呼唤数字安全走向觉醒时代——访全国工商联大数据运维(网络安全)委员会常务秘书长杜跃进
"数字经济就是数字技术吗?"
"网络安全、数据安全的法律法规集中出台的背后有何深意?"
……
"十四五"规划纲要勾勒出我国数字经济发展的新蓝图,指明新方向,正当其时,一系列关于数据治理、网络安全的法律法规相继出台。带着诸多疑问,中华工商时报记者对话全国工商联大数据运维(网络安全)委员会常务秘书长、大数据协同安全技术国家工程实验室常务副主任、360集团首席安全官杜跃进,探讨如何更好地把握数字安全的未来发展,如何实现数字经济抢先更行稳。
数字安全立法诉求迫切
2021年可谓数字安全新法新规出台的重要一年。6月,中国第一部有关数据安全的专门法律《数据安全法》出台;7月,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》;8月,中国首部专门针对关键信息技术设施安全保护工作的行政法规《关键信息基础设施安全保护条例》出台;同月,《个人信息保护法》予以公布。
"这些法律法规的出台是大势所趋。"杜跃进向记者分析了立法背后国内外局势发生的深刻变化。
越来越多的国家认识到,数字经济背后争抢的是第四次工业革命的先机,人工智能、大数据、云计算等先进的技术几乎决定了经济发展水平和质量,是国与国之间实力较量的重大领域,而竞争的过程中各国需要立法保护。此外,当前国际政治形势复杂,大国博弈更加激烈,国家之间的信任感急剧下降,网络空间对抗与冲突加剧,需要法律来保障国家利益。不可忽视的是,国际法律环境也敦促各国重视起相关立法。如2018年5月,欧盟出台《通用数据保护条例》(GDPR)。GDPR被视为欧盟"史上最严"的数据保护条例,引发强烈反响。
除此之外,这些法律法规与公众的生活息息相关。"近几年,网络诈骗、信息泄露等网络安全事件频发,公众陷入恐慌,网络安全感下降,网络安全特别是数据安全逐渐引起公众的高度重视,很多问题在传统的法律体系难以找到支撑,需要新的法律法规进行约束和规范。"杜跃进说。
立法的步伐踏上了数字经济发展的浪潮,但新征程才刚刚开启。
杜跃进认为,论数字经济业务种类和场景的丰富度,其他国家难以和中国媲美,新业务主要在中国,在很多问题的应对上中国没有"老师"。"这些立法都是围绕数字经济,但数字经济的内容非常复杂,行业也在快速发展变化,新出台的法律法规还不够成熟,要抱着紧跟行业实际发展情况不断调整的心态。"杜跃进进一步指出,"法律出台以后能不能落地,落地以后效果如何,这些需要我们不断跟踪,欧盟出台GDPR以后,条例实施的效果得到了跟进研究,这是值得我们学习的。"
安全能力体系的构建是新命题
诸多法律法规密集出台,为众多数字化企业敲响警钟。
杜跃进表示,这些法律法规涉及各行各业的合规整改,相关企业应该抓紧学习具体内容。同时,这也给网络安全行业带来了商机,网络安全投入占信息化投入的比例会有所提升。
"合规只是基本要求,做到合规是远远不够的。"杜跃进特别指出,网络安全企业不能局限于服务客户实现合规,而应该致力于帮助他们提高解决安全问题的能力,建设可以持续升级的安全能力体系,这才是网络安全行业未来发展的方向。
当前,黑灰产和各种高水平攻击者潜伏在网络空间中防不胜防,所带来的风险可波及众多领域,加强网络安全保障应该得到各行各业的重视。"未来,网络安全是关乎企业生死的重要问题,提升网络安全防护能力将不再是'做给别人看的',而应该逐渐成为企业的内在需求。"杜跃进对记者说,"当下,很多行业企业仍然缺乏网络安全意识,认识不到数字经济时代网络安全问题的严峻性、复杂性。"
据国际数据公司IDC近两年发布的《IDC全球网络安全支出指南》,安全硬件在中国整体网络安全支出中占据绝对主导地位,安全软件和安全服务支出占比较低。当前,推进网络安全技术攻关和创新应用,加快网络安全产品供给是强化网络安全技术保障的重要一环,但杜跃进在接受采访时强调,布局网络安全产品并不是万全之策,其背后的根本问题依然是能力的较量。
"安全的本质是人与人的对抗,现在已经有越多越多的人意识到仅仅依靠安全产品不能从根本上解决网络安全问题,安全威胁、攻击手段在不断升级,产品本身无法和攻击者对抗,产品的使用和运营、真刀真枪的安全威胁应对是当前迫切需要的能力,这些能力很多是通过持续服务来实现的。"杜跃进说。
新型网安人才培育亟需破题
更好地运营网络安全产品,以更强的能力战斗在网络安全防护的第一线迫切需要什么?杜跃进给出的答案是人才。"网络安全发展最重要的两个支柱,一个是人才,一个是产业,而人才又是创新技术、打造产业的基础。"杜跃进在采访中特别提出网络安全行业人才的重要性,并指出目前存在人才不够用、人才不匹配等一系列问题。
近几年,网络安全事件多发,网络安全人才(以下简称"网安人才")缺口逐渐显现,网安人才稀缺引起社会关注。今年5月BOSS直聘官网发布的《2021网络安全人才趋势报告》显示,长期以来,网安人才供不应求。目前,中国网络安全专业人才缺口预估在50万以上,而每年网络安全相关专业的高校毕业生规模仅2万余人。在多个行业受到疫情冲击和招聘规模明显缩减的大背景下,2020年全年网安人才需求量仍较2019年同比增长47.5%。
为打造网络强国,网安人才培养也被多国纳入国家战略,中国也高度重视该问题。今年7月,工信部官网发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,明确指出人才培养是发展目标之一,并提出了人才队伍建设行动,要深化产教融合协同育人,推进网络安全校企合作。
杜跃进指出,近年来网络安全一级学科培养出不少学生,但他们是否具备当下运营网络安全产品、对抗网络攻击的能力,还有待检验。
"当前网络安全人才体系还需要继续梳理,数字化时代以数据和能力为中心,需要什么样的新型网安人才还要探索,这需要面向未来,从行业真正的发展需求出发。"杜跃进说。据记者了解,杜跃进及相关的人才能力研究团队已经打磨出了一套新的网络安全人才知识框架和能力体系,得到了有关部门的认可,正在和相关方面加大推进力度,努力破解网安人才的培育难题。
自主可控不等于绝对安全
在顶层设计中储备人才之余,数据安全、网络安全底层设计的技术攻关是永恒不变的热点话题。
为了突破核心技术"卡脖子"的困境,保障国家信息技术发展与安全,信息技术应用创新产业(以下简称"信创产业")应运而生。信创产业作为新基建的重要组成部分,也成为国家战略之一。
"十四五"规划纲要明确指出打造数字经济新优势,加强关键数字技术创新应用。这意味着,信创产业迎来发展黄金期,但与此同时也面临更大的安全挑战。
"信创本身又带来了全新的网络安全问题,信创产品也会在网络上承载重要应用,那么就有被攻击的可能,自主可控不等于绝对安全。"杜跃进指出,信创产业发展时间短,相比于过去的产品,安全方面缺乏积累,软硬件设计难免会存在安全漏洞,实质推动网络安全工作站在了新的起跑线。
当下,信创产业加强技术自主创新、完善产品功能的同时,也必须重视增强产品的安全性。"信创产业落地生根是大势所趋,但是也必须正面应对安全问题,虚心学习国外的先进经验。"杜跃进表示。他认为,信创产品本身涉及的安全设计与开发的能力、安全性检测的能力、发动全社会力量反馈问题的能力以及修复问题的能力正考验着整个行业。
拥抱数字安全需要付诸行动
杜跃进向记者解读的这些问题,一直是全国工商联大数据运维(网络安全)委员会所关心和关注的。全国工商联大数据运维(网络安全)委员会(以下简称"委员会")自2020年6月成立以来,一直在摸索如何引导行业企业健康发展,并努力参与到行业大事之中。
为加强行业企业对热点问题的认识,把握网络安全和数据安全发展前沿,委员会在今年组织承办了2021数博会"围绕数字经济创新·共建数据安全生态"论坛、第九届互联网安全大会(ISC2021)"数字城市发展中的大数据智能与安全"高峰会等多个活动,邀请专家为行业企业指点迷津,也加强了委员企业的交流合作。
在《数据安全法》《个人信息保护法》《商用密码管理条例》等法律法规公开征求意见稿征求意见期间,委员会秘书处号召委员企业研提意见,通过全国工商联反馈给全国人大。
杜跃进介绍,面对如此之多的新法新规,自己还要加强研究,下一步,委员会也计划为委员企业提供更多法律解读的服务。此外,委员会也着手策划起人才培养的服务项目,目前正在和全国工商联人才交流服务中心洽谈合作。未来,委员会将致力于探索更多助力委员企业乃至整个行业更好发展的服务模式。
在采访的过程中,杜跃进多次强调数字经济时代的"觉醒":"大家的网络安全、数据安全意识一定要紧跟时代觉醒过来,不仅仅是安全界,各行各业的人都要树立这个意识。"而这也正是委员会在组织的每次活动时想要努力向各界传播的声音。
当记者问起对未来行业发展的期待,杜跃进提出行业走向一定要转到以倡导培育安全能力为中心,行业企业要加强安全防御的协同。此外,要跳出传统观念,重视信创安全,重视数据安全。"不希望这些期待只是喊口号,最重要的是企业和相关部门真正行动起来。"杜跃进说。
杜跃进希望,各行各业都能以实际行动和十足的勇气真正应对数字时代下的安全挑战,勇敢迎接复杂的数字经济场景产生的每一个安全新命题。
微信公众号