2014年2月27日,***总书记在中央网络安全和信息化领导小组第一次会议上讲话时指出:“没有网络安全就没有国家安全”。2023年初,**中央、国务院印发的《数字中国建设整体布局规划》,要求“筑牢可信可控的数字安全屏障”。在2023年7月召开的全国网络安全和信息化工作会议上,***总书记强调要“坚持筑牢国家网络安全屏障”。
当前,我国各地掀起建设大数据中心热,为了避免一哄而上、重复建设等问题出现,有必要强调建设全国一体化大数据中心协同创新体系对实施国家数字战略的重要性。
一、网络安全是数字安全的一部分
数字安全(cybersecurity),是有关或涉及计算机和计算机网络的保护。网络安全(networksecurity),一般认为是有关或涉及计算机网络的保护。显而易见,网络安全是数字安全的一部分,网络是由物理或虚拟的云・网・边・端设备(物联网设备、路由器、交换机、防火墙、服务器、个人计算机、平板电脑、智能手机等)联网组成的,没有作为数字安全一部分的云・网・边・端设备(包括其上软硬件系统、密钥/密码、敏感数据等)的安全,也就没有网络安全。因此,各界需要首先厘清数字安全与网络安全的关系,明确只有做好数字安全,才能保障网络安全。
二、深层次数字安全问题,阻碍了网络安全的实现
数字安全,需要多维度、多层次的安全措施。安全措施按类型分,有物理的、技术的、管理的;按功能分,有防护型的、感知型的、响应型的;按领域分,有设备安全、数据安全、网络安全、云安全等。国内外的安全厂商,在各个安全措施类型、功能、领域,提供了众多的安全方案和产品,极大地加强了数字空间安全,但需要国家加强审查认证,严把“准入关”。
然而,这些安全措施,基本上都是基于信任权力极大、难以被有效监管的机构自身或合作伙伴(比如云服务商、数据/算法的接收方/托管方)的特权账户(可能由侵入的黑客假扮)的,这是数字安全领域最大的技术漏洞,这样的数字安全自然不牢靠。在数据/业务上云、各方互通和共享的“数字中国”时代,这个问题只会更突出。
层出不穷的数字安全事件和数字安全研究报告,就是有力的佐证:一是中国国家信息安全测评中心2021年的报告指出,99%的重要资料被不当泄露事件源于内部人员的违规操作;二是美国IT研究公司ForresterResearch的PIMWave2018报告指出,80%的数字安全事件与特权账户相关;三是著名的安全研究机构美国波洛蒙研究所2021研究报告指出,51%机构每年经历核心数据不止一次被第三方泄露的事件;四是美国通信运营商Verizon发布的《2023数据泄露调查报告》显示,企业高级管理层由于经常被“网开一面”,又掌控更多权限,成为数据安全的重大威胁。
普适、高效、有效的防范机构自身或合作伙伴的特权账户的违规操作,对于做到更加有效、高效的事先防范、事中阻止、事后感知,做好数字安全、保障网络安全,是至关重要的。
三、建议进行基础性安全创新,做好数字安全审查技术、认证标准研究,保障网络安全
要想真正做好数字安全、保障网络安全,就必须弥补数字安全领域最大的技术漏洞,实现对机构自身和合作伙伴的特权账户的有效防范,从而真正有效支撑全方位的国家数字空间安全。为此建议:
1.建议进行基础性安全创新,研发关键核心的数字安全软硬件,在数字安全的关键核心领域打上中国发明的烙印。
2.创新、研发多租户、多方安全芯片,实现密钥密码、敏感数据/算法在机构属地和合作伙伴处的硬件安全和硬件信任。
3.创新、研发多租户、多方安全操作系统,支持不可绕过的权限控制机制和普适、高效、有效的多方隐私计算,实现在机构属地和合作伙伴处的数据安全、平台安全和平台信任。
4.创新、研发租户视角的“可信云”,实现租户视角的“4个可信”(可信算力、可信存储、可信网络和可信编排),支持敏感数据和业务上云。
5.建议国家认证认可监管部门统筹规划,尽快建立基于关键核心的数字安全软硬件创新和传统的数字安全产品安全审查技术与认证标准体系,充分发挥中国网络安全审查技术与认证中心等专门机构的支撑作用,尽快构筑超大规模、超高性能、分布式的国家数字安全基础设施平台(高纳德Gartner2022年度12项尖端技术趋势之一),只有切实做好数字安全才能保障网络安全,以更好地保驾和赋能“数字中国”“东数西算”,全国一体化大数据中心协同创新体系等国家数字战略。
该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们。
