0
如今,数字化已经成为时代潮流,各行各业都在加速数字化转型。
数字化有三个特征:一切皆可编程、万物均要互联、大数据驱动业务,其本质是软件定义世界,城市、汽车、网络都将由软件定义。
这也意味着数字化让整个网络安全环境更加脆弱,安全风险更加无处不在,整个世界更易攻击,造成危害也更大。
12月13日,由杭州市人民政府和浙江省商务厅主办的2022首届全球数字生态大会于杭州国际博览中心成功举办。此外,大会同期设置“数字应用与技术”及“数字全球化”两大分论坛。邀请了来自海内外数字领域头部企业的技术专家和数字化项目负责人,全方位、多维度地探讨了数字技术的发展路径和趋势以及落地应用场景,以及数字经济时代下面临的安全问题。
在传统互联网时代,网络攻击的主体是网民,造成的后果基本是电脑蓝屏、文件损坏、恶意弹窗和个人信息被盗。
但在数字经济时代,网络攻击目的是摧毁一座关键信息基础设施,攻陷数据服务器等。当数据和一切实体经济越来越关系紧密时,网络和数据安全问题就会成为牵一发而动全身的关键问题。
没有安全支撑的数字经济,就仿佛一滴血掉进了海洋里,仅凭血腥味就能吸引无数的鲨鱼。
数字经济时代是大数据利用时代,随着互联网发展,数据窃取、网络黑市数据交易等现象层出不穷。这背后反映的是,在进行数字化转型的过程中,我们的企业面临着更加严峻的网络系统攻击、隐私泄露等安全问题。
北美天然气巨头Superior Plus遭勒索、葡萄牙最大的电视台和报纸媒体Impresa遭到勒索软件攻击而瘫痪、欧洲港口石油设施被黑客攻击导致油轮无法靠港、红十字国际委员会(ICRC)遭遇高级网络攻击导致数据泄漏......
每年全球企业发生的数据泄漏、勒索攻击安全问题数不胜数。如果企业对于数字化转型后的网络安全工作普遍认识不足,会造成频繁的业务停摆和安全事故。
因此要同步推动数字化发展与安全,数字安全是数字经济发展的前提和根本保障。
云安全联盟(CSA)大中华区副院长贾良玉
在大会现场,云安全联盟(CSA)大中华区副院长贾良玉提出:数字经济包括三层架构五大核心基础。
三大架构包括了底层的和数字货币相关的基础设施;中间层的数字金融、数字资产;最上层则是数字商业、数字产业、数字生活、数字政府和数字社会。
五大核心基础包括了数据、算法、算力、网络、存储。
而数据已经成为除土地、劳动力、资本、技术之外的第五大生产要素。贾良玉指出数据资料变成资产,其核心要解决安全可信的问题,数据要做到保真、确权、合规不是一件容易的事情。要想让数据创造价值,首先要有安全保障,可信的流转才能发挥数据的价值,形成价值网络。
我们先来看一下世界各国是如何保障数据安全的。在欧盟,也是现在世界各国用的较多《通用数据保护条例》(GDPR),他们强调的是平衡数据的流动和安全;在美国,是以市场为主导,行业监管资质为主,制定了《加州消费者隐私法》(CPPA)满足隐私和数据治理的要求;中国是强监管保障安全,比如发布《数据安全法》《个人隐私保护法》等。
默安科技副总裁沈锡镛
数据安全是一方面,回顾过去,可以发现企业在每个阶段都对安全提出了不同的需求。据默安科技副总裁沈锡镛总结:
第一个阶段:互联网起飞之前,基本上还是以合规驱动;
第二个阶段所有的需求基本上都来自于互联网场景,公司开始自己招聘安全技术人员,保障自己的互联网业务不受损。
第三个阶段,进入产业互联网阶段,各行各业进入数字化转型。互联网技术开始向各行各业蔓延,企业真正意识到纯靠一些防护性的安全产品,没有办法跟上技术迭代所带来的问题。安全要开始紧跟it基础设施跟业务,走向源头走向整个数字生态的全流程。
贾良玉告诉雷峰网:“要想发挥数字经济的巨大作用,要在全球范围内遵循共同的数字安全原则。例如中国提出了《全球数据安全倡议书》,联合国也提出《全球数字契约》,希望大家融合起来一起建设一个多边普惠安全开放、公平合作、自由共享,有序发展的网络空间命运共同体。”
在信息化和数字化的背后,网络安全的概念也几经变化,变成了完全不同范畴的模样。最早的网络安全概念是指network security,也就是网络的安全的意思。近些年我们所提到的网络安全,更多的是指网络空间安全,从认知上它是复杂的,监管者关注的是合规的问题,管理者关注的是责任的问题,对于大部分工程师来说关注的是技术问题。
Gartner在报告中指出,数字业务的发展速度比传统业务要快得多,因此,为实现最大限度的控制而设计的传统安全方法将不再适用于数字创新的新时代需求。
因此近几年兴起云原生安全、零信任安全、供应链安全等。其实没有任何一种安全手段能够100%的保证完全的安全。安全问题仍旧是企业迈向数字化转型途中最令人担忧的问题。
IDC公司也曾经调查发现,高达71% 的高管认为对网络安全的担忧正在阻碍其组织内的创新。2017年,WannaCry勒索病毒的影响,至今犹如眼前,150个国家,超过50万设备被感染,在全球造成约100亿美元的经济损失。
即便现在,数字化转型项目经常会因为引入安全过晚,或压根没有引入安全等问题而被迫叫停。事实表明:很多企业高管担心他们的数字化转型工作会因安全团队的干预而受到阻碍或限制。
但是随着数据泄露、恶意软件和漏洞数量的急剧增长,让人们意识到缺乏安全的数字化转型将致使企业面临更大的安全风险。
雷峰网在与许多安全企业管理者对话的过程中发现,目前很多企业在这几年的市场教育下,已经逐渐意识到网络安全问题的重要性。
同时,国家也开始下功夫,重新修订一些法律法规,比如按照《网络安全法》,以前对企业罚款从最高100万,现在提高到5000万或上一年度营业额的5%,对直接负责的主管人员从最高10万元提高到100万元。这迫使企业不得不把安全做在前头。
贾良玉告诉雷峰网,在企业数字化转型的过程中,对于企业来说,第一,要做到合规;第二企业内生的安全需求,也就说业务的安全需求本身。
当意识问题得到解决之后,企业在进行安全建设时候,安全资源不足的问题又被摆出来了。
首先是,大多数企业普遍缺乏安全专业人才;其次,大多数企业运行的仍然是依赖传统安全技术的复杂网络,一来无法防御外部风险,二来,内部员工可以访问工作信息,内鬼泄漏数据的风险增加;另外企业还要平衡业务和安全的关系,在企业发展的不同阶段,对安全的需求也不一样。
总的来看,企业在数字化转型的过程中,面临的最重要的三大安全问题就是数据篡改,数据泄露以及业务中断。
那么到底怎么解决呢?
随着产业数字化与数字产业化所带来的场景和需求日益复杂和深化,即使是巨头型的供应商,也都将无法满足客户全部需求,生态合作是通向未来的唯一选择。
在国家层面,安全体现了自上而下的整体意志。2018年以来,网络安全和数据安全相关的法律法规陆续出台完善,为企业安全合规经营“划出了红线”。守法合规,成为数字化发展前提。
在产业层面,安全是产业数字化发展的大前提。安全风险隐藏在企业内部的业务流,也可能潜伏在供应链企业的每一个敞口。
在企业层面,安全是持续创新和企业责任的基础。数据带来巨大价值的同时,也带来了责任。用户把隐私数据放到平台并给予信任,企业也必须承担起数据保护的责任。
过去网络安全保障的特点是准备好安全能力然后去保护企业。但是现在安全能力跟数字化业务挂钩,逐渐形成了一种相伴相生的关系。沈锡镛告诉雷峰网:“只要有数字化业务的场景,天然的就会从一开始考虑一些安全威胁和风险。”
以软件供应链安全问题举例来说,安全在整个数字生态中牵一发而动全身。就像在文章开头提到的,未来数字化是软件驱动的,这就涉及到很多开源组件的安全问题。
去年11月,全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,其破坏力惊人,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。据外媒报道,漏洞发现以来,Steam、苹果的云服务受到了影响,推特和亚马逊也遭受了攻击,元宇宙概念游戏“Minecraft我的世界”数十万用户被入侵。
根据Gartner的相关统计,到 2025年,30%的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键型网络物理系统停止。
沈锡镛表示:“软件供应链跟业务中断强相关,这是以前的网络安全所不曾涉及到的,原来网络安全只有一个场景跟终端相关,就是DDoS,这是为什么软件供应链安全这么重要的原因。”
举例来说,传统的车企原来不需要考虑数据安全的问题,对着数字化的发展,每辆车都开始记录更多消费者的数据,而黑客也开始惦记这部分数据,但是攻击面并不是来自于数据本身,黑客更多是从软件层面发现漏洞进行攻击。
华云安副总裁马维士
华云安副总裁马维士也告诉雷峰网(公众号:雷峰网),传统的网络安全都是一种被动的防御体系,已经不能应对新形势下的安全威胁。现在随着数字化转型的深入,以及一些区块链、云计算的等新技术的发展,隐蔽的攻击越来越多,这就要求安全公司能够针对数字化的特点,帮助企业解决一些隐蔽的安全问题,给企业提供整个安全防护。未来数字化的安全防御体系,一定是主动防御和被动防御相结合,具备基本的攻防能力。
未来,数字生态仍会飞速发展,加强网络安全建设依然任重道远。
任何一家单独的企业都无法完成整个生态链上的安全建设。那么安全厂商应该如何助力数字生态的建设?
马维士表示:“作为安全厂商,要做好自己的定位,我们是作为一个服务者的角度,真正的服务于企业,服务于用户,保障他们业务能够健康的运行。”
安全实则是整个底层基础架构的一部分,服务于整个数字生态上层的业务,并不会直接参与到某个数字生态很具体的业务里头去,它是服务者的角色,做好安全则会促进整个数字生态的发展。
沈锡镛认为,在生态建设和合作上,应明确企业自身的技术能力边界,有所为而有所不为,不求大而全,而求"专精特新”借助生态的力量,才能更好地服务客户,数字生态才能更健康地可持续发展。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。