网络安全风险加速向现实世界渗透 必须统筹好数字安全和发展的关系 如何筑牢数字安全屏障 9月26日,2021年世界互联网大会乌镇峰会开幕。习近平总书记在贺信中强调,筑牢数字安全屏障,让数字文明造福各国人民,推动构建人类命运共同体。 新一轮信息革命浪潮下,以5G、大数据、物联网、人工智能等新技术为驱动,数字经济成为国民经济发展最快、竞争最激烈、创新最活跃的领域之一,信息化对经济社会的引领作用更加明显。 世界百年变局和世纪疫情交织叠加的新时代背景下,我国网络安全面临哪些新的风险?筑牢数字安全屏障有哪些有效手段?如何统筹好安全和发展的关系,持续释放数据资源红利?记者采访了中国移动通信集团有限公司副总经理、首席网络安全官李慧镝,奇安信集团董事长齐向东,之江实验室智能网络研究院执行院长张汝云等多位2021年世界互联网大会乌镇峰会与会嘉宾。 网络空间安全风险正加速向现实世界渗透,6G面临的安全攻击更加多样性和智能化 随着数字技术进入系统创新和智能引领的重大变革期,信息基础设施加速向高速率、全覆盖、智能化方向发展,相伴而生的非传统安全问题愈发凸显,网络威胁与传统威胁的融合交织对国家安全产生深刻影响,网络空间安全风险正加速从虚拟空间向现实世界渗透扩散。 记者:世界百年变局和世纪疫情交织叠加的新时代背景下,我国网络空间面临哪些新的安全风险? 李慧镝:大数据、物联网、人工智能等新兴技术助力数字化业务转型升级的同时,也暴露出全新的安全风险。近年来,国内外已发生多起不法分子运用人工智能技术实施自动化网络攻击、利用海量物联网终端实施DDoS(分布式拒绝服务)攻击,造成大面积网络瘫痪等严重安全事件。作为新一代移动通信技术演进的重要方向,6G网络在新技术、新网络、新业务等方面也面临全新的安全风险。 张汝云:新冠肺炎疫情加剧了世界的不确定性,给芯片等关键元器件的产业链供应链安全带来严峻挑战。由于西方国家在网络信息产业领域具有技术优势,我国在网络基础设施产业链引入了大量西方技术和设备,很难做到全产业链自主可控。其次,技术的自主可控并不代表自主安全。由于人类技术发展和认知水平的阶段性特征,即使实施自主技术,软硬件自带的漏洞和缺陷也可能会造成关键基础设施安全问题。 随着数据监管法律体系不断完善,加强个人隐私保护需要数据处理者明确责任、创新技术、加强监管 9月1日,《中华人民共和国数据安全法》正式施行,连同已经实施的《中华人民共和国网络安全法》和即将于11月1日实施的《中华人民共和国个人信息保护法》,共同构建起我国数据监管法律体系,三部法律明确了监督管理职责,特别是数据管理者、运营者以及个人信息处理者的数据保护责任。 记者: 相关法律法规出台后,对原来已有的经济运行规则、企业运营方式和理念带来哪些变化?如何落实好这些制度规定? 李慧镝:数据安全法的一个重要特征就是建立数据分类分级保护制度。中国移动建立了以数据安全管理办法为核心,涵盖数据分类分级、数据安全评估、大数据安全管理等在内的“1+N”制度体系,对用户个人信息的收集使用范围、使用原则以及收集使用的规范性进行明确要求,确保做到用户“知情同意”,并符合“最小必要”原则。对涉及用户个人信息等关键数据的系统平台,实施“金库模式”,使用客户信息模糊化等管控技术。 齐向东:对于个人信息保护领域屡被诟病的APP过度索权问题,数据安全法、个人信息保护法均作出相关规定,应用提供商应充分掌握在什么场景下,调用哪些权限是合规的,哪些权限是不合规的。这也要求第三方安全公司依据政府部门颁布的法律文件和规范要求,对企业APP隐私数据保护合规情况进行检测评估,形成隐私合规评估报告,提供整改建议,协助其通过相关认证。 区块链、隐私计算技术有助于破解数据安全与数据流通难题 随着相关法律制度的完善,我国数据要素市场全面进入“依法治理、有序发展”新阶段,但在数据合规的强监管下,如果数据拥有方不敢、不愿、不能共享,数据要素价值便难以发挥出来。有效平衡数据安全与数据流通问题,离不开关键技术的应用与突破。 记者:数据安全防护领域目前有哪些技术?在加强网络安全领域关键技术的自主创新方面,国内有哪些探索和成果? 张汝云:数据安全防护的难点在于如何在打破“数据孤岛”的要求下,充分保护数据安全。数据作为生产要素,就必须要解决确权、流通和隐私保护问题。其中,确权问题是基础。 区块链技术为数据确权和数据流转问题提供了解决方案。在数据确权方面,区块链结合了数据暗水印等技术,将数据和数据凭证紧密结合后再“上链”,其可信度更高;在数据安全流转方面,通过区块链智能合约和属性基加密等技术,能实现可监管的数据安全流转和多种模式流转,从而更加安全。 齐向东:隐私计算是破解数据利用和数据安全这对矛盾的重要途径。我们基于方滨兴院士提出的“数据不动程序动,数据可用不可见”的技术理念,推出“数据交易沙箱”,以安全分离学习技术为核心,具备开放式机器学习工作台、数据操作追溯审计、数据置换、沙箱计算容器和反隐私隐藏等多种功能,此外,还能在严格管控数据访问权限的基础上,支持对接多种数据源,确保数据所有权和使用权分离,做到只分享数据价值而不分享数据本身。 统筹好数字安全和发展的关系,需做好红线意识和安全流动两篇文章 从近些年立法与监管进程不难看出,兼顾“既要保护又要开发”“既要安全又要发展”一直是数据安全治理的核心理念。筑牢数字安全屏障,必须要统筹好二者的关系。 记者:在我国数字化深入发展的趋势下,应如何平衡好安全和发展的关系,让数据资源的红利持续释放? 李慧镝:首先,随着数据挖掘、收集等行为的日益频繁、深入,网络中海量数据的存在形态也由散在变为高度集中,新技术的应用使网络安全面临新的挑战,需不断提升安全技术水平。其次,在各类新技术的推动下,工业、农业、金融等传统行业正加速与网络融合,会产生前所未有的新业态,要统筹好新业态与安全边界拓展之间的关系,提升安全理论素养。再者,移动互联网的快速发展延伸了人们的听觉、视觉、触觉,扩大了交流的广度和深度,也需要提升安全应对能力。 齐向东:网络安全是伴生性技术,网络安全不会约束数字化和信息化,要平衡数据隐私安全与大数据产业发展,应做好红线意识和安全流动两篇文章。 第一篇文章是定制度,守好数据安全的三道红线,即APP采集红线、数据跨境流动红线、数据储存和保护红线。今年,工信部、国家网信办等相关部门已经通报、下架大量违规收集用户数据的APP,取消数千家备案网站平台。数据运营商作为数据活动的处理者,必须严格遵守相关法律,承担保护数据安全的责任。 第二篇文章是建系统,守护数据安全流动。数字经济发展需要数据安全流动,在这个过程中,一个单点失陷就可能导致重要数据泄露,带来严峻威胁。应从及时预警和处理、特权账号安全管理、邮件威胁检测系统、审查供应链、防止勒索攻击的内生安全框架等方面建立起完备体系,将数据安全流动和数据价值发挥相结合,真正助推大数据产业发展。 本报记者 侯颗 黄秋霞 |
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28
2021-09-28