【 讯】2023年9月16日,2023世界计算大会计算安全论坛在湖南省长沙市隆重举办。院士专家、高校教授、专业研究人员、名企名家等数十位大咖齐聚现场分享,聚焦“数据安全与合规治理”主题,探讨如何运用最新信息技术成果保护数据安全,让数据要素在合规前提下创造经济价值。
主持人:公安部三所、一所原所长,中国计算机学会计算机安全专业委员会名誉主任严明
中国计算机用户协会理事长宋显珠
会上,中国计算机用户协会理事长宋显珠做了开场致辞。在致辞中指出,当前数据作为新型生产要素,深刻改变着生活方式、生产方式、和社会治理方式,已经成为国家基础性、战略性资源。数据安全是保障数据供给质量、提高数据应用能力、推动数据价值发挥的基石性、关键性工作。近年来,国家大数据战略深入实施,数据要素市场加快建设,数据相关产业不断壮大,数据治理水平持续提升。
中国工程院院士沈昌祥
中国工程院院士沈昌祥做了《打造安全可信数字新生态》报告演讲。在报告中,他提出数据是整个生产链、供应链的要素,大数据具有多源异构、非结构化、低价值度、快速处理等特点。在数字经济时代,虽然我们现在拥有海量数据,但是大量数据都没有被我们利用起来,成为了数据废料。所以大数据相当于数据废品和垃圾收集处理,从中发掘知识和本质规律,形成企业智慧大脑产业生态。网络安全的实质就是风险度是脆弱度和威胁度的乘积,在此背景下,打造安全可信的数字新生态,需要做到“六不”防护效果,即进不去、拿不到、看不懂、改不了、瘫不成、赖不掉。沈院士还介绍了我国的可信计算3.0和国家等级保护2.0代表产品,国家等级保护2.0新标准把云计算、移动互联网、物联网和工控系统等采用可信计算3.0作为核心要求,筑牢了网络安全防线。
西安电子科技大学华山学者领军教授、博导,国家高层次人才王皓
西安电子科技大学华山学者领军教授、博导,国家高层次人才王皓在《大模型时代的数据安全:挑战与策略》中总结了生成式AI应用的发展,他认为生成式人工智能对人民福祉、经济发展、国家安全和战略竞争均具有重要意义。同时,邪恶的GTP如FraudGPT、WormGPT等恶意软件已经出现,对此,美国七大AI企业已与拜登政府签署协议,承诺采取自愿监管措施管理AI技术开发风险,包括展开安全测试、为AI生成内容添加数字水印等。中国也出台了《生成式人工智能服务管理暂行办法》。
DigiCert亚太区首席技术专家吴岳藩(Alan Goh)
DigiCert亚太区首席技术专家吴岳藩(Alan Goh)在《提供具有商业影响力的数字信任》中关注建立企业的数字信任。他表示,将数字信任作为其业务战略要务的企业将获得重大收益,可以降低业务风险,提高应对攻击的防范,提高敏感性。数字信任如今已经在政府、金融、医疗、零售等领域得到广泛应用。他介绍了实现数字信任的后量子加密(PQC)技术,数字信任不只是把证书放在一个硬件当中,还需要用软件物料清单(SBOM)来实现软件信任。同时,他也介绍了数字信任平台Digicert,通过DNS信任、内容信任、软件信任、设备信任最终达到企业信任,建立起企业最大的财富。
Commvault大中国区及东南亚区域技术总监陈伟俊
Commvault大中国区及东南亚区域技术总监陈伟俊表示,黑客的世界中没有规则他们寻找的是最薄弱的环节。因为数据的易于复制,在当前的时代,传统的数据保护方法已经过时。备份不仅要做恢复,更要做精确识别资产、并监控、响应。保护数据首先要解决可见度,目前黑客经常使用恶意软件攻击系统。如果这些恶意软件也被备份,那么备份恢复就将失去意义。Commvault的Threat Scan (威胁扫描)可以恢复最后已知的良好版本的数据,避免再次感染休眠的恶意软件的威胁。
腾讯云安全总经理李滨
腾讯云是我国主流的云平台之一,在保护数据安全上拥有丰富经验。腾讯云安全总经理李滨分享了腾讯云的数据安全治理方法与实践。在今天,企业数据安全建设面临三重驱动力,包括风险驱动、合规驱动和价值驱动,在“全面依法治国”的新合规时代,驱动企业数据安全建设目标从“合规尽责”向“合规有效”转变。腾讯云将数据保护的典型数据场景与保护措施总结为六种场景和五个通道。在整个企业数据安全治理关键过程中,通过评估与规划、防护体系建设、持续风险监控与运营三个阶段、九个步骤,提供能力助力企业建立健全数据安全治理体系。
360集团副总裁、首席安全官杜跃进
360集团副总裁、首席安全官杜跃进在《数据安全能力建设》报告中强调,从产品到能力保护数据安全是数字安全时代的必然要求。而数据保护的能力包括了专业化的人和组织、技术和产品、流程和资源三个部分的有机组合。数据安全治理要以数据为中心,以组织为单位,以能力成熟度为抓手。在数字社会中,“组织”是数据安全的基本单位,因为数字时代数据必须跨行业、跨组织流动,所以数据安全工作必须支持业务战略。同时,他也总结了数据安全能力建设当前存在的问题,一是标准比较复杂,很多组织能力偏低;二是“分类分级”之后和业务脱节,执行遇到困难;三是出现了应付检查甚至作弊;四是需要确保测评机构和人员的专业水平;最后是如何避免重复过去的错误,让DSMM保持含金量。
联通数字科技有限公司安全首席技术官周凯
联通数字科技有限公司安全首席技术官周凯表示,国内社会数字经济蓬勃发展,企业数字化转型速度加快,公众数字化生活方式覆盖广泛。针对新的国内外局势,我国的网络与数据安全面临着诸多新挑战。新型威胁应对能力匮乏,整体联防联控功能不足,安全体系建设速度滞后,安全运营精细化不够。中国联通基于基础电信企业的网络安全能力,与产业链上下游企业自有安全能力协同融合,通过相互借力、优势互补,构建一组覆盖全域网络的基础网络安全平台,全面提升国家网络安全防护能力和水平。
炼石网络创始人、CEO白小勇
炼石网络创始人、CEO白小勇在《免改造安全技术实现数据监管合规与有序流通》中提到,“数据入表”意义堪比20多年前的“土地入表”,在增量价值驱动下,“数据入表”让安全从成本走向价值,与风险与合规驱动共同开启数据安全新征程。安全对抗本质可看做攻守两方基于成本的消耗战,数据安全保护应该从成本视角评估技术效果。企业早期信息化系统以网络终端为主、面向文档文件,因为数据共享流转带来巨大价值,所以今天企业信息化已经演进到以应用系统为主,但这带来了数据安全建设“两难”,重要数据与个人信息保护体现为面向应用的功能型安全需求,要在应用中融合实现,但改造存量应用成本高、风险大、周期长,同时增量业务与安全研发排期不吻合、业务团队技术与响应跟不上。而数据保护不落实,则合规风险越来越大、因泄露导致的业务风险会快速累积。他介绍了一种免改造数据安全技术,通过主平台下发可适配企业应用架构的一系列数据控制点,对流动数据高覆盖率识别与控制,提供了安全机制与业务处理融合的核心能力。
圆桌对话
在圆桌对话中,国家信息中心原首席工程师、研究员李新友与泰雷兹亚太区业务副总裁江星,洞见科技创始人、董事长姚明,天地和兴副总裁、CTO李凯斌,天威诚信首席安全官李延昭,就数据确权问题展开了热烈讨论。
江星结合自己的业务,将关注点聚焦在密钥的存储和访问上,她认为数据确权既要保护数据,也要考虑业务不受太多限制的影响,找到一个平衡。
姚明表示,我国出台的“数据二十条”非常明确的提出了三权分置(资源持有权、加工使用权、产品运营权)的中国特色数据产权制度,要求淡化数据所有权,强调使用权,通过隐私计算等技术探索“原始数据不出域,数据可用不可见”的数据流通方式。
李凯斌认为,在我国,数据确权更关注的是划清数据主权的边界,以及对数据价值挖掘,而在欧美,则更加重视个人数据隐私权。我们可以借鉴欧美关于个人ID隐私保护方面的做法和思考。
李延昭认为,电子身份证书的互联互通是最重要的。首先要遵循一个标准,其次,要严格执行标准。
通过这场论坛,我们能够清晰地看到我国的数据安全保护以及迈入新的历史阶段。在未来,只有做好了数据保护,结合AI、区块链等新兴技术,企业才能安全稳定地创新业务,为中国经济的振兴提供源源不竭的动力。
