近年来,网络安全问题屡见不鲜。从西北工业大学遭受境外网络攻击,到Facebook用户账号密码被泄露,数据泄露、网络攻击等问题频频发生。有数据统计,2022年全球多个国家频繁发生数据泄露事件,数据泄露事件总计超过20000件。
如何预防网络安全问题再次发生?进入5G时代之后,数字安全面临着哪些新挑战?全国两会期间,南都记者就此专访全国政协委员、全国工商联副主席、奇安信科技集团董事长齐向东。
齐向东指出,我国政企机构的数字化系统长期缺乏网络安全运营与维护,导致漏洞较多,容易遭到黑客攻击,已经成为数据泄露的主要源头。
网络安全要遵循“零事故”标准
南都:今年是你第一次履职全国政协委员,重点关注哪些方面?
齐向东:今年两会,我聚焦民营企业发展和国家网络安全能力提升两大方面,提了五份提案。其中两个提案是《关于网络安全要遵循“零事故”目标的建议》和《关于数据安全任重道远,需要有决心、恒心和信心的建议》。
去年,奇安信作为北京冬奥网络安全官方服务商,创造了奥运“零事故”的世界纪录。这场大型实战的胜利启发我们,网络安全“零事故”是可以实现的目标。因此,我建议以“零事故”为目标筑牢我国的网络安全防线。在数据安全保护方面,需要政府部门坚定决心,加快推进网络安全合法合规落地;网络安全厂商坚定恒心,以“零事故”为目标提升数据安全保障水平;全社会坚定信心,从我做起,建立纵深防御的内生安全系统。
南都:如何理解这里的“决心、恒心和信心”?
齐向东:具体来说,主要是三个层面:
政府主管部门层面,建议制定相关法律法规的实施细则,强化网络安全工作一把手责任,对瞒报、漏报网络安全事故依法追究责任,倒逼企业机构加大网络安全投入。建议财政部明确要求在新增IT预算中10%用于网络数据安全建设。
网安厂商层面,建议网络安全厂商以“零事故”为目标,持之以恒地开展高强度科技创新,重点骨干科创企业应连年保持15%以上的研发费用收入占比,用先进技术跑赢“网络犯罪”。
政企机构层面,要承担数据安全主体责任,当涉嫌踩数据安全红线时,能通过技术手段自证清白,自觉接受安全审查。建议政企单位要加大网络数据安全系统建设的投资,安全系统占IT投资比例要达到10%以上。
政企机构是主要的数据泄露源头
南都:奇安信是网络安全的领军企业。在你看来,目前我国网络安全行业有何特点?面临哪些挑战?
齐向东:目前我国的网络安全行业已经进入高速增长阶段,竞争激烈,发展空间广阔。在我看来,网络安全行业面临的挑战主要有三方面:
首先是网络安全理念落后。社会对网络安全建设的理解仍停留在“有病治病”的阶段,片面认为网络安全就是简单的网络防御,对网络安全应付了事,网络安全防护手段落后。
其次是政企机构缺乏应对全球网络战的能力。俄乌冲突爆发说明网络战场已经与热战战场紧密关联,网络防线关乎现实战局。绝大多数政企机构在面对强势网络攻击时只能被动挨打。
最后是多数政企机构缺乏数据安全能力。现在数字经济高速发展,政企单位的数据量激增,数据存储、加工、使用和交换安全问题突出,因为事发突然,政企单位普遍缺乏安全能力。
南都:如何才能提升政企机构的安全能力,保障政务数据安全?
齐向东:近几年,大型数据泄露事件时有发生。其中最主要的泄露源头,就是政企机构的数字化系统长期缺乏网络安全运营与维护,导致漏洞较多,容易遭到黑客攻击。
保障政务数据安全,要从三个方面入手:
一是要有数据安全态势感知能力,达到“三个知道”:知道有没有攻击,知道有没有罪犯进来,知道有没有数据丢失。
二是要防外部攻击。数据安全难,难在数据的应用广泛,不能锁在保险柜里,内部人在用、外部人在用、还有App调用,外部攻击就隐藏在其中,识别难、防护难,解决办法是建系统。
三是防内鬼。网络安全问题不仅仅是一个技术的问题,更是人的问题——据统计,数据被盗90%以上和内部人有关。“防内鬼”的重点对象是“三员”:技术员、管理员、操作员。解决办法是用零信任架构和特权账号管理来牵引数据安全体系建设。
南都:随着疫情防控政策的调整,有观点认为,健康码应该完全退出,涉疫数据也应尽快销毁。对此,你怎么看?数据“善后”的过程中,有哪些安全问题值得注意?
齐向东:我认为,健康码的数据需要删除或者做匿名化处理,因为当中包括诸多个人信息。如果要使用,也得在用户自主同意后才能使用。
在这个过程中,有关运营部门需要及时公开数据的流向、删除或者匿名化的有关情况,并接受有关部门的监督。如果被利用到其他地方或牟利等非正常途径,每一个公民都有权利拒绝。
我国网安产业还在初期成长阶段
南都:你曾提出,5G时代,传统安全防护将完全失效。5G时代的数字安全面临哪些新挑战?如何建立全新的防护机制?
齐向东:5G时代数据流通速度更快,接口更多,每一个信息接口都是一个风险点,带来了很多安全风险。首先是终端设备种类多数量大,防护“盲点”激增。其次是新技术广泛应用,安全风险层出不穷。
应对这些挑战,需要建立完整的内生安全体系。2020年,我们提出“内生安全框架”,用系统工程的方法将内生安全理念落地,真正转化为体系化的网络安全。我们将安全能力融入到业务场景中,从源头端做好安全建设、安全监控,最大程度降低安全风险。
南都:产业界对于增加网络安全投资的呼声一直很高。据你观察,目前我国对于网络安全行业的投资和重视程度如何?
齐向东:有数据显示,我国网络安全产业每年有15%-25%的高速增长。政企单位对网络安全体系建设的投资和重视程度在不断提升,不论是硬件、软件还是网络安全服务的市场都是在稳步扩大。但与发达国家相比,还处于初期成长阶段。
一方面,政企客户网络安全建设预算过低,与发达国家相比还有很大差距。比如,根据美国白宫公布的2023财年预算提案,非国防联邦机构的网络安全预算占IT预算比例达到了16.57%,而我国的政企机构的网络安全投资占比仅在3%左右,有巨大的上升空间。
另一方面,政企客户的需求处在从买产品向买体系化服务的过渡期。网络安全是攻防对抗行业,只有以“零事故”为目标的体系化服务,才能不断发现网络数据系统的薄弱环节,进而产生扩大的市场需求。
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/1589.html