数字经济时代,如何构建全域安全基石?
作者
翟尤 腾讯研究院产业安全中心主任、高级研究员
数字经济时代,技术创新进一步加快了物理世界与数字世界的融合,信息通信技术提供无线带宽满足海量数据实时传输和分发;数据中心作为云计算的底座担负着数据存储、计算等功能;人工智能技术实现海量数据挖掘与分析决策,可以预见数字技术已经成为全域产业链重塑和效率提升的“催化剂”。同时我们也需要看到,数字技术应用的泛在化、融合化也意味着网络攻击随时随地可能发生,更多终端暴露在网络攻击范围之内,攻击频次和深度逐步加大,基础设施逐渐成为被攻击的主要对象,导致国家经济社会安全受到挑战。
总的来看,数字经济时代我们将面临以下三个方面的安全挑战:即全球科技竞争挑战、产业应用安全挑战、技术创新安全挑战。
后疫情时代,贸易、技术、人员流动面临更多限制,为确保国家经济安全边界,保障产业链安全,区域性、双边性投资和贸易安排更加频繁,全球产业链布局区域化特征凸显。与此同时,全球主要经济体纷纷加快基础性技术主导权战略布局,构建产业安全边界,抢占新一轮科技革命制高点。
一方面各国持续增厚科技实力“安全垫”。随着科学技术体系日益复杂,单一技术难以引领新一轮科技革命。为维护国家安全竞争实力,发达国家加快重大科技战略制定成进程。例如,美国参议院表决通过《美国创新与竞争法案》,将授权国会投入1900亿美元加强美国技术实力。英国发布《未来科技贸易战略》,对数字经济、科技创新投资进行战略部署。
另一方面细分领域技术优势影响产业链安全。部分核心技术和专利集中在少数国家或企业手中,对其他国家经济安全带来较大影响。以芯片产业为例,韩国总统表示:半导体竞争已经超越公司层面,成为国家角力的战略领域。
产业互联网时代,安全范畴进一步扩大。攻击发起方已经从过去个人、单点黑客行为向组织化、系统化、专业化方向快速蔓延。一方面基础设施、物理资产、生命安全都将成为比特世界的潜在攻击对象,安全保障能力成为行业发展的“生命线”。另一方面,数字化贯穿企业研发、制造、物流、服务等全流程,安全需求覆盖全部环节,安全能力是否具备逐渐成为企业持续发展的“天花板”。
(一)安全是产业互联网的基石
数字经济时代,数字化加快推动传统产业转型升级:一方面产业数字化加快数字经济进入高级阶段,大量设备接入网络,生产效率的提高依赖数据深度挖掘和全流程打通。另一方面传统产业安全防护能力参差不齐,海量设备接入网络当中,网络安全、数据安全在全流程应用场景中均涉及,因此网络攻击、勒索病毒、DDOS攻击逐渐增多,攻击面逐渐扩大化。以智能网联汽车为例,智能化、网联化、共享化、电动化成为行业主要发展趋势,但伴随而来的是大量安全漏洞和远程控制风险。攻击者利用车辆自带的安全系统漏洞对汽车软硬件部分实施攻击,窃取并发送信息甚至远程控制车辆。一旦发生安全事故,将对消费者人身安全产生重大风险。
(二)基础设施成为攻击重点
当前,网络攻击更加组织化、系统化、专业化,攻击范围向行业、基础设施领域拓展,包括金融、交通、医疗、城市管理等领域都成为新的攻击对象。一旦基础设施遭受攻击,将导致整个产业链的停摆或瘫痪,甚至影响社会稳定。以医疗卫生行业为例,医疗数字化一直是社会关注焦点,随着大量数字化设备和医疗设备的广泛应用,医疗效率、就医体验、服务精准度都有大幅提升,但也给安全防护和医疗数据安全保护带来新的挑战。据媒体报道,2020年法国有11%的网络攻击目标是医院系统。2021年2月,法国两家医院连接遭到大规模网络攻击,造成医院信息系统瘫痪,部分外科手术被迫推迟,甚至需要人工手绘医院排班工作。
(三)恶意攻击实时化全面化
恶意攻击不分时间和地点,随时对目标发起攻击,因此对于安全投入资源不足、安全检测能力较低、安全防御碎片化的企业和机构将面临较大风险。安全能力需要做到前置和未雨绸缪,不论是个人、企业、民用设施、基础设施都可能成为恶意攻击的跳板,链条中的薄弱环节将成为攻击的重要突破口。2021年5月,美国最大的燃油运输管道商科洛尼尔公司遭到勒索软件攻击,导致5500英里输油管系统被迫停运,该管线供应了美国东海岸45%的燃料。犯罪分子在短时间内获取企业约100G数据,并锁定相关服务器等设备要求支付赎金。能源运输管道作为国家重要基础设施,成为越来也多犯罪分子攻击对象,安全风险逐步从小范围局部向基础设施大范围进行扩散。
技术创新在造福民众和提升经济社会效率方面发挥牵引作用,但另一方面新技术也是一把双刃剑,容易引发新的安全风险,给现有安全保障措施带来巨大挑战。数字经济时代,安全的价值和重要性愈发突出,安全的内涵也在不断延展。
(一)海量终端与网络虚拟化带来更多攻击面
一方面海量多样化终端接入网络。智能终端设备的接入规模、技术架构的异质化带来了安全管理难度和复杂度的提升。另一方面新型网络架构导致安全边界模糊。SDN、NFV、云计算和边缘计算等技术和技术框架的应用带来了新的攻击面,在这些新技术研发中广泛使用开源代码,带来了新的安全设计缺陷和安全漏洞。同时,基于网络切片端到端逻辑虚拟网络技术的垂直领域应用,在资源共享、跨领域安全、身份认证和权限控制等方面出现新的安全风险。例如5G的开放性网络容易遭受攻击、虚拟化模糊了物理边界、海量数据连接带来安全风险。
(二)破坏式技术创新带来负面影响
技术在给经济社会带来大量便利和效率提升的同时,破坏式创新也带来不利影响:一方面犯罪分子使用新技术工具逐渐增多,对个人、企业和政府部门带来损害。根据世界经济论坛发布《2021年全球技术治理报告:在疫情时代利用第四次工业革命技术》报告显示,比特币支付占2019年第一季度全球勒索事件赎金交付方式的90%以上,尤其是区块链技术的匿名性使得监管部门难以溯源打击违法犯罪分子。另一方面新技术应用安全风险难以界定。例如,随着自动驾驶技术和远程医疗进一步普及,相关技术落地后产生的安全风险难以界定。自动驾驶汽车发生交通事故,如何判断责任方是一个较为艰难的过程,这其中设计汽车制造商、软件研发人员、网络服务商、汽车所有者以及乘客等多方。
(三)隐私保护与数据共享面临挑战
当前,数据已经成为企业的重要核心资产,能否对数据进行运用和深度挖掘,成为衡量一家企业能否创造价值的主要依据。但同时需要意识到,数据安全在企业价值体现面前具有“一票否决”权。技术溢出带来的风险、算法难解释性与黑箱性、数据质量导致计算结果不可控、用户权益与隐私屡遭侵犯等是当前数据安全面临的巨大挑战。同时,隐私保护和信息共享缺乏统一技术标准和治理框架。
数字经济时代需要构建全新安全体系,实现快速响应、智能运维、自适应性、持续自动化、异构和规模化等特点,为不同的业务场景提供差异化安全服务,能够适应多种网络接入方式及安全构架,注重用户隐私保护,支持提供开放的安全能力。
一是安全能力亟须前置。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。因此,被动防御性的安全思路难以应对多样化动态化网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险;另一方面通过对安全专家或人才能力量化,把过往积累的安全经验与能力进行标准化和流程化,实现安全能力的量化部署。
二是构建敏捷管理与协同。当前,法律法规普遍具有滞后性,因此敏捷监管、快速迭代成为政策与法规制定的必选项。一方面监管部门要为新技术创新提供管理、保护民众合法权益免受侵害;另一方面企业要为其社会义务承担责任。两者共同创新监管机制和自我管理制度。例如,美国燃油运输管道遭勒索软件攻击后,美国国土安全部即着手颁布首份“输送管道行业网络安全监管法规”,旨在防止类似科洛尼尔公司遭遇的重大网络攻击,导致美国东部出现的燃料短缺供应问题。
三是以零信任重塑信任。新冠疫情让远程办公、在家办公成为新常态,同时也造就了更加开放和充满不确定性的网络环境。这种情况下如何构建信任的网络、信任的终端和信任的应用成为各界关注的焦点。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查,更加适合当前企业线上化办公和安全需求。
四是打造云原生安全最优解。中小型企业在资源投入方面远不及大型企业,在安全领域的投入将更加捉襟见肘,如何在成本可控的前提下,保证企业安全能力不掉队、不缺位是产业数字化继续探寻的课题。据统计,我国中小企业数量超过3800万家,是产业数字化的中坚力量。通过云原生安全,可以进一步平衡企业成本与安全,云原生安全提供一整套解决方案,实现能力、资源、使用周期的弹性化,在企业业务高速发展阶段对安全能力进行适配,在安全风险平稳期释放计算和存储等资源,减少企业部署成本,从而帮助企业提升数字化生存能力。
[1]WEF:2021年全球技术治理报告——在疫情时代利用第四次工业革命技术
https://mp.weixin.qq.com/s/yVlDhT7nERpKaqhkK_Xpjw
[2]行业 | 腾讯安全发布《2021产业互联网安全十大趋势》
https://mp.weixin.qq.com/s/IVxOGI5FpJT9aQfxkyDnIg
[3]腾讯助力企业“安全上云”,底气何来?
https://mp.weixin.qq.com/s/160a7JIY-sNeIdrgNsPXTg
[4]为产业互联网构建安全底座:数字时代下的数据安全观
https://mp.weixin.qq.com/s/06ZzuaiKyk6JFk362qY8Aw
[5]独家对话腾讯安全吕一平:要以产业安全构建数字化发展的“四梁八柱”
https://mp.weixin.qq.com/s/CCLRV1vZ2Gd0TEMGFqf_3A
[6]美国燃油运输管道公司网络攻击事件,给我们什么启示?
https://mp.weixin.qq.com/s/To6VcnKMQNsv9L_4i51J9Q
/ 往期文章
你“在看”我吗?