谢玮:互联网+时代新形势下的互联网安全与政府管理

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

4月15日,由36Kr和IDG资本联合主办的2016中国企业服务峰会在北京举行,峰会主题是“大风口、新企点”,IDG资本创始合伙人熊晓鸽、36Kr联席CEO魏珂、Mobileye GM苏淑萍、360人工智能研究院院长颜水成、IDG资本合伙人牛奎光、金山软件兼金山云CEO张宏江、分享逍客CEO罗旭、高瓴资本董事总经理李聪亮、华创资本合伙人熊伟铭、西域网CEO叶永清、会小二CEO杨亮、36氪研究院院长朱一璞等嘉宾参与了大会。托比网作为受邀媒体,全程报道了此次盛会。

会议上,中国信息通信研究院网络安全研究部谢玮主任和与会者分享了互联网+时代新形势下的互联网安全,以下为谢玮演讲实录(托比网整理,未经确认):

谢玮:

虽然我演讲的题目叫做互联新形势下互联网安全挑战与管理,但是管理这个词汇不太和大家通常理解意义上的一样,我今天主要想介绍一下政府的安全管理。我的工作是中国信息通信研究员,我为什么要重复我的身份?因为刚才在底下听了很长时间,发现从早上到现在,所有的嘉宾和发言人角色跟我似乎都有很大的不同,而且我所感受到的这种文化和刚才的那些气氛都跟我平常的工作会有很大的差异。为什么这么讲呢?接下来大家就会知道。

因为我们院是一个研究性的事业单位,它是工信部直属的支撑研究机构,平常最重要的工作实际上就是为政府的监管部门提供像技术、政策还有监管方面的综合的咨询,是一个国家的专业智库和行业发展平台的工作定位,大家就能够理解我平常的工作可能跟咱们的创业者,跟企业,跟咱们市场研发包括前面讲的大数据还有投资关系好象非常的远。但是我从事的专业领域可能跟接下来的主题有关系,我的专业领域是做网络安全的,我平常所做的最重要的工作其实就是支撑咱们政府包括像工信部、网信办这些政府机构对于咱们行业的网络安全管理,涉及到像法律政策、战略规划、技术标准、评估测试、监管支撑等。同时还有另外一大块的工作就是服务咱们行业企业的发展,包括我们院拥有相应的软硬件的技术大平台,还有案卷实验室,可以为企业提供技术方面的服务,这是我们院的定位。

我接下来的演讲题目主要是想通过咱们今天的36Kr企业服务峰会这么好的平台做一个桥梁,我今天的演讲也是受了工信部、网安局领导的委托,希望借咱们这个平台,向在座的互联网的从业者介绍一下,在所谓的新的网络空间安全形势下,政府在网络安全管理领域的整体的工作思路还有近期的一些工作重点,也可能会对咱们企业接下来的发展和市场推广,以及相应的其它的工作会有相关的帮助,起到这样的桥梁性的作用以及介绍性的作用。

言归正传,今天的题目是新形势下的网络安全的挑战和管理,首先简单地梳理一下我们所面临的网络安全形势到底有哪些挑战,哪些是所谓新形势下的挑战。其实这些数据我每一次演讲的时候都会换,但是题目不怎么换,因为随着ICT产业的发展,其实安全的问题和威胁,包括安全事件的数量、漏洞还有这些安全事件永远都在那,而且永远都会增加,因为大的通信服务行业是在发展过程当中,自然与发展的另外一面也会共同发展,这是矛和盾之间的关系。但是大家可以从这些数据上来看,安全攻击数量以及安全事件这几年发生的数量的速度是相对平稳的,并没有说突然的有一个大的增长。

接下来还有一点新的内容,从全球的网络安全形势上来看还有新的动向,尤其在2015年,全球网络攻防的对换强度、频率和规模影响力上都有很大的对抗性的升级,其实这里主要是指的国家级别的,具有一些政治目的的有组织的大规模的黑客攻击,成为了一种攻击行为的不叫主流,但是是一个常态。这里比较典型的事件像中间的逆命者曾经发动了跨国对我们的网络的攻击,包括海兰花(音),而且背后有很明显的政治目的的国家行为。

聚焦到我们国内,这个数据并不是很新,大概在6月份的时候,马上会发布2015年的最新的我们国家党政威胁的鱼台式报告,里面会有更新的数字,包括网络篡改,还有DOS攻击的整体的状况,但是整体的趋势是差不多的,演化的趋势也是差不多的,包括僵尸控制端向境外转移的大的趋势,还有DOS攻击的整体的大的流量也是在不断地向云平台来蔓延。还有去年到今年一直以来的网络诈骗和安全威胁也是日渐严峻的。

今天早上我刚看到的一个新闻,抓获了一个非洲的网络诈骗团伙,这些相应的诈骗团伙的人员专门对大陆从事诈骗的行动,属于电信诈骗行动,这些人员本身又是来自台湾,这是一个非常复杂的网络诈骗的案件,这也表明现在我们的问题比较严重。其实前面提的全部都是老三样,漏洞、攻击、威胁、攻防等等。

接下来的内容有一些新的变化,还有我们近两年安全威胁事件的新的发展,首先就是所谓跨界,这里引用了去年到今年以来最火热的词汇叫互联网+,因为从今天上午之前包括大数据,大家谈了很多关于它的发展,随着这些新兴技术和医疗、金融等社会其它业务领域的深度的融合,相应的安全事件的跨界和融合也会加速增长。这里还引用了很多的数据,包括一些国际上的数据,包括咱们国家未发布的一些数据,都无一例外地表明了全球的网络安全的事件,包括信息泄露的事件的跨界性和融合性,尤其是医疗现在是最为严重的重灾区。

再接下来是数据,上一部分是讲的大数据发展,这一部分是讲另外一件事情,就是关于大数据的安全,或者数据安全。因为现在这个词汇用得相对比较。实际上关于数据安全,除了数据安全本身数据泄露事件的处置、监管等等,这是一个巨大的监管性的难题以外,还有一些比方说这里列的两个例子,关于大数据安全管理方面,尤其是从政府角度上来讲,它面临着难题,而且其实现在没有什么答案,不仅是咱们自己的政府,全球各国政府都会面临同样的问题,比如说开放共享和安全保护之间的矛盾。

前面也谈到了关于大数据,大数据是咱们新兴的IT产业的最新的创新的动力源泉,现在已经有60多个国家制定了相应的政府数据的开放计划,而且咱们国家前一段时间发改委还是网信办发了促进大数据产业的最新的文件,但是在这种场景之下,一方面大数据要开放,数据资源要开放,涉及到国家的一些基础数据的资源,也是走在一个开放共享的趋势上。但是这种趋势必然会引发监管方面的问题,因为我是从业者,我清楚,咱们数据文件的监管政策、条款是相对零散的,不是成体系化的状态。遇到一些细节性的问题,可以引用的法律、上位法的法规实际上都相对模糊和原则,真正能够落地去指导,比如说我们的案子要不要破,我们可以引用的什么是违规的,什么不是违规的。

接下来是关于数据开放和共享安全之间的矛盾,还有一个是数据跨境流动的问题,这也是目前政府监管的难点,我们数据要流动,因为数据是全球化的,必然涉及到数据的跨境流动,尤其是在大数据的业务场景下。在这种场景下,相应的监管分工怎么处理,实际上各个国家,不仅仅是像中国、俄国这些国家,他们针对这里提到的这些跨境监管的难题是往回收的。大家可以去看一下欧盟今年年初的几个动作,首先废除了欧盟和美国之间的安全岗,已经新发了一个更新的安全岗,要一国一国跟美国签订数据安全共享协议。再有就是关于欧盟最近还发了一个260页的关于网络数据信息保护的条款,非常非常的细致,这是国际上的一些基本安全形势。

接下来大家可能比较感兴趣的,简单就少一下我们国家从国家层面以及工信部行业管理方面的网络安全工作。

从国家层面上来看,事实上主要是非常重视,而且在全面推进网络项下安全体系的建设工作,包括出台政策的同时,会把安全作为重要的内容。可能这里最重磅的就是国家安全法以及反恐法,反恐法应该是今年年初出台的,在反恐法当中也明确地写到了电信业务经营者,互联网服务提供者应依法落实网络安全制度和技术防范措施。这句话可能大家看着没什么感觉,我看着是觉得很有感触的,因为平常我们在做数据安全监管的时候,出现了问题,出现了安全事件和安全泄露的案件的时候,我们去做监管落实和执法,没有上位法的支撑的时候,我们什么也做不了。包括我们要求企业去落实相应的监管制度和技术防范措施,没有法律,企业是会告你的。但是现在从网络安全的管理体系上来讲,这个基本法应该说取得了里程碑式的进展。

还有一点我大概强调一下是关于监管,实际上我刚才说了政府检查、监管、监督,政府在安全监管模式上也是在不断创新的,大家可以看到除了发布相关的文件,要求企业落实相应的管理要求和发布标准以外,这个是工信部行业监管方面的所有的监管依据,大家有兴趣的话可以拍下来,回去看一下,里面都是相关的信息的要求。同时两手都要转,一方面我们加强监管,另一方面我们也在推另外一项工作,就是网络安全的试点示范。我不知道大家会不会感兴趣,安全企业的从业者包括互联网企业的从业者都可以参与进来,把你们在企业内部的好的网络安全技术手段建设的经验和最佳实践,能够贡献出来,共享出来,去年也是通过专家遴选,推荐出了20多项网络安全技术手段的试点示范,并且还会授牌,然后在整个的ICT行业或者互联网行业当中进行推广,在5月份的时候我们还会召开一个大会,然后后续几个月还压继续推进这方面的工作。

2015年的时候工信部的行业管理方面的重要的工作就是强化互联网安全威胁治理,包括建立了相关的监测平台,然后联合公安和工商进行了专项整治行动。还有工信部指导通信企业协会开展了相应的技术交流活动和知识技能竞赛,这个知识技能竞赛挺好的,因为第一名将会获得全国五一劳动奖章,还是挺有份量的。

以上大致是从文件出台,监管机制建设还有相应的监督检查几方面。

接下来是我们工信部的网络安全重点工作包括几点,一个是授权安全,接下来可能今年的重点,网络安全工作会落在这个焦点上。还有新业务新应用网络安全防护管理。

再多说一句,刚才我提到的安全的试点示范工作,2016年工信部还会继续推广这项工作,而且会持续推进下去,使得在行业内,咱们企业的红字标的这几个大的领域当中的好的经验和做法,能够在行业内推广,鼓励咱们的企业的安全管理和技术方面的创新,促进先进经验的推广应用,也是希望能够更好地增强咱们企业安全防范和防御威胁的能力。谢谢大家!

随意打赏

提交建议
微信扫一扫,分享给好友吧。