(wù)賦能、生產(chǎn)提效。一些企業(yè)組織為求利益以身犯險(xiǎn),無視數(shù)據(jù)紅線,對(duì)數(shù)據(jù)資源私挖濫采。去年,我們對(duì)全國應(yīng)用市場新收錄、新更新的118萬多個(gè)APP進(jìn)行了個(gè)人信息收集情況檢測,發(fā)現(xiàn)大量APP未經(jīng)用戶同意就收集用戶隱私數(shù)據(jù)。類似的事件還有汽車廠商私自采集人臉信息、犯罪團(tuán)伙違法爬取手機(jī)數(shù)據(jù)、餐飲企業(yè)過度收集用戶信息,嚴(yán)重危害百姓個(gè)人隱私和社會(huì)信息安全。
第三個(gè)觀點(diǎn),數(shù)智時(shí)代新要求,“零事故”標(biāo)準(zhǔn)是必然。
面對(duì)頻發(fā)的網(wǎng)絡(luò)安全事件和不斷加劇的網(wǎng)絡(luò)安全事件后果,以“零事故”標(biāo)準(zhǔn)進(jìn)行網(wǎng)絡(luò)安全建設(shè)成為了大勢(shì)所趨。去年3月,奇安信圓滿完成北京冬奧網(wǎng)絡(luò)安全保障任務(wù),給千行百業(yè)的網(wǎng)絡(luò)安全“零事故”樹立了樣板。
結(jié)合北京冬奧會(huì)的成功經(jīng)驗(yàn),我們給“零事故”下了三條標(biāo)準(zhǔn)。一是業(yè)務(wù)不中斷、二是數(shù)據(jù)不出事、三是合規(guī)不踩線。具體要做到以下三條:
一是用縱深防御的內(nèi)生安全體系,保業(yè)務(wù)不中斷。圍墻式、碎片化的安全防護(hù)不再適應(yīng)數(shù)智時(shí)代的需求了,必須進(jìn)行體系化的規(guī)劃、建設(shè)、運(yùn)營,構(gòu)建縱深防御的內(nèi)生安全體系。所謂內(nèi)生,就是把安全能力內(nèi)置到數(shù)智系統(tǒng)的全鏈條中,從而實(shí)現(xiàn)安全能力的無死角,為及時(shí)發(fā)現(xiàn)攻擊打下基礎(chǔ);也是從規(guī)劃、建設(shè)、體系運(yùn)行到實(shí)戰(zhàn)結(jié)果,再通過對(duì)實(shí)戰(zhàn)結(jié)果實(shí)時(shí)評(píng)估來指導(dǎo)新的規(guī)劃、建設(shè)、體系運(yùn)行,安全能力在螺旋式上升的反復(fù)循環(huán)中,不斷提升,進(jìn)而保衛(wèi)數(shù)智世界的安全;還是一種攻擊免疫力,利用大數(shù)據(jù)、大模型、通用智能不斷提升對(duì)未知攻擊的發(fā)現(xiàn)和阻斷能力。像人的免疫系統(tǒng)一樣,每戰(zhàn)勝一次病毒,都增強(qiáng)一次病毒抗體,“吃一塹長一智”、“經(jīng)一事識(shí)一人”。所謂縱深,就是保證多道網(wǎng)絡(luò)安全防線聯(lián)動(dòng),一道防線被突破還有其它若干防線攔截攻擊。只有這樣,才能真正保證數(shù)智時(shí)代復(fù)雜業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)不中斷。
二是用全鏈條數(shù)據(jù)安全保護(hù)系統(tǒng),保數(shù)據(jù)不出事。數(shù)智時(shí)代,數(shù)字安全風(fēng)險(xiǎn)挑戰(zhàn)大,防護(hù)要求高,傳統(tǒng)數(shù)據(jù)安全套件防護(hù)不能勝任,需要體系化的安全能力來應(yīng)對(duì)。今年上半年,我們發(fā)布了“奇安信天盾”,以數(shù)據(jù)資產(chǎn)為核心,形成了一個(gè)集“事件監(jiān)測、風(fēng)險(xiǎn)分析、策略調(diào)整、訪問控制”為一體的全鏈條閉環(huán)體系。它還采用了零信任架構(gòu),包括零信任接入網(wǎng)關(guān)、業(yè)務(wù)應(yīng)用網(wǎng)關(guān)、環(huán)境感知和動(dòng)態(tài)權(quán)限控制等,和傳統(tǒng)認(rèn)證系統(tǒng)相比較,在認(rèn)證主體角色的基礎(chǔ)上,疊加IP、設(shè)備、安全環(huán)境和時(shí)間、位置及其上網(wǎng)行為基線等屬性,對(duì)主體身份進(jìn)行動(dòng)態(tài)授權(quán)管理,能確保合適的人在合適的時(shí)間、以合適的方式,訪問合適的數(shù)據(jù)。這套“組合拳”打下來,能真正實(shí)現(xiàn)數(shù)據(jù)安全“三能”:風(fēng)險(xiǎn)能看清、內(nèi)鬼能管好、攻擊能防住。
三是用人工智能的運(yùn)營體系,做到既安全又合規(guī)不踩線。人工智能就是“人+數(shù)據(jù)+智能”。做好安全合規(guī),不能從簡單的產(chǎn)品堆砌入手,要配合安全體系,從“管理、技術(shù)、運(yùn)營”三方面來開展數(shù)據(jù)安全的治理與防護(hù)工作。因此,我們需要建立起“人+數(shù)據(jù)+智能”的運(yùn)營體系并與流程充分結(jié)合,讓安全能力真正“活”起來。只有這樣我們才能有效實(shí)現(xiàn)多元數(shù)據(jù)匯聚,對(duì)安全風(fēng)險(xiǎn)進(jìn)行整體態(tài)勢(shì)感知,并在遭到威脅和攻擊時(shí)及時(shí)進(jìn)行預(yù)警和應(yīng)急響應(yīng),完成對(duì)網(wǎng)絡(luò)安全事件的閉環(huán)處置。同時(shí),還能根據(jù)業(yè)務(wù)場景和系統(tǒng)的實(shí)際情況和需求,不斷完善安全防護(hù)手段、優(yōu)化網(wǎng)絡(luò)安全防護(hù)策略,真正做到安全“合規(guī)不踩線”。