2022第十屆西湖論劍·網絡安全大會於7月2日至3日在北京、杭州兩地舉辦,安全419作為本屆大會的官方合作媒體,於業內首創第二直播間,以多元視角對大會進行會場探秘、在線點評和亮點解讀,為觀眾朋友奉獻全天候有趣又有料的視聽盛宴。
在第二直播間的「西湖論劍·大咖訪談」節目中,針對會議期間大家頗為關注、熱烈討論的重點熱點話題,我們特別邀請到中國科學技術大學公共事務學院、網絡空間安全學院教授左曉棟作客直播間,為大家再度詳解分析,一探網絡安全產業發展的脈絡與趨勢。
做網絡安全,既要低頭拉車,也要抬頭看路
為攜手應對網絡安全面臨的新形勢、新挑戰,進一步賦能行業高質量發展,經過多渠道徵集、網友投票及專家評選等環節,本屆大會發布了“網絡安全未來十大趨勢展望”,分別是:網絡安全頂層設計,主動免疫可信計算,隱私計算,數據安全治理,新技術新應用安全,關鍵信息基礎設施安全保護,網絡安全保險,軟件供應鏈安全,數字貨幣安全,網絡安全教育、技術與產業融合。
左曉棟教授表示,網絡安全建設既要低頭拉車,也要抬頭看路,認清方向、把握趨勢是極為重要的。其總結該評選結果體現了兩個“一以貫之”、兩項重點工作、以及兩個“新”。
“一以貫之”其一,要持之以恆地加強網絡安全的頂層設計。2021年,《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相繼發布實施,配套細則規範正在不斷完善中。正是這樣經過多年的建設,才讓我國的網絡安全工作能夠處於一個基本健全的頂層設計之下有序地開展。其二,要始終重視先進的網絡安全技術。網絡安全是攻防兩端能力的對抗,只有攻關了核心技術,國家的網絡安全體系才能構築起堅強的屏障。主動免疫可信計算位列十大趨勢第二位,正充分說明了我們需要有創新、管用、好用、且自主可控的技術來解決問題。
網絡安全工作的兩項重點,分別是關鍵信息基礎設施保護和數據安全。伴隨技術發展和時代進步,關鍵信息基礎設施成為面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的樞紐,它們的中斷或破壞將對重要的社會功能產生嚴重影響。與此同時,海量數據承載着越來越重要的信息,並成為業務發展與決策判斷的重要支撐,事關個人隱私、企業機密以及國家安全,成為一個獨立保護的焦點,無論是監管還是大眾,都高度重視。十大趨勢中的隱私計算、數據安全治理、關鍵信息基礎設施安全保護等均涉及這兩方面的工作。
兩個“新”,其一是新的產業方向,順應大環境的變化,網絡安全形勢在發展,必然會有新的技術、新的解決方案出現,並形成新的業務與新的業態,比如網絡安全保險正成為更多企業用戶的選擇。其二是新的威脅對策,技術與應用的日新月異帶來新的網絡威脅,安全工作會有新的關注點,需要有新的對策,十大趨勢中的新技術新應用安全、軟件供應鏈安全,數字貨幣安全等都與此有關。
探索未來數字世界 讓安全成為發展的一部分
延續未來趨勢的話題,在本屆大會的網絡安全趨勢論壇,就開啟了一場關於“探索2050,未來數字世界安全對話”的主題討論。左曉棟教授指出,未來數字世界,安全與發展應該並駕齊驅,以安全保發展,以發展促安全。如今的安全建設與企業具體的業務發展依然處於彼此獨立的狀態,安全從業者們在非常辛苦地教育用戶、培育市場,但用戶最關心的肯定是自己的業務,安全始終是一個成本項的角色。因此需要建立一個基本認知——用今天的眼光、站在今天的角度去想象未來的問題是不成立的,需要站在發展的角度、用發展的眼光來看待這一切,才能對未來做出精準的判斷。網絡安全,不能只滿足於與信息化設計建設同步實現,還應該達到更深層次、更全面的融合,讓網絡安全真正成為發展的一部分。
數字城市的建設成果 安全必將是重要一環
2021年12月,中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》,提出要“持續完善數字中國發展評價指標體系,動態跟蹤監測數字中國建設進展,定期評估實施情況,分析判別潛在風險,發布數字中國發展報告。”作為響應,安恆信息與賽迪研究院在本屆大會正式發布《數字城市網絡安全評價指數白皮書(2022)》,其中首次提出“數字城市網絡安全評價指標”這一概念及評價標準,從安全的維度,為數字城市發展評價指標體系的建立,提供重要參考。
左曉棟教授進一步指出,技術發展驅動數字城市快速建設,目的自然是為了讓大家擁有更美好的生活。去評價一個城市的幸福指數,安全一定是必不可少的一個維度。再高級的智能技術、再豐富便捷的應用,如果需要讓人們讓渡安全,帶來的只會是步步驚心與危機四伏,這失去了城市需要給人溫暖的初衷。數字城市的建設需要考慮網絡安全頂層設計、管理機制、基礎設施安全、業務系統安全、監測預警、響應處置與應急保障等多方面內容,建立數字城市發展評價指標體系,安全指數不但要有,而且權重應當提升。
釐清重要數據 是保障數據安全的基礎
數據安全在近年成為各方關注焦點,在本屆大會的數據安全治理和個人信息保護論壇上,左曉棟教授發表了題為《重要數據安全標準進展》的主題演講,他在節目中為大家解釋了標準制定的背景與意義。在我國的法律體系中,對運營者保障數據安全提出了相關義務,比如,保密法對保守國家秘密提出了法律要求,個人信息保護法對保障個人隱私數據提出了法律要求,一旦違反都將面臨刑法的嚴厲處罰。但是,隨着數據量級以及類別的膨脹,有相當一部分既不屬於國家秘密、也不屬於個人信息、甚至也難以歸類為情報的數據,它們一旦泄露將直接影響社會經濟運行、公民健康甚至是國家安全,亟需通過法律手段把這類“重要數據”的判別標準及保護制度補齊。
《網絡安全法》最早在數據出境安全評估制度中引入了重要數據的概念,《數據安全法》在設立我國數據分類分級制度時又強調了重要數據,並要求各地區、各部門確定本地區、本部門以及相關行業、領域的重要數據具體目錄。不僅如此,《數據安全法》以及其他多部法律、法規和政策文件對重要數據保護提出了一系列責任義務要求。顯然,一個組織是否收集、存儲和處理重要數據,對其數據安全合規有着重大影響。因此,什麼是重要數據,這成為了一個迫切需要回答的重要基礎性問題。
目前,國家標準《重要數據識別規則》正在按程序編製,最新發布的徵求意見稿將其定義修改如下:特定領域、特定群體、特定區域或達到一定精度和規模的數據,一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。在描述重要數據識別因素時,側重於從後果角度,而不是從數據類型角度。例如,無論是地理數據,還是戰略物資產能數據,都具有潛在軍事價值,可能被其他國家或組織利用發起對我國的軍事打擊。那麼,就需要從“軍事安全”角度描述該重要數據識別因素。
