网络安全面临怎样的机遇和挑战?
近年来,全球数据安全形势愈发严峻,层出不穷的网络攻击事件,严重影响着全球企业数字化转型的正常进行,也极大地刺激了数据安全市场的需求供给。根据IDC统计,2021年中国数据安全产品与服务的总市场规模(包含隐私计算与区块链技术中的数据安全部分)达到12.43亿美金,约合80.2亿元。
而根据中国信息通信研究院发布的《中国网络安全产业白皮书》显示,未来五年(2020-2025年)全球网络安全市场规模复合年增长率为10.8%。
“传统的精准式防御体系已无法一体化解决数字基础设计的广义功能安全问题,网络空间安全发展亟需范式创新。”
在2022 CSO全球网络安全峰会上,中国工程院院士邬江兴分享了最新的数据安全技术实践经验。在他看来,解决数字经济时代关键基础设施底座安全,支撑数字社会健康有序发展,是我国数字化发展的重中之重。
为何近年来我国网络安全面临的挑战日趋严峻?对此,邬江兴提炼出三点根本原因。
首先是企业在数字化转型过程中,软硬件系统会升级缺陷代码,而代码缺陷导致安全漏洞不可避免;其次是全球化时代,信息物理系统产品的产业链中存在着软硬件后门病毒;最后,从一般意义上说,人类现阶段的科技能力和工程能力尚不能彻查网络安全中的漏洞,换句话说,我们仍无法逾越状态爆炸的这样一个壁垒。
挑战:战略缺位与分类模糊
聚焦到微观层面,伴随着数字化转型进程的加快和大量数据的产生,越来越多的企业对于网络安全也产生了极大需求。IDC中国研究副总裁钟振山在接受21世纪经济报道记者采访时表示,目前企业在进行数字化转型过程中并没有相应的进行数据安全方面的布局。
“现在是大家说我要上云,我就搬上云了。但是并没有相对应的安全的解决方案去保护企业核心的数字资产,其实这个是很多CSO(首席安全官)们需要考虑的,而且需要面临的一些挑战。”
进一步来看,目前企业内数据分级分类的落后是制约网络安全基础设施布局的一大原因。“数据合规使用的前提是数据的分级分类”,钟振山认为,数据的分级分类是数据安全里面一个重要的分支,也是保证数据安全的基础之一。
“网络安全往往与企业内部的敏感数据相关联,而数据分级的一个重要工作就是区分出敏感与非敏感数据,但是数据分类的前提先将其标准化,只有这样才能分辨出哪一部分是敏感数据,哪部分不是敏感数据。”
钟振山指出,这就要依靠对数据生命周期的考察,“企业采集的数据是各种各样的,通过不同的设备、不同的应用所采集的数据格式也并不相同。所以需要经过在传输的过程中,完成后、以及存储之前需要进行数据的格式化。借此在企业内部设立数据的标准,由此才能做下一步的数据的分类分级,并且真正合理、合规地去使用数据。”
2021年6月通过的《中华人民共和国数据安全法》同样明确提出国家要建立数据分类分级保护制度,其中指出,“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护。”
内生安全与隐私计算
面对无处不在的网络攻击,企业可以通过何种途径来保证自身网络安全?
对此,钟振山对记者表示,内生安全是近年来网络安全问题的一大解法。所谓内生安全,就是具有内生或内源性安全功效的构造或算法及其体制机制。按字面意思,内生就是靠自身构造因素而不是外部因素得到的内源性效应。
钟振山称,目前来看,各厂商无论是提供软硬件的解决方案,还是零信任解决方案,都是被动式的保护,但其实黑客所具备的能力远远超过了企业内部所具备的安全能力。“这个很遗憾,但是目前的现状就是企业没有被攻击并不是因为黑客进不来,而是他不想,或者说没有攻击到你。因为很多软件层面的应用存在着未知的风险和另类的漏洞。”
而内生安全的优势在于其本身就利用系统的架构、算法、机制、场景等内在因素获得了安全功能或属性。因此无论是硬件设备还是软件应用,其自身就具备了足够的安全能力。
但与此同时钟振山也指出,内生安全同样存在着一定的漏洞,“它没有足够的自我学习能力。现在网络的风险在不断地变化,网络环境也不断地变化。比如10年前的技术放在今天,其实是完全没有用的,所以内生安全有它的挑战,这是一个非常新的领域,现阶段来看,它可能还是停留在理论的层面。”
内生安全之外,隐私计算也成为网络行业内的一个焦点。对此,钟振山认为,隐私计算技术的出现可以从很大的程度上让企业规避一些个人信息泄露方面的风险,同样也能够保护企业的一些利益。
“隐私计算技术将来可以为企业解决一大部分网络安全方面的风险。在《个人信息保护法》和《数据安全法》出台后,企业如果违规就要上升到法律层面。而随着法律越来越完善,企业的责任也会变得越来越大,那么他们同样也需要去寻找合适的技术解决方案来确保他们不违法。”
