BCS2023北京网络安全大会7月6日在北京开幕,6日至7日集中举办了十余场分论坛和热门活动,包括观潮网络空间论坛、中国网络与数据法治50人论坛、安全创客汇决赛等连续举办多年的大会品牌活动和赛事。
今年BCS大会已升级为全球数字经济大会的重要组成部分。与会专家学者围绕能源网络安全、金融网络和数据安全、安全运营、AI大模型安全、威胁情报技术等话题展开讨论。专家们认为,当前,数据已经成为重要的战略资源,在与人工智能等新技术融合以后,推动人类社会加速进入数智时代,内生安全将成为打开数智时代网络安全的关键秘钥。
数据安全是数字经济发展的基石
与会专家认为,伴随数字经济的发展,数据流动愈发复杂,在给人们带来发展和便利同时,也产生新的安全问题,抑制数字红利的释放。对此,专家们从不同角度探索符合各方利益的安全机制,以保障数据安全、有序流动,推动数字经济行稳致远。
“数据安全作为数字经济发展的基石,直接关系国家的安全发展,已经成为世界主要国家的共识。”中国计算机协会计算机安全专委会主任于锐强调了数智时代数据安全的重要意义,他说,网络强国和数字中国建设需数据要素支撑,这意味着数据安全成为基础。
数字经济时代,数据已成重要生产要素,数据泄露、数据勒索成为常态。在2023全球数字经济大会主题精品展的奇安信展区,新能源风力和太阳能发电仿真沙盘还原了国外真实的网络攻击事件——黑客利用仿真沙盘中的监控和远程控制设备漏洞发起攻击,导致风力发电机组失联失控,进而引发能源危机,造成经济和社会动荡。
“数据要素面临数据资源化全流程风险隐患多、数据资产化流通环节缺乏技术支持、数据要素价值化过程难以监管等安全问题。”中国电子信息产业集团有限公司党组成员、副总经理陆志鹏表示,很多政企机构当前需要应对安全风险难看清、内部人员管控难度增加、外部攻击难防护等数据安全挑战。
针对数据安全保护,专家们从不同视角提出了政策建议。
在制度设计方面,国务院参事、中科院大数据挖掘与知识管理重点实验室主任石勇认为,厘清数据确权问题、灵活平衡安全与共享间的关系、加强国际交流与合作等值得重视。
在技术创新方面,中国科学院院士冯登国认为,网络空间安全新技术需要具备五大特征,即零化特征、弹性化特征、匿名化特征、量子化特征、智能化特征。
在国际合作方面,美中关系全国委员会会长欧伦斯、新加坡瑞信德集团主席陈聪发等认为,加强国家间数据交流与合作具有深远意义,在促进非敏感数据在企业间跨境流动同时,还需要保护个人数据隐私,保护国家安全和发展利益。
在具体专业领域,数据安全的体系化保护工作也有序推进。以能源安全为例,国家电网有限公司副总信息师、中国电机工程学会会士王继业介绍,为保障新型电力系统的安全,要制定安全防护的总策略,推进网络安全防护体系建设,并将技术防护落实到物理环境和应用供应链中,实现对数据的全生命周期安全管控。
智能安全关乎人工智能发展走向
2023年,伴随ChatGPT的推出,人工智能应用成为全民关注的焦点。在今年的BCS会议上,与会专家们就智能安全进行深入讨论,认为智能安全关乎人工智能发展方向。围绕AI大模型开发运用存在的安全风险,专家们提出“以魔法打败魔法”——将人工智能技术应用在网络安全领域。
百度安全副总裁、主任架构师包沉浮结合百度人工智能开发实践总结认为,AI大模型应用面临基础技术层面的供应链挑战、网络攻击挑战、数据隐私安全挑战、内容安全挑战和滥用风险挑战。对此,包沉浮建议,大模型应用提供方和使用方需要加强自身技术风险预判,关注AI大模型二次应用的风险,并共同建立防止滥用的多方协同安全治理机制。
如何更好地将AI运用于网络安全领域,浙江大学博士生导师、可信人工智能研究中心主任纪守领教授介绍了团队在AI安全研发领域的进展和动态。他说,当前用于网络安全的人工智能开发还面临一些挑战,这主要和网络安全对抗的复杂性、当前AI算法的脆弱性等有关,“这是一个比较崭新、有趣,且有挑战的领域”。
上海斗象信息科技有限公司安全专家杜南认为,人工智能大模型在网络安全领域,可实现更自动化、智能化的安全检测,解放人力为业务赋能;能通过人工智能预测攻击路径,规避内部漏洞风险;还能形成漏洞情报,将资产、漏洞、风险、验证、告警等工作自动化编排,提升预警效率。
“随着人工智能技术的演进,我们可以在更多层面,通过风险量化,或者不确定性的推理模型和技术,去做更多风险和威胁方面的框架分析。”天际友盟信息技术有限公司创始人兼CEO杨大路表示,人工智能技术可以帮助构建覆盖全球的风险发现、威胁分析的体系,提升对威胁情报的分析能力。
当前,在一些具体领域,人工智能安全建设工作,已经开始发挥效力。以金融安全领域为例,中国工商银行首席技术官吕仲涛介绍,工商银行目前已建设了覆盖基础设施、计算框架、数据、算法、模型应用的人工智能全链路安全防控技术体系,并基于黑客攻击视角及业界人工智能安全检测的研究成果形成行内人工智能安全检测的方案和规范。面对深伪技术对银行领域的攻击,银行能够利用开源框架重新训练模型来进行攻击复现,提升对AI电信诈骗的识别能力。
创新内生安全决定网络安全的未来
“数智安全,内生为本”是BCS2023大会的主题,进入数智时代,创新内生安全的理念与框架,增强内生安全的能力至关重要。与会专家指出,从观念到实践,从行业标准到新兴安全企业的崛起,内生安全正成为行业新标准和新规范。
“过去4年里,我们参与了很多国家级的大项目,服务了很多重要客户,不断验证了内生安全理念应对复杂网络攻击的先进性。”全国政协委员、全国工商联副主席、奇安信集团董事长齐向东表示,数智时代的内生安全,需要实现三大转变,即从关注IT转变成关注业务、从关注设备转变成关注“人”、从关注建设转变成关注运营。
当前,内生安全正逐渐成为网络安全产业的重要发展理念。BCS大会发布的《自主可控网络安全产业白皮书》称,目前自主可控的网络安全标准体系建设处于起步阶段,标准数量大幅提升,标准的技术路线正由外挂式安全向内生安全体系转变,并正向更大范围渗透。
京东方集团信息安全中心负责人李楠结合企业的安全运营实践,讲述了实现内生安全的历程。他说,企业通过云工作负载安全平台CWPP建设认清了内网风险,并将资产梳理清楚;然后建立资产管理平台,完成业务场景的建模分析以及集团的安全风险管理,最终利用自动化、体系化运营提升安全运营效率。
网络安全保险开始为内生安全提供支撑。国家工业信息安全发展研究中心信息政策所副所长冯媛介绍,网络安全保险主要是以投保人信息资产安全性为保险标的的保险产品。目前主要有两种服务模式,一个是以保险公司为主导的保险服务加安全风控模式,另一类是网络安全企业为主导的安全防护加保险保障模式。据介绍,奇安信网络安全服务的客户在某种条件下可获得零事故网络安全保险,一旦出现事故由保险公司进行理赔。
内生安全的实现,需要相关制度和规范的保障。在今年大会上,《数据经纪从业人员评价规范》标准正式发布。数交数据经纪(深圳)有限公司首席法律顾问丁振赣介绍,该标准旨在成为培育数据经纪从业人员的规范,已获得粤港澳大湾区标准化和质量发展促进会的支持,以及全国近50家数据交易场所、数据商和科研院所的参与,将对构建数据要素统一大市场起到重要作用。
BCS2023网络安全大会继续举办了安全创客汇活动,今年的年度总冠军由研发网络靶场平台的软极网络获得。目前,安全创客汇已成为国内影响力巨大的网络安全领域的专业创投大赛,扶持了一批国内外优秀的网络安全创新企业。
软极网络CEO郑志彬曾供职于华为,在网络安全领域工作近30年,他说,安全创客汇给了团队很大信心,“我希望通过网络靶场的演练,能对未来中国的整个网络安全行业有所改变,技术创新决定网络安全的未来,我是有这种梦想的!”