当前,以大模型为代表的新一轮人工智能浪潮势如破竹,正以飞快的速度席卷千行百业。面对激烈的技术变革,如何发挥数据的基础资源和创新引擎作用?数字安全领域又将面临怎样的机遇和挑战? 5月24日,第七届数字中国建设峰会“数据资源与数字安全”分论坛在福州举行,对上述问题作出解答。
论坛现场
会上,全国政协委员、全国工商联副主席、奇安信集团董事长齐向东发表主旨演讲,会前接受南都等记者采访。在解读网络安全与新质生产力的关系时,齐向东表示,网络安全能力是新主体、新场景的必备能力,为更多元的新质生产力保驾护航。体系化的网络安全建设可以将新主体、新场景串联成网,在可信网络下实现生产资料即数据和信息的交换,推动生产力大发展。
从端、网、云、数等多层面构筑内生安全体系
齐向东在会上表示,随着数据资源逐渐丰富,数据要素流动加快,经济社会发展充满无限可能。与此同时,数据要素相关活动也面临很多潜在的安全风险,包括数据窃取、数据勒索以及数据流转过程中的数据违法、数据滥用、数据跨境传输违规等,因此需构建整体性的数据安全合规保障体系。
首先是确保数据基础设施安全,构建纵深防御的内生安全体系。齐向东指出,在数据基础设施建设初期,往往缺乏对安全的考虑,要同时兼顾业务运转和安全能力,需从端、网、云、数等各个层面来构筑纵深防御的内生安全体系。
如何理解这一体系?他解释,纵深是指从网络纵深、资产纵深和服务纵深的角度,保证多道网络防线联动,“一道防线被突破,还有其他若干个防线来拦截攻击,从而实现安全防护从宏观到微观检测的全面进行。”内生则要求把安全能力“内生”到数字化、智能化安全体系当中,确保数据资源安全。
齐向东强调,整体数据流转过程十分复杂,要确保数据从共享开放、开发利用到交易过程的安全,必须抓住重点,比如对重要数据进行分类打标,根据数据的级别制定不同的防御策略,“重要的数据要重点防护,并根据数据流转的过程特点区分关键场景、关键环节,来进行分阶段的精准防护、动态防护。”
再者是确保数据要素化的全过程合规,构建数据流通安全合规体系。近年来,数据安全、网络安全等法律体系逐渐完善,需加快打造数据流通安全合规体系,为数据资源化、要素化、产品化三个环节提供制度保障和技术支撑,围绕数据要素流通活动平台以及基础设施做好安全防护。
另外,通过持续安全运营提升安全能力,确保数据安全防护有效。齐向东直言,“安全防护要有效果光靠建设是不行的,我们需要进行持续不断的安全运营来提高数据资产管理能力、数据访问控制能力、数据实体防护能力和风险检测的响应效率,”形成数据安全事件发现、检测、防护和响应的完整闭环。
AI大幅降低网络攻击门槛,打破攻防平衡
论坛开始前,齐向东接受了南都等记者的采访,就数字化驱动生产生活方式和治理变革等话题展开讨论。
齐向东接受采访
南都:当前不少企业都面临“数据要素x”和“人工智能+”的发展需求,这二者产生碰撞时,会出现哪些新的安全威胁?
齐向东:“数据要素x”碰上“人工智能+”,数据的流通速度会更快、规模会更大、通过的节点会更多、价值会更高,面临的安全新挑战大概有三种。
一是人工智能打破攻防平衡,数据要素既是目标也可能成为“毒药”。我们都知道,网络空间攻易守难——对网络攻击者而言,攻击100次,失败99次、成功一次就算胜利;对网络防护者来说,防护100次,成功99次、失败一次就是失败。
人工智能的出现大幅降低了网络攻击门槛,不懂代码和技术的普通人也能成为黑客,网络攻击数量大增。专业的黑客组织还能利用人工智能对攻击进行升级改造,数据既是重要攻击目标,也能被用于发动网络攻击。比如,黑客可以通过数据投毒、对抗样本、模型窃取等多种方式攻击AI算法,使其产生错误判断。
二是人工智能加大了数据非法获取、数据泄露以及恶意滥用等安全问题。现在大家都越来越觉得GPT是个好东西,它能帮助我们干活、写文章、写代码等等,无论是社会性还是创新性的工作都能高质量完成。
然而,在更加频繁使用GPT的同时,使用者“投喂”数据越多,导致数据被动泄露的可能性也越高。国外研究机构的数据显示,ChatGPT等生成式人工智能导致网络钓鱼邮件攻击增长了135%。
三是人工智能扩大了攻击暴露面,数据要素流通风险激增。当前,企业数据在终端、应用、云上、数据中心侧之间流转,链路非常复杂,提高了边界和接口的管理难度,导致访问者的身份难以辨认、行为难以管控,黑客能披着合法的外衣做坏事,很难及时捕捉安全风险。简单来说,如果算法模型被不法分子“投毒”,算法模型可能会给使用者出“歪主意”,引导他们做出错误决策。
南都:近期,发改委、数据局等四部门联合发布了《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》,这会对网络安全行业带来哪些影响?
齐向东:首先是投资加大推动市场扩容。以前城市的网络数据安全体系是防重点,全域数字化转型之后,要防全面不留死角,否则将会导致“突破一点,瘫痪一片”。
其次是标准提高推动融合创新。应对好城市全域数字化转型带来的网络安全新挑战,仅靠一家之力是远远不够的,需要各家共同努力。网络安全企业亟须与各行业头部企业开展合作,进行网络安全与特色业务场景的融合创新。
再就是划出红线推动依法合规。根据《指导意见》的要求,政企机构应主动承担好网络安全和数据安全保护责任,严格遵守相关法律法规不越“红线”,否则将会依法遭到严厉处罚。从这方面看,网络安全合规服务需求也会增加。
南都:不久前你提到“网络安全既是新质生产力,又能护航新质生产力”,怎么理解?
齐向东:在我看来,新质生产力特点是创新,关键在质优,本质是先进生产力。网络安全是数智技术的集大成者,符合新质生产力标准,其本质是攻防两端的高度对抗,科技创新在这个过程中起关键作用,这个行业一天不创新就落后,落后就挨打。网络安全代表新技术发展的最高水准和前沿方向,需做好技术和产品的融合创新。
另外,所有新质生产力都和数字、数据网络有关,需要网络安全能力保驾护航。通过体系化的网络安全建设,可以将新主体、新场景串联成网,在可信网络下实现生产资料即数据和信息的交换,护航未来产业,推动生产力大发展。
采写:南都记者 樊文扬 王子黎 发自福州