7月6日,联合国副秘书长李军华在2023全球数字经济大会数字安全高峰论坛暨BCS2023北京网络安全大会上谈及,数字化转型伴随的风险可能会使其收益黯然失色。数字化转型之旅需走出一条更全面的通路,增强网络安全保障,尊重个人隐私,保护支撑数字政府和数字经济的关键数字基础设施。
一条条实时攻击数据触目惊心。在一家科研机构竖起的实时
监控大屏上,网络攻击数据持续不断地更新着。《证券日报》记者注意到,显示攻击来源的IP地址不只来自国内,还有来自东欧、北美、东南亚等地区。
7月6日,联合国副秘书长李军华在2023全球数字经济大会数字安全高峰论坛暨BCS2023北京网络安全大会上谈及,数字化转型伴随的风险可能会使其收益黯然失色。数字化转型之旅需走出一条更全面的通路,增强网络安全保障,尊重个人隐私,保护支撑数字政府和数字经济的关键数字基础设施。
在数字化转型过程中,网络攻击呈现出哪些新的态势,又将引发怎样的风险?作为网络安全的守护者,相关从业者如何积极应对?带着这些问题,记者走访了相关网络安全科研机构,并采访了多家网络安全上市公司相关负责人。
“易攻难守”成新常态
数字经济时代,网络安全正在与我国的经济安全、社会安全和国家安全紧密相连。启明星辰首席战略官潘柱廷在接受记者采访时表示,在数据战和算力战中,网络安全领域的攻防对抗将成为左右胜负的关键变量。为了打赢这场网络安全攻防战,启明星辰作为与电信运营商有深度业务协同的网络安全行业上市公司,将与运营商一道构建起国内网络安全市场的主场优势。
“易攻难守”正在被用来形容网络安全攻防战的新常态。在前述科研机构中,相关工作人员对记者演示了网络攻击者隐匿真实IP地址的方式。一方面,通过层层跳板,网络攻击的IP地址可以实现多次变化,直接攻击源的IP地址往往难以真实反映攻击者的身份;另一方面,网络攻击者可能会打造多条获取关键信息的“隧道”,“隧道”一旦成功打通并使攻击者获取关键信息就会随即关闭,增加溯源的技术难题。
在新技术的加持下,网络攻击隐蔽化的趋势愈加凸显。安博通公司高级副总裁薛洪亮告诉《证券日报》记者,移动互联网、大数据、AI等技术的应用,使得网络安全环境变得更加广泛与复杂;工业互联网安全、数据安全、物联网安全等场景的细分,会使可攻击范围成倍扩大。未来网络攻击会呈现出更加高频化和隐蔽化的趋势,防御方防守的范围与难度将进一步加大。
上市公司各出奇招积极应对
敌暗我明,形式多变,如何打赢日趋高频化和隐蔽化的网络安全攻防战?
新技术不仅成为攻击方的“矛”,也在增厚防御方的“盾”。记者在采访中注意到,网络安全行业中,搭建垂直大模型正蔚然成风。
在网络安全工作领域耕耘超过20年之久的绿盟科技正在拥抱新技术。近期,公司相关负责人在投资者互动平台上透露,公司正在自研安全领域大模型。同时天枢实验室在AI安全领域的研究成果帮助自研大模型改善其对于对抗性攻击的鲁棒性,加强模型训练和服务过程中的安全性,保障模型数据的安全和隐私。
潘柱廷告诉记者,随着中国移动正式实控启明星辰,公司将能够借助中国移动的海量数据、超强算力和大模型等资源,同时基于公司多年的安全积累发展安全垂直领域的大模型,赋能网络安全、数据安全产业高质量发展。
另据记者查阅公开资料了解到,多家网络安全行业上市公司陆续宣布已经或即将发布大模型产品。
有着“网安一哥”之称的奇安信在实践端有着进一步的考量。奇安信董事长齐向东日前公开表示,做好安全合规,不能从简单的产品堆砌入手,要配合安全体系,从“管理、技术、运营”三方面开展数据安全的治理与防护工作,打造体系化的内生安全。
据记者采访多家网络安全行业上市公司了解到,多层
防火墙的设置也能够为网络安全工作提供更多的确定性。有不愿具名的网络安全行业从业者告诉记者,金融机构普遍会与两家或多家网络安全企业进行签约;在大型的国家级赛事或者会议上,几乎所有的头部网络安全企业均会参与。但谈及公司客户名单,该从业者讳莫如深。他告诉记者,多重防火墙的设置不仅意在增厚防御能力,还意在增加网络攻击的难度,避免攻击方对于单一网络安全公司有所了解而有的放矢。
投入占比不足亟待加码
网络安全投入占比不足问题引发多家上市公司共鸣。
“国内网络安全占信息化的投入比例约为3%,而同期部分国家的这一项数据占比则高达20%。”绿盟科技方面相关负责人援引数据告诉《证券日报》记者,“差距仍在,但同时我国网络安全投入的增速则达到了18.8%,处于全球领先水平,市场增长空间明显”。
端到端的加强以及法律法规体系的完善同样受到关注。北信源副总经理杨华认为,在物联网时代,越来越多的设备连接到互联网,这些设备常常缺乏足够的安全防护措施,这些弱点被黑客利用后可能会造成严重后果。北信源建议,在终端安全管理体系,由传统的PC机管理扩展到
智能终端以及各种IP设备的泛终端统一管理亟待加强。
杨华同时认为,面对瞬息万变的网络安全环境,现有法律法规体系难以跟上技术发展速度,法律法规滞后及执行力度不足。
潘柱廷建议,在安全相关立法大框架已经基本就绪的情况下,一是秉承“速立频修”的模式做一些补充条款的修订和改进;二是相关部门快速出台具体实施条例和实施细则,特别是在数据要素化方面多出台一些鼓励性的政策,并考虑把这些举措变成行业和地方主管的考核指标。
国金计算机资深研究员李忠宇告诉《证券日报》记者,从政策催化维度看,近几年随着网络安全法、数据安全法及个人信息保护法的陆续出台,我国网络安全行业的政策立法顶层设计不断完善。“我们预判接下来国家会逐步完善重点行业、重要领域相关的落地细则。”
李忠宇预计,“十四五”期间,关键信息基础设施行业客户的网络安全投入比例有望达到8%至10%,在重要特定行业网络安全投入比例有望超过10%。