2022第十届西湖论剑·网络安全大会于7月2日至3日在北京、杭州两地举办,安全419作为本届大会的官方合作媒体,于业内首创第二直播间,以多元视角对大会进行会场探秘、在线点评和亮点解读,为观众朋友奉献全天候有趣又有料的视听盛宴。
在第二直播间的「西湖论剑·大咖访谈」节目中,针对会议期间大家颇为关注、热烈讨论的重点热点话题,我们特别邀请到中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋作客直播间,为大家再度详解分析,一探网络安全产业发展的脉络与趋势。
做网络安全,既要低头拉车,也要抬头看路
为携手应对网络安全面临的新形势、新挑战,进一步赋能行业高质量发展,经过多渠道征集、网友投票及专家评选等环节,本届大会发布了“网络安全未来十大趋势展望”,分别是:网络安全顶层设计,主动免疫可信计算,隐私计算,数据安全治理,新技术新应用安全,关键信息基础设施安全保护,网络安全保险,软件供应链安全,数字货币安全,网络安全教育、技术与产业融合。
左晓栋教授表示,网络安全建设既要低头拉车,也要抬头看路,认清方向、把握趋势是极为重要的。其总结该评选结果体现了两个“一以贯之”、两项重点工作、以及两个“新”。
“一以贯之”其一,要持之以恒地加强网络安全的顶层设计。2021年,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相继发布实施,配套细则规范正在不断完善中。正是这样经过多年的建设,才让我国的网络安全工作能够处于一个基本健全的顶层设计之下有序地开展。其二,要始终重视先进的网络安全技术。网络安全是攻防两端能力的对抗,只有攻关了核心技术,国家的网络安全体系才能构筑起坚强的屏障。主动免疫可信计算位列十大趋势第二位,正充分说明了我们需要有创新、管用、好用、且自主可控的技术来解决问题。
网络安全工作的两项重点,分别是关键信息基础设施保护和数据安全。伴随技术发展和时代进步,关键信息基础设施成为面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的枢纽,它们的中断或破坏将对重要的社会功能产生严重影响。与此同时,海量数据承载着越来越重要的信息,并成为业务发展与决策判断的重要支撑,事关个人隐私、企业机密以及国家安全,成为一个独立保护的焦点,无论是监管还是大众,都高度重视。十大趋势中的隐私计算、数据安全治理、关键信息基础设施安全保护等均涉及这两方面的工作。
两个“新”,其一是新的产业方向,顺应大环境的变化,网络安全形势在发展,必然会有新的技术、新的解决方案出现,并形成新的业务与新的业态,比如网络安全保险正成为更多企业用户的选择。其二是新的威胁对策,技术与应用的日新月异带来新的网络威胁,安全工作会有新的关注点,需要有新的对策,十大趋势中的新技术新应用安全、软件供应链安全,数字货币安全等都与此有关。
探索未来数字世界 让安全成为发展的一部分
延续未来趋势的话题,在本届大会的网络安全趋势论坛,就开启了一场关于“探索2050,未来数字世界安全对话”的主题讨论。左晓栋教授指出,未来数字世界,安全与发展应该并驾齐驱,以安全保发展,以发展促安全。如今的安全建设与企业具体的业务发展依然处于彼此独立的状态,安全从业者们在非常辛苦地教育用户、培育市场,但用户最关心的肯定是自己的业务,安全始终是一个成本项的角色。因此需要建立一个基本认知——用今天的眼光、站在今天的角度去想象未来的问题是不成立的,需要站在发展的角度、用发展的眼光来看待这一切,才能对未来做出精准的判断。网络安全,不能只满足于与信息化设计建设同步实现,还应该达到更深层次、更全面的融合,让网络安全真正成为发展的一部分。
数字城市的建设成果 安全必将是重要一环
2021年12月,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,提出要“持续完善数字中国发展评价指标体系,动态跟踪监测数字中国建设进展,定期评估实施情况,分析判别潜在风险,发布数字中国发展报告。”作为响应,安恒信息与赛迪研究院在本届大会正式发布《数字城市网络安全评价指数白皮书(2022)》,其中首次提出“数字城市网络安全评价指标”这一概念及评价标准,从安全的维度,为数字城市发展评价指标体系的建立,提供重要参考。
左晓栋教授进一步指出,技术发展驱动数字城市快速建设,目的自然是为了让大家拥有更美好的生活。去评价一个城市的幸福指数,安全一定是必不可少的一个维度。再高级的智能技术、再丰富便捷的应用,如果需要让人们让渡安全,带来的只会是步步惊心与危机四伏,这失去了城市需要给人温暖的初衷。数字城市的建设需要考虑网络安全顶层设计、管理机制、基础设施安全、业务系统安全、监测预警、响应处置与应急保障等多方面内容,建立数字城市发展评价指标体系,安全指数不但要有,而且权重应当提升。
厘清重要数据 是保障数据安全的基础
数据安全在近年成为各方关注焦点,在本届大会的数据安全治理和个人信息保护论坛上,左晓栋教授发表了题为《重要数据安全标准进展》的主题演讲,他在节目中为大家解释了标准制定的背景与意义。在我国的法律体系中,对运营者保障数据安全提出了相关义务,比如,保密法对保守国家秘密提出了法律要求,个人信息保护法对保障个人隐私数据提出了法律要求,一旦违反都将面临刑法的严厉处罚。但是,随着数据量级以及类别的膨胀,有相当一部分既不属于国家秘密、也不属于个人信息、甚至也难以归类为情报的数据,它们一旦泄露将直接影响社会经济运行、公民健康甚至是国家安全,亟需通过法律手段把这类“重要数据”的判别标准及保护制度补齐。
《网络安全法》最早在数据出境安全评估制度中引入了重要数据的概念,《数据安全法》在设立我国数据分类分级制度时又强调了重要数据,并要求各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。不仅如此,《数据安全法》以及其他多部法律、法规和政策文件对重要数据保护提出了一系列责任义务要求。显然,一个组织是否收集、存储和处理重要数据,对其数据安全合规有直接重大影响。因此,什么是重要数据,这成为了一个迫切需要回答的重要基础性问题。目前,国家标准《重要数据识别规则》正在按程序编制,最新发布的征求意见稿将其定义修改如下:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。在描述重要数据识别因素时,侧重于从后果角度,而不是从数据类型角度。例如,无论是地理数据,还是战略物资产能数据,都具有潜在军事价值,可能被其他国家或组织利用发起对我国的军事打击。那么,就需要从“军事安全”角度描述该重要数据识别因素。