数智化时代,安全防护面临新的变化,遇到了新的挑战。不仅有流动的数据带来的防护挑战,还有人工智能大爆发给企业带来的生产挑战。
近日,在BCS北京网络安全大会上,奇安信董事长齐向东在接受通信世界全媒体记者采访时讲道,在数智时代,要做好内生安全防护,才能有效的应对新的变化,新的攻击形式。未来既要实现安全技术和IT技术的融合、安全数据和IT数据的融合、安全人才和IT人才的融合,还要从关注IT转向关注业务、从关注设备转向关注人、从关注建设转向关注运营。
数据时代的新安全理念
进入数智时代之后,数据发生了从静到动、从虚到实、从贱到贵的三大变化,数据安全也面临了数据操作行为好坏难辨、三员难防、软件供应链漏洞和后门难防的三大难题,导致网络攻防出现了易攻难守的常态化问题。
“在数智时代,数据是流动的,数据流动就会带来风险。传统的网络防护方法是以边界、终端和应用为重点,但是这些都不能有效地保护数据本身。”因此,齐向东建议要采用数据驱动的安全方法,即通过对数据进行分类、标签、加密等手段,实现数据的可追溯、可审计、可控制。同时,要利用大数据、人工智能等技术,对数据进行分析和挖掘,发现异常行为和攻击威胁,并及时采取响应措施。
在数智时代,数据就是贵重的资产,也是攻击的目标,数据事故就等于生产事故。因此,要从业务的视角来看待和解决数据安全问题。为此,奇安信提出了内生安全的理念和方法,既要实现安全技术和IT技术的融合、安全数据和IT数据的融合、安全人才和IT人才的融合,还要从关注IT转向关注业务、从关注设备转向关注人、从关注建设转向关注运营。
齐向东认为,数据流动性和隐私保护并不矛盾,只要用新的技术和方法来保护数据,就可以实现数据的价值和安全的平衡。有人提出来,说把数据去隐私化以后去交易。但是,对有些绝大多数数据的购买者来说,如果数据没有隐私的信息了,它数据就没价值了。为此,奇安信推出了一款产品叫“数据交易沙箱”,已经进入到实用的阶段,奇安信也跟全国很多数据交易所在进行合作。
“在未来数智时代里面,对数据权力大的人不是公司的领导或者董事长,而是管理员、技术员和操作员。”齐向东讲道,他们既有可能成为黑客钓鱼攻击的目标,也有可能被利益所诱惑成为“内鬼”。所以,要对他们进行严格的培训和监督,并建立相应的激励和惩罚机制。此外,还要防范软件供应链上可能存在的漏洞和后门,通过对软件进行审计、测试和验证等手段,确保软件质量和安全性。
在能源安全方面,奇安信针对能源央企特别是电力行业这样的国家基础行业提供服务的计划和战略,成立了专门的军团,把技术开发、解决方案、应急服务融为一体,提供场景化保护方案,把内生安全理念和框架还有数据安全保护体系结合电网、发电和石化等具体工业场景和用户服务场景相结合,针对性地量体裁衣做出防护体系。
规避AI带来的潜在风险
在AI安全方面,齐向东认为AI大的风险不在于技术本身是否可靠或者是否被攻击,“AI大的风险在于它是否会犯罪。
”如果机器人监管不了的话,那还有安全公司,安全公司就是防止IT作恶的。AI再厉害它也是IT,它也是由软件组成的,它也是由硬件组成的。安全公司管的就是软件漏洞,管的就是软件后门,管的就是软件作恶。所以,作为安全公司,在未来AI的时代应该有更强的使命感,更高的责任感,要倍加努力。”齐向东讲道。
作为安全公司,奇安信不涉及AI在意识形态领域、文化和价值观等内容安全领域的问题,但是奇安信可以在以下三个方面对AI进行监管。一是关于内部员工向公共AI平台投喂数据引发的安全问题,有数据统计,有2.3%的员工通过向ChatGPT投喂数据导致公司的或者单位的数据泄露。奇安信有一整套解决方案,能够解决内部员工向ChatGPT投喂数据导致的数据泄露问题;二是公司内部有自己本地部署的大模型系统的安全问题,奇安信能够保证这个大模型系统的安全,对此提供一整套解决方案;三是让ChatGPT为单位的网络安全作出贡献,这属于网络安全人才培养问题,也是奇安信的责任,奇安信可以帮助企业培养如何使用通用大模型从而成为高级的网络安全人才。
持续走在正确的道路上
最后,齐向东谈到了创新风险的问题。
民营企业或者所有的企业怎么样规避创新的风险呢?齐向东说,“就是你既敢大胆地投入,又能够做到风险可控。最重要的是把准国家发展战略的脉搏,所有的创新如果和国家发展战略相一致。那么,投入得越多,未来收益就会越大,创新风险就会降低到很低。”
齐向东以奇安信为例说明了这一点。奇安信公司设立在2014年,是中国大力推进数字化转型的那一年,国家未来将会变成数字化的国家,社会将变成数字化的社会,企业将变成数字化的企业,那网络安全决不会缺席,产业面临巨大机会。把握机会的重要条件就是提前做大额投入,在别人都看到这个机会时我们已经有大产出,形成市场优势、技术优势、赢得发展先机。
齐向东说:“不光是奇安信,也不光是网络安全。我觉得其他领域民营企业都应该不断地去看你自己干得事是否符合国家战略、是否推动社会进步、是否给社会创造发展进步机会和力量。这样就能够敢于大胆创新。”
只有用创新的思维和方法来解决数智时代带来的新问题和新困难,才能实现数据安全、社会安全、企业安全和个人安全。齐向东呼吁,网络安全行业的人要有使命感和追求,要快速地跟上时代的变化,结合新场景,面对新挑战,提出新的解决方案。奇安信在内生安全方面的一些探索和实践,包括开发了一套基于数据驱动的安全产品、建立了一个数据安全研究院、培养了一批数据安全专家等,未来将不忘初心,持续为数字经济发展保驾护航。