點擊藍字·關注我們
AQNIU
訪談嘉賓:張小亮
研究員:沈 飆
分析師:林海靜
記 者:張桂玲
從2016年的「數字製造」到2019年的「數字鄉村」,再到2021年國家「十四五」規劃中的「加快數字化發展」,數字經濟已經成為重塑全球經濟結構、改變全球競爭格局的關鍵力量。伴隨數字化轉型的深入推進,虛擬世界與現實世界的邊界越來越模糊,安全已經從最初的計算機安全、網絡安全,演化為數字安全。
數字安全將會帶來哪些新挑戰?企業該如何應對這些挑戰?近日,安全牛邀請到萬里紅高級副總裁兼CTO張小亮博士,就數字安全相關話題展開深入討論。張小亮認為,網絡安全的本質是人與人的對抗。在數字安全時代,網絡安全威脅的攻擊面會不斷擴大,新技術應用導致的風險也會不斷出現。當我們面對更多不可控因素時,需要以人為本,通過管理手段和安全技術結合的方式,建立全棧式的安全框架,提供多維度的安全防護能力體系。
張小亮
北京萬里紅科技有限公司高級副總裁兼CTO,清華大學計算機系學士、碩士,中科院軟件所博士,正高級工程師,入選國家百千萬人才工程、首都科技創業領軍人才,獲國家「有突出貢獻中青年專家」稱號。
01
安全牛
隨着企業組織數字化建設的深入,一個全面數字化的時代已經來臨。從網絡安全的角度,您認為企業在數字時代所面臨的機遇和挑戰是什麼?
張小亮
從利好和機遇來看,國家制定了《「十四五」數字經濟發展規劃》,發展數字經濟已上升至國家戰略,產業數字化、數字產業化、數據價值化以及數字化治理產業規模快速擴大。數字經濟作為一種新興經濟形態,涉及行業非常廣泛,包括新型數字化基礎設施、數字化新應用與新業態,以及與數字化相關的數字安全。數字安全是促進數字經濟發展的關鍵要素,涵蓋網絡安全和數據安全等多個安全方向,貫穿數字經濟發展的各個方面。
從挑戰來看,隨着數字化浪潮滲透加速,網絡空間安全與物理實體安全之間的連接日益密切,安全威脅從虛擬網絡空間向現實物理世界蔓延擴散,滲透到生活各個方面,甚至嚴重危害到個人安全、企業安全乃至國家安全,數字世界面臨着前所未有的安全挑戰。主要包含以下幾方面:
第一,數字基礎設施面臨的安全挑戰。數字基礎設施作為數字經濟發展的底座和基石,是推進數字經濟發展行穩致遠的基礎。隨着雲計算、大數據、物聯網、人工智能等新一代信息技術飛速發展,我國數字基礎設施建設不斷完善,極大促進了國家數字化轉型、網絡化重構、與「AI+」產業升級,但同時也面臨更加複雜的安全挑戰。隨着數字基礎設施建設的深入推進,新型網絡架構導致網絡邊界日趨開放和複雜,傳統安全防護手段面臨功效降低甚至失效;同時,海量多樣化設備接入網絡也會導致網絡安全威脅的攻擊面逐漸擴大。
第二,應用數字技術引入的安全風險。隨着數字經濟的發展,雲計算、大數據、人工智能等數字技術全面融入各個領域,導致數據泄露和數據濫用風險大幅增加,這些都對數字安全提出嚴峻挑戰。除了數字技術本身可能存在的安全風險以外,數字技術廣泛賦能的過程中也可能帶來一些安全風險。例如,智能算法推薦造成的「信息繭房」效應,人工智能技術帶來倫理安全風險等問題。
第三,數據安全與隱私保護風險。數據是數字經濟最關鍵的生產要素,數據的價值在於流動,只有融合、流動、共享、加工處理、開發利用才能創造更大價值。在海量數據流通同時,會帶來數據安全和隱私保護方面的風險,甚至危害到社會安全和國家安全。我國已經出台《網絡安全法》、《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例(徵求意見稿)》、《關鍵信息基礎設施安全保護條例》等法律法規,為降低數據安全與隱私保護風險提供法治保障。
02
安全牛
數字基礎設施越來越多,新技術不斷湧現,必然會帶來新的安全挑戰。面對這些挑戰,企業該如何去應對呢?
張小亮
首先,從管理角度來說,數字安全管理在數字安全方面發揮重要作用,在引進先進技術的同時,也要建立高效的安全運營管理策略,構建並完善組織機構和流程,提高相關人員技術、管理和運營能力,從數字安全技術、數字安全管理、數字安全運營支撐、數字安全監管等四個層次構建設備、數據和人員等多要素協同的數字安全保障體系。有句話說得好,叫「三分技術、七分管理」,管住人才是更重要的,因為人是不可控的,需要通過建立規範制度加強管理。
具體的安全管理,企業可以從以下方面去應對:一是整體信息化和安全保密業務應該同步規劃、同步建設;二是要建立高效的運營管理體系,建立相應的組織和流程。國家等保、分保安全體系對管理制度、人員職責、技術防護都有非常詳細的規定,運營一個高等級網絡都必須有完善的組織,流程和制度的支持。三是提升人員的技術、管理和運維能力。我們需要從數字安全技術、管理、運營和監管等多層次構建一個綜合防護保障體系。
03
安全牛
在數字化時代,隨着新興技術不斷被攻擊者所利用,安全管理的價值會不會沒有以前那麼高?例如,當攻方的技術水平超出防護方,管理再好,技術不如人,照樣防不住。您如何看待這一現象?
張小亮
這就是所謂的「道高一尺,魔高一丈」。從安全本身來講,管理和技術都應該跟上,不可否認技術的作用。從技術角度來說,需要升級安全體系,構建全棧式數字安全框架,提供多維度的安全防護。
針對多維度防護,可能大家的理解也不一樣,我們認為應該有五個維度:
一維是數字基礎設施的物理安全,包括供電、消防、電磁防護、異地備份等一系列安全保障措施。
二維是傳統的網絡安全,包括終端安全和邊界安全。
三維是數據安全,以「數據」為中心的全生命周期安全,在數字基礎設施安全防護基礎之上,實現從數據採集、傳輸、存儲、使用、共享、銷毀等數據全生命周期安全。
四維是安全態勢感知能力和統一安全運營保障體系,在數據大量匯集的情況下,基於大數據分析技術,通過收集多元、異構的海量日誌,綜合利用威脅情報、關聯分析、機器學習等技術,可視化展示整體安全態勢,對於監控到的異常或安全事件進行自動化處置。
五維是數據溯源,也就是在安全態勢感知和統一運營的基礎上,輔助網絡攻擊追溯和數據溯源技術,進一步提升安全事件的溯源處置能力。
04
安全牛
您剛才提到說管理和技術都要考慮。那麼據您了解,現在安全廠商提供的解決方案中,管理和技術是一體化的,還是分開的?
張小亮
目前看到這兩種形式都存在,主要與網絡安全公司的戰略布局和產品定位有關。對於萬里紅公司而言,我們瞄準的就是數字安全和保密領域,定位是技術賦能者和綜合服務商。因此我們不是單純的產品提供商,應該說是綜合解決方案的提供商,具備為用戶提供技術賦能和綜合服務的能力。
在項目交付過程中,我們會跟用戶一起梳理物理資產體系、數據資產體系、權限管理體系和配套的管理制度,同時給用戶做相應的輔導和培訓。後期根據不同用戶的需求,還會匹配專業的運維人員為用戶提供完善的本地化技術支持,做到7*24H的運維保障。
因此萬里紅不僅為用戶提供信息安全保密、大數據與智慧政務、信創工程、生物特徵識別等領域的創新技術產品,更是為各個行業用戶提供整體的應用解決方案及「1+N」的全流程定製化服務。
05
安全牛
從數字安全這個角度來看,這是否意味着安全廠商不能只給用戶賣產品,還應該有完善的服務能力來配套支撐?
張小亮
對,安全服務化是行業發展趨勢。對於用戶來講,需要同時提升人員的技術能力和管理能力。安全是一個對技術要求非常專業的行業,在整個信息化技術範疇,安全也是一個相對複雜、知識要求門檻很高的領域。針對應用系統,用戶只要會操作就可以,針對安全領域,用戶需要對整個的安全風險、安全事件、安全攻擊、安全溯源與處置有一個深入的理解,實際上既需要構建專家系統,又要有專業運營人員。
在數字化時代,企業用戶的信息化建設水平正不斷提高,並逐漸通過購買產品附帶購買綜合服務,讓專業的人去做專業的事情。但在這個過程中,大量的安全廠商雖可以為用戶提供各種安全服務,也可能因管控不當出現各種泄密事件。在這種情況下,管理反倒更加重要,對服務商的訪問權限控制、訪問數據脫敏及操作行為審計等方面提出更高的管控要求。
06
安全牛
實現成功的數字化轉型對很多企業來說都是有挑戰的,因為既要保障業務更高效,又要保證數字化後的數據資產安全,這其實還挺難實現的。在您看來,應該如何平衡數據安全管控與業務高效開展的關係?
張小亮
數據安全實施的關鍵因素是對數據資產的梳理。摸清數據家底,按照數據重要程度進行分類分級,按照數據分類分級選定匹配的保護措施。絕對的數據安全是不現實的,需要兼顧數據安全與業務應用之間的平衡。現實中安全技術發展往往滯後於信息技術的總體發展步伐。安全與應用之間應該是相互促進的關係,安全保障應用,應用促進安全技術革新。針對兩者的關係,其實《數據安全法》給出了答案,就是「國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展」。
安全牛評
近年來,隨着大數據、雲計算、物聯網、人工智能、5G通信等技術的飛速發展,誕生了「數字經濟」這一新型的經濟形態,數字經濟的本質在於信息化。而想要保證數字經濟的良好運轉,則離不開「數字安全」。
對於攻擊者來說,永遠在技術的更新中,而對於防護者來說,木桶的每一塊木板都不能忽略,以往「修修補補」,哪裡出問題堵哪裡的方式已經跟不上實際的安全防護需求,需要從管理、技術、安全運營等多個維度建立以人為本的全棧式數字安全新體系,在工作中不斷改進,持續建立健全綜合的數字安全能力。
相關閱讀
用戶視角下的數據安全需求、挑戰與演進
金融行業滿足《數據安全法》監管要求的建議與應對機制
企業加強客戶隱私數據保護的12條建議
留言列表