8月26日,主题为“经营安全、安全经营”的2021北京网络安全大会(下称BCS)以云峰会形式举行。来自全球的顶尖专家、行业学者、企业高管们齐聚一堂,就当前网络安全的新形式、新趋势、新机遇等进行了畅谈和分享。
01
在BCS2021看网络安全新态势:网络安全形势复杂挑战
在BCS2021第一天的战略峰会上,大会名誉主席、中国电子信息产业集团有限公司董事长芮晓武指出,数字化、网络化、智能化融合发展,网络安全产业也迎来融合发展的新趋势。作为网络安全和信息化产业国家队,中国电子将携手奇安信加快推动可信计算技术融入先进计算架构、加快推动网络安全防护融入信息系统建设、加快推动生态体系建设融入产业发展进程,通过三个“融入”举措,推动网络安全产业融合发展。
BCS大会联席主席、奇安信董事长齐向东则表示,当前我们已进入DT(Data Technology)时代,网络安全形势非常严峻复杂,网络攻击威慑上升。齐向东指出,DT时代的网络安全正呈现出“三个”明显变化:第一个明显变化是,数据问题让国际关系变得越来越复杂。第二个明显变化是,数据资产成为了勒索攻击的头号目标。第三个明显变化是,针对关键基础设施数字化系统的攻击愈演愈烈。
齐向东进一步指出,DT时代,数据是人的延伸、交易的延伸、服务的延伸;数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。数据可以拿来做好事,数据也可以拿来做坏事。数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。
十三届全国政协社会和法制委员会副主任、公安部原副部长、中国友谊促进会理事长陈智敏指出,数据是网络安全的生命线,没有数据安全,就没有网络空间安全,没有网络信息安全,也没有网络信息基础设施的安全。切实保护好数据安全,不仅要加强政策、监管、法律的统筹协调,还需要从理论上法律上进一步解决数据权属问题。
俄罗斯前副总理谢尔盖·沙赫赖表示,网络安全已经成为国家和社会的主要安全问题,在世界范围内新冠疫情肆虐的背景下,每个国家都能够特别敏锐地感受到数字和信息通信的脆弱性。他希望建立中、美、俄高层的定期线上会晤机制,划出不得逾越的红线,构建国际网络安全体系。
与会专家、企业高管们分享的网络安全洞察虽然是总结性的洞察,但背后也都有着实实在在的对应事件,如欧盟颁布的GDPR和推进数字税计划,还有这几年肆虐全球的“勒索病毒”等。
通过CS2021峰会行业专家、企业高管等业界人士的分享可知,当前我们已进入DT时代。DT时代,无论是国家安全还是企业安全,都面临复杂且严峻的安全挑战。
02
DT时代,企业需要革新网络安全认知
虽然DT时代的网络安全问题日益复杂且愈加严峻已成为不争的事实,但不少企业对此却缺乏正确的认识。
这里说一下前段时间闹得沸沸扬扬的“滴滴数据事件”,2021年7月4日,国家互联网信息办公室发布了一则题为《关于下架“滴滴出行”APP 》的通报,内容如下:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。,7月9日,国家互联网信息办公室再次发布了一则与滴滴相关的通报:经过检测核实,“滴滴企业版”等25款APP存在严重违法违规收集使用个人信息问题。
为何滴滴IPO的第二天就被网络安全审查办公室根据《国家安全法》、《网络安全法》进行审查?因为它不仅存在违法违规收集、存储、使用个人信息,侵犯了用户隐私的问题,它的上市还可能存在危害国家安全的行为。
作为一家“大”企业,滴滴难道不懂法吗?这里我们不去深讨这个问题,但我们知道,滴滴对DT时代的网络安全是缺乏足够认知的。
那么,面对DT时代日益复杂且愈加严峻的网络安全挑战,企业该如何提升自己的网络安全认知,找到应对之策?
玺哥认为,DT时代,企业想要做好网络安全,首先要熟知DT时代网络安全的特征,其次要要在网络安全建设上进行理念革新,第三要将新的网络安全理念贯彻执行。以上三点,其实都能在今年的峰会上找到答案。
关于DT时代的网络安全特征,BCS大会联席主席齐向东已经在大会上进行了总结:第一个,企业经营者的安全责任,从以前的有限责任变成了无限责任。第二个,企业的经营活动,成为了国家网络安全的一部分。第三个,网络攻击破坏企业经营,变成了高频事件。
关于DT时代的网络安全建设新理念,今年的峰会的主题就是——“经营安全、安全经营”。在“经营安全、安全经营”提出之前,我们听得更多的是安全运营,运营安全,经营和运营虽然仅一字之差,但境界却完全不同,经营着眼全局,看的是未来,运营着眼整体,关注的是当下。一字之差,体现的却是齐向东的思辨,一次理念的蜕变。IT时代,企业更多关注的是效率问题,所以企业安全要从运营上要“效率”。DT时代,网络安全发生了颠覆性变化,变成了一个复杂活,成了企业生存和发展的关键。
第三,也是最为关键的一点,就是要将“经营安全、安全经营”理念落到实处,只有这样,企业才能真正搞好企业安全建设。
DT时代,企业唯有革新自己的网络安全认知,方能更好的应对日益复杂且严峻的安全挑战。
03
“经营安全、安全经营”不仅是新思维,更是企业DT时代必备的安全方法论
新的网络安全理念有利于企业更好的应对日益复杂且严峻的安全挑战,但是,企业光有新的安全理念并不能保证企业的能做好网络安全建设。
如上文所言,将“经营安全、安全经营”理念落地是企业做好DT时代的网络安全建设的关键。然而,企业要将“经营安全、安全经营”理念落地并不是一件简单的事情。因为他不仅涉及到企业网络安全“新”目标的设定,还涉及到企业资源的投入和人员调配等多方面问题。
齐向东将经营安全总结为“是对网络安全的“动态掌控”,只有让安全能力动起来,不断循环升级,才能破解复杂难题”。
但是,企业经营安全想要实现“动态掌控”并不容易,它需要三个前提。齐向东认为,第一个前提是设定一个能够因势而动、因时而变、与日俱增的目标。“在未来相当长一个历史时期,新技术、新应用、新场景不断涌现,因为新而且复杂,注定安全系统要不断完善,需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标,也可以理解为用内生安全框架实现安全的弹性或扩展性。”;第二个前提是对安全有足够的资源投入。“安全是没有性价比的,是以结果为导向的。DT时代,网络安全成了“一失万无”的事,按照投入产出的因果关系,有投入才会有产出。这意味着,我们必须对安全有足够的资源投入。这个资源既包括钱,也包括人”。事实上,在安全投入方面,工信部在《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%;第三个前提是要用专业高效的安全运营服务,来抵御复杂的网络攻击。“网络安全是高度复杂的攻防对抗,尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,攻击伪装者混在业务之中,很难一眼看穿。再加上有些网络攻击者有国家背景支持,单靠政企机构自己单一的力量无法抵御这种复杂攻击”。
有了以上三个前提还不行,企业还需要三个重要能力来提升对安全的掌控力。这三个能力分别是专业的安全认知能力,如对监管、运营、攻防三类态势感知的认知,二是全面提升安全能力,如把把安全的硬件产品软件化、安全产品资源化、安全产品服务化等,三是全面提升授信能力,如每个主体、每个客体进行的“权限最小化”授信能力以及对授信持续动态评估的能力等。
说“经营安全、安全经营”是更适合DT时代企业网络安全建设的方法论,是因为它不仅深刻洞察和论述了DT时代网络安全的三个变化和三个特征,以及这种变化在企业安全中的责任、与国家安全的关系,对企业发展的影响等问题,还在于它提出一种更加适应DT时代企业网络安全建设的“动态掌控”方法论。
在“经营安全、安全经营”方法的指导下,DT时代的企业安全建设将成为有据可依,有理可循的“新工程”。
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与 无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。