新基建正当时网络安全迎政策风口,《网安天下》开播展示警企合作范本
图片源自网络
2020年突如其来的新冠肺炎疫情为各行各业带来严峻考验,也成为数字经济快速发展的催化剂。以在线会议、在线办公、在线教育等为代表的新应用、新业态各显其能,对于疫情防控防控与复工复产的支撑作用持续凸显。
在这背后,中国信息通信研究院发布的报告显示,2019年,我国数字经济增加值规模为35.8万亿元,占GDP比重达36.2%。数字经济作为一种新型经济形态,正在成为推动我国经济持续稳定增长的重要引擎。
在各行各业全面加快数字化升级的同时,网络安全也正面临着更复杂、更体系化的要求。
没有网络安全就没有国家安全。面对个人信息泄露、网络安全漏洞、黑色产业和网络攻击等风险因素,目前多部门已出台相关政策以提高网络安全的保护力度,并支持网络安全相关产业快速发展。
守护网络安全非“一日之功”,也非靠某部门“一己之力”可以达成。8月22日播出的《网安天下》节目不仅展示了一份警企合作共建网络安全屏障的范本,还在金融消费者教育和安全保护方面迈出新一步的探索。
《网络安全审查办法》出台,为新基建保驾护航
8月11日国家互联网应急中心发布的《2019年中国互联网网络安全报告》显示,去年我国数据风险监测与预警防护能力提升,但数据安全防护意识依然薄弱,大规模数据泄露事件频发。去年累计发现我国重要数据泄露风险与事件3000余起,针对数据库的密码暴力破解攻击次数日均超过百亿次。
重要机关、党政部门亦成为网络攻击的重要目标。报告显示,某黑客组织2019年对我国300余个政府网站发起了1000余次DDoS攻击;“蔓灵花”组织就重点围绕我国2019年全国“两会”、新中国成立70周年等重大活动,大幅扩充攻击窃密武器库,利用数十个邮箱发送钓鱼邮件并攻击了近百个目标,向多台重要主机植入了攻击窃密武器,对我国党政机关、能源机构等重要信息系统实施大规模定向攻击,为社会公共利益和国家安全的维护带来风险。
时至今日,关键信息基础设施对国家安全、经济安全、社会稳定、公众健康的重要性不断凸显,网络安全的受重视程度亦不断提高。
中国工程院院士沈昌祥院士指出,当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,我国的网络安全正在面临着严峻挑战。“没有网络安全就没有国家安全”,按照国家网络安全法律、战略和等级保护制度要求,推广安全可信产品和服务,筑牢网络安全底线是历史的使命。新型基础设施是以数据和网络为核心,其发展前提是用主动免疫的可信计算筑牢安全防线。
为确保关键信息基础设施供应链安全,维护国家安全,今年4月,国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部等12个部门联合发布了《网络安全审查办法》。
网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害等。关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照《办法》进行网络安全审查。
对于《网络安全审查办法》出台,中国工程院院士倪光南表示,该办法是保障新基建网络安全的关键措施。“《网络安全审查办法》为新基建保驾护航,既要切实保障新基建的网络安全,又要使新基建成为促进中国网络信息产业发展的巨大动力。”
国家工业信息安全发展研究中心主任尹丽波认为,从全球来看,开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。
“越来越多的重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据,但目前关键领域系统设备的网络安全状况仍有待改善。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。可以说,《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。”尹丽波表示。
多政策出台维护网络安全,相关产业目标规模超2000亿元
事实上,在《网络安全审查办法》之前,国家相关部门已出台一系列网络安全相关行业政策,以应对现阶段网络安全方面的风险。
在新基建浪潮下,5G网络、人工智能、大数据中心、工业互联网等等新一代数字基础设施规模化建设和应用正蓬勃开展,为便捷生活的美好未来增添新的想象力,也为网络安全带来新的挑战。
从小米摄像头疑似泄露用户隐私数据,到猎豹移动旗下数十款应用因“破坏性广告”被应用商店集体下架,再到TikTok和大疆遭遇安全质疑,用户隐私泄露和安全漏洞传闻让这些“明星”创业公司饱受争议。
金融领域的数据风险事件亦时有发生,数据库勒索、内部人员数据倒卖、云上数据窃取均对企业的数据安全造成严重威胁。
近期上海银保监局披露的两张罚单显示,招商银行和交通银行信用卡中心分别被罚100万元,两家银行被罚事由均包括“对某客户个人信息未尽安全保护义务”。
瑞士再保险在中国网络安全保险市场观察中表示,2019 年,勒索软件的网络攻击的发生数量急剧上升,理赔频率持续增加,导致美国网络安全保险市场的损失率在2019年上升了10个百分点至45%。
针对上述网络安全问题,去年全年,中央网络安全和信息化委员会办公室等部门在全国范围内组织开展App违法违规收集使用个人信息专项治理工作;去年4月,《互联网个人信息安全保护指南》出台,旨在有效防范公民个人信息违法行为,保障网络数据安全和公民合法权益;6月18日,工业和信息化部公布《网络安全漏洞管理规定(征求意见稿)》。
除了明确监管主体责任和制定运营者规范,近两年来,有关部门还出台了网络安全产业的发展规划,旨在运用市场力量培育有竞争力的网络安全企业,带动产业成熟有序发展。
去年6月,《国家网络安全产业发展规划》发布,工业和信息化部与北京市人民政府决定建设国家网络安全产业园区;同年9月27日,中国工信部正式发布了《关于促进网络安全产业发展的指导意见(征求意见稿)》。
《指导意见》提出的目标显示,到2025年,培育形成一批年营收超过20亿元的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿元。
警企合力筑牢网络安全防线
守护网络安全非“一日之功”,也非靠某部门“一己之力”可以达成。它是一项跨部门、跨行业的系统工程,需要各个方面共同落实防护责任,形成网络安全防护的强大合力,筑牢国家网络安全屏障。
以5G技术可能面临的威胁为例,数据显示,未来5G将有80%的流量来源于行业,其中50%来源于行业增强,如基于5G实现的智慧城市、远程医疗等;25%来源于行业重构,如基于5G实现的智能制造等;25%来源于行业创新,如基于5G的车联网、VR/AR带来的新旅游、新娱乐等。应对复杂的应用场景,就需要多方联手联动防御,合力筑牢网络安全防线,形成完善的技术生态。
对金融行业而言,金融科技的浪潮让让行业发生深刻变革的同时,也为网络安全带来新的挑战。因其行业特性,金融企业的用户尤其容易受到信息泄露的威胁。
《2019年中国互联网网络安全报告》显示,科技公司、电商平台等信息技术服务行业,银行、保险等金融行业以及医疗卫生、交通运输、教育求职等重要行业涉及公民个人信息的数据库数据安全事件频发。
此外,部分不法分子已将数据非法交易转移至暗网,暗网已成为数据非法交易的重要渠道,涉及银行、证券、网贷等金融行业数据非法售卖事件最多占比达 34.3%,党政机关、教育、各主流电商平台等行业数据被非法售卖的事件也时有发生。
由深圳市公安局网络警察支队和深圳广播电影电视集团主办、中国平安冠名的全国首档网警电视栏目《网安天下》即以案例的形式揭开了暗网的面纱,并提供了一份警企合作的参考范本。
8月22日,《网安天下》首期节目播出。据节目介绍,2020年初,深圳网警在工作中发现,某“暗网”交易论坛中有一昵称为“lsr”的虚拟身份,活跃地交易着各类公民个人信息,售卖数量巨大,信息真实,给社会造成极大的危害。深圳网警通过对海量的网络特征和虚拟身份进行分析,摸排黑产链条,锁定犯罪嫌疑人的现实身份,全部绳之以法。
平安集团品牌宣传部总经理陈遥在节目中表示,信息安全问题是一个社会问题,防范信息泄露、滥用、诈骗是一个系统性工程,仅仅依靠公安机关单打独斗、监管部门发文警示是无法完成的,需要全社会共同参与、共同治理。企业应积极响应国家政策、监管要求,协同网警做好问题应对,强化源头治理,承担起信息安全共治的责任。
今年是我国个人信息安全规范立法的重要时期,平安集团还是公安部选定的“个人信息保护法律符合性评估”首批试点单位,目前平安现在正在参与公安部《个人信息保护法律符合性安全评估指引》的编制及验证工作。
企业除了直接参与网络安全风险的应对之外,亦可以在加强消费者教育与保护方面作出贡献。
《网安天下》节目设置了每周谣言榜、专家访谈、科普小课堂等内容,旨在加强大众对金融黑产的关注度,对金融消费者进行正确的保险和理财观念教育,提升对金融黑产的防范意识。
“金融消费者自身的安全意识及风险识别能力非常重要,所以树立正确的消费观才能让‘暗网’触角无处可走、让‘黑中介’失去生存土壤。”
为了增强疫情期间的消费者的自我保护意识和风险防范能力,今年2月起,平安集团旗下包括平安银行、平安普惠、平安产险等在内的多家子公司共同策划推出了金融消费者素养提升计划,推出12期公开课。课程内容均围绕贷款骗局、信息保护、非法集资等网友关注的热点话题展开。
在业务经营当中,平安也始终重视信息安全,在数据安全、打击黑产、消费者权益保护等方面进行了大量基础性工作,以确保客户个人信息安全。针对内部风险和外部风险,平安已作出全面部署方案。
针对内部风险,平安现已建立覆盖数据全生命周期的数据安全管理体系,从事前、事中、事后三阶段做好数据安全管理。针对客服等需要使用客户信息的场景,对客户个人信息进行脱敏处理,内部员工也按照最小授权原则,只能在平安内网浏览工作必需的数据,未经审批无法下载或者外发。
针对外部风险,平安通过技术和管理双管齐下,建立“进不来、拿不走、看不懂、改不了、跑不掉”的纵深防御体系,借助AI模型来实现安全态势感知,提前发现和处置各类风险隐患。
“比如平安人寿的智能风控系统,它通过大数据分析,一旦发现疑似客户信息被盗的情况,就会通过二次身份验证、拦截等方式避免客户资金损失。还有平安银行已经构建起系统性流程,线上实时拦截+线下排查挖掘,伪冒风险管理团队利用策略模型对各类黑产场景进行探究,通过声纹识别、号码监控、客户画像等技术手段,辨识黑产线索,目前已累计挖掘出黑产号码144个、黑产电话369通、黑产投诉380起。“陈遥介绍称。