《数字经济》对话知道创宇赵伟 安全保障数字经济
“加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。”3月5日,十三届全国人民代表大会第四次会议召开,李克强总理作政府工作报告时说。
今年是十四五规划的开局之年,加快数字化发展已是明确目标。迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。
当下数字经济已然成为了国家发展的重点方向,网络安全的重要性愈加凸显出来。在此背景下,知道创宇赵伟受邀参加了工信部旗下《数字经济》杂志创刊号的采访,在数据安全保护、个人隐私、数据安全体系建设等方向上给出了我们的思考。
1
《数字经济》杂志:
结合国内目前的市场环境,您认为中国企业在数据安全保护方面面临哪些问题?
赵伟:
我认为主要有以下两方面问题。
第一,大部分企业没有足够重视数据安全问题。对数据安全来说,比外部威胁更致命的是内部的监管不力。内部员工因为疏忽意外导致的数据泄露、员工的监守自盗、员工受贿出卖数据以及过于宽松的数据访问政策,都是当前企业数据泄露的首要原因。
第二,网络攻击的手段越发的高级且影响巨大。就从近段时间的全球网络安全态势来看,以SolarWinds为代表的供应链攻击事件愈发的严重。据调查显示,大企业和中小型企业涉及第三方供应商(服务和产品)的数据泄露事件发生率分别为43%和38%,这是非常高的比例。供应链攻击意味着攻击者仅需对一个供应商进行攻击,将会让成千上万的企业同时受到攻击的风险。然而,除了供应链攻击外,当下网络钓鱼、鱼叉攻击、ATP攻击、勒索软件等攻击手段也是层出不穷,在如此高危的网络安全形势下,企业只要稍有不慎便会成为攻击者的目标。
2
《数字经济》杂志:
企业在数据应用过程中,该如何保护数据安全?个人又该怎样保护自身隐私?
赵伟:
对企业来说,保护数据安全是一个体系化的工作,并非是用几个安全产品就能将问题解决。网络空间随时都在动态变化,那么数据安全保护的方案也应是动态化的。但是整体的思路可以说是万变不离其宗,如确保数据访问安全、身份认证、数据分离、数据加密、数据部署的安全、内部网络安全、完善的备份体系等。这些思路,对所有企业都适用,只是落地到具体操作上,会有针对性的加强。
对个人而言自身的隐私保护也有很多工作要做。第一步,我认为也是最重要的一步,就是明确个人隐私的重要性。你可能会说,现如今谁还不重视个人的隐私呢?但事情恰恰相反,大部分的普通人对个人的隐私还停留在很浅的认识上,这样就导致有时候隐私已经泄露了却还不自知。其次,在遇到需要填写个人姓名、电话、身份证以及录入人脸或指纹等生物信息时,要再三确认第三方的合法性和安全性。当然,这一点更需要我们的监管部门加以督促,让拥有大量用户隐私的公司谨言慎行。
3
《数字经济》杂志:
一个科学合理的数据安全建设体系应该是怎样的?在这方面,贵企业是如何深耕布局的?
赵伟:
科学合理的数据安全建设体系,需要解决三大痛点问题:数据访问风险、数据流动风险以及数据运维风险。具体来说,数据访问的风险有:缺乏统一账号管理、缺失身份认证管理、数据授权能力弱;数据流动的风险有:缺乏审计溯源能力和数据保护能力弱;数据运维风险有:数据管理成本大、运维行为缺乏监督、高危操作缺乏管控。
知道创宇作为国内首批从事云防御的网络安全企业之一,十年前就已经确立了大数据安全防御的概念。立足网络空间测绘和云防御SaaS服务,为客户在线业务系统和网络边界提供AI高级防御。
十年来,知道创宇一直致力于对安全大数据的实践应用研究,成立之初,我们就持续聚焦以大数据、人工智能为核心,来解决网络安全问题。
4
《数字经济》杂志:
工程交付是目前被业界普遍忽略的痛点问题,贵公司在这方面是如何布局的?
赵伟:
交付涉及到的数据往往十分庞大且流程繁杂,中间容易暴露出安全问题。供应商在进行工程交付的过程中,必然会深入业主的业务流程,同时开发交付过程中,也必然会接触测试数据。软件交付项目通常会涉及到使用开源软件,而开源软件需要不断升级维护,客户由于资源所限,通常无法完全跟踪所有使用的开源软件,交付后的维护工作存在大量隐患。此外,如果交付项目是一个集成项目,那么还会涉及多个供应商,更增加了相关的数据安全风险。
因此,交付项目需要在方案设计阶段就从多方面考虑安全问题。
第一,接入客户的认证系统。当前企业软件有数种身份认证体系,例如微软安全御、LDAP、OpenID等,交付项目应该根据实际情况接入客户原先的认证系统,避免本地认证,尤其是管理员账号的本地认证。同时,如果必要,还要加上多因子认证,确保项目交付之后不遗留用户身份认证后门。
第二,遵循安全开发流程SDL,同时根据业务实际情况,构造测试数据而不是直接使用真实数据进行测试。
第三,对使用的开源软件做好配置管理,并实时跟踪相关软件的漏洞与补丁信息,做好安全性漏洞应急预案。
第四,做好安全风险计划。针对项目的每个环节梳理安全风险并制定应对方案,确保安全事件发生时,能够及时控制影响。
第五,建立零信任网络,确保每次数据访问都是经过合理授权的。
第六,关注开源安全情报,除了之前提到的开源软件漏洞之外,还需订阅关于自身数据安全事件的情报,并及时处置。最后,选择有安全集成资质的集成商。
5
《数字经济》杂志:
数字经济时代,数据已成为与劳动、资本、土地、知识、技术、管理等并列的生产要素,如何进行数据安全创新?
赵伟:
数据作为生产要素的重要作用日益凸显,以数字经济为代表的新经济成为经济增长新引擎。数据要素作为数字经济最核心的资源,具有可共享、可复制、可无限供给等特点,这些特点打破土地、资本等传统生产要素有限供给对经济增长推动作用的制约。与土地、资本等传统生产要素相比,数据要素对推动经济增长具有倍增效应。
正如联合国发布的数据创新议题所说:数据革命,包括开放的数据移动、众包的兴起、新数据收集信息通信技术的涌现、大数据可用性的爆炸式提高以及人工智能和物联网的出现,正在改变社会。计算和数据科学的进步,使得实时处理和分析大数据变成了现实。
据调查显示,国外数据安全保护的产品中,有一大类是针对用户个人隐私访问控制和合规处理的,而这类产品在国内却寥寥无几。这和国内外的立法进度差异息息相关。数据安全同样会随着数据基础设施和数据安全法规逐步演进,参考国外我们现在有大量的创新机会。
6
《数字经济》杂志:
请您谈一谈对目前数据安全行业的看法。有人认为协同联动是未来安全的方向,您认为这个行业的未来趋势是什么?
赵伟:
安全是基础技术,它在保护整个社会,尤其是未来的赛博空间社会,它需要的是真正的核心技术,比拼的就是核心技术的投入。现目前,数据安全行业也在不断涌现新的技术,例如同态加密、数据溯源、数据匿名化、数据访问管理、量子加密、主动数据防御、数据托管、区块链数据管理等。
人工智能、区块链、加密技术是企业数据安全的未来。人工智能、区块链和加密技术可能导致在企业网络上发现、存储、共享和伪装敏感数据方面的安全进度,可以预见的是,采用这些技术并着眼于数据安全的企业,将在这场游戏中处于领先地位。
展望未来,全球企业对于数据安全保护的需求将持续攀升,越来越多的新兴技术将催生新兴安全市场,进一步驱动数据安全与网络安全行业重构,赋能安全行业新价值,为个人隐私保护和数据信息安全保驾护航。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平在巴西媒体发表署名文章 7926013
- 2 中方:不会允许朝鲜半岛生战生乱 7924000
- 3 郑钦文回应撞脸科比 7821490
- 4 “钱凯到上海” 蓝图变通途 7790631
- 5 陪聊、哄睡…新兴业态要如何规范 7648851
- 6 熬糖大爷看着排长队生无可恋 7562759
- 7 主人忘记喂狗 狗叼着棍子追打主人 7457753
- 8 俄罗斯宣布临时限制向美出口浓缩铀 7356966
- 9 拜登:美国不支持台湾独立 7290175
- 10 中国海上风电装机容量领跑全球 7125211