齊向東出席中國網絡安全年會：九板斧守護數據安全

“數字經濟要做好紅線意識和安全流動兩篇文章”在2021年中國網絡安全年會上，奇安信集團董事長齊向東表示，數據泄露總量已超過前15年之和，平衡好數據利用與數據安全之間的關系，是數字經濟平穩健康發展的關鍵。

定制度、建系統 守好數據安全三道紅線

《網絡安全法》、《數據安全法》等相關法律法規的出臺，針對個人和國家數據安全織出了一張細密的法網，也提醒著政企機構應當盡快形成“紅線意識”。

齊向東認為，“紅線意識”主要有三條：其一是守住APP采集紅線，今年以來，工信部、國家網信辦等相關部門已通報、下架大量違規APP，取消數千家備案網站平臺；其二要守住數據跨境流動紅線，歐盟、美國、印度等國家和地區均有相關法律法規限制數據跨境流動，保障其境內的數據安全，我國的《數據安全法》也高度重視數據的跨境流動，并劃定了紅線，邁出了保護數據跨境流動的關鍵一步；第三，要守住數據存儲和保護的紅線，數據運營商作為數據活動的處理者，必須嚴格遵守相關法律，承擔保護數據安全的責任，守好數據存儲及保護的紅線，確保數據安全。

如何守好紅線防止破線？齊向東認為，要從內部消除數據安全威脅，在安全體系設計時就需要考慮到人的因素，及時發現內部人員的異常行為，并及時檢測和阻斷來自內部的攻擊，通過系統來有效防止破紅線。

數據泄露是數據的非法流動

數字技術的飛速前進、數字經濟的蓬勃發展，都依賴于對數據價值的深入挖掘，平衡好數據利用與數據安全之間的關系，是數字經濟平穩健康發展的關鍵。

根據美國分析機構Canalys的最新報告，2020年數據泄露呈現爆炸式增長，短短12個月內泄露的記錄比過去15年的總和還多。今年以來，全球范圍內也發生多起嚴重數據泄露事件。

其中最容易被忽視的是，內部人員造成數據泄露遠比想象中嚴重。據美國通信巨頭威瑞森公司發布的《2021年數據泄露調查報告》顯示，85％的違規行為涉及人為因素。無論是“內鬼”還是無心之失，內部造成的網絡安全危害程度遠超黑客攻擊和病毒造成的損失。

逐年增加的安全漏洞，是數據泄露的重要“出口”：1999年-2020年，微軟Windows平臺提交漏洞總計7272個，平均每年330個；而在2020年，Windows平臺提交漏洞數量暴增至1220個。

包含開發、交付、運行三大環節的供應鏈攻擊，則延長了數據泄露可能發生的鏈路。奇安信統計發現，采用開源軟件的項目平均每個有66個漏洞；自主開發的程序，每1000行代碼有10.11個缺陷。這些漏洞一旦被利用，都會將安全風險引入到供應鏈下游環節。

日益猖獗的勒索攻擊，也成為數據泄露的重要原因之一：2021年，預計每11秒將發生一次勒索攻擊，全年超過300萬次。勒索攻擊的贖金也在逐年增長，拿到贖金的黑客則會快速實施下一次勒索，形成惡性循環。

在數字化時代，海量數據需要通過流動交易來產生價值，但在數據交易的動態過程中，面臨著許多安全問題，一個單點失陷就可能導致重要數據泄露，帶來嚴峻威脅。

“九板斧”守護數據安全流動

如何保護數據安全流動？齊向東介紹了“九大板斧”：

第一板斧：態勢感知。對數據安全威脅及時預警和處置，實現企事業數據安全的全方位態勢感知與動態防護；第二板斧：零信任。通過零信任安全解決方案實現用戶訪問數據“權限最小化”，最大程度降低內部人員泄露數據的風險；第三板斧：云鎖。有效檢測與抵御已知、未知惡意代碼和黑客攻擊，防服務器被控制；第四板斧：特權賬號安全管理，防內鬼；第五板斧：資配漏補的系統安全。通過資產管理、配置管理、漏洞管理和補洞管理四大基礎安全流程，防漏洞；第六板斧：郵件威脅檢測系統。及時發現高級威脅和定向攻擊郵件，防釣魚；第七板斧：審查供應鏈。天問平臺、代碼衛士、開源衛士多款產品上下游齊發力，盡早發現供應鏈安全風險，預防突如其來的供應鏈攻擊；第八板斧：內生安全框架。奇安信提出的內生安全框架，系統化建設完整的網絡安全體系，同時用具體的“十大工程”和“五大任務”，引導網絡安全體系的規劃、建設與運營，幫助政企機構更好地應對勒索攻擊；第九板斧：隱私計算沙箱。堅持“數據不動程序動、數據可用不可見”原則，防數據“合法”泄露。

齊向東表示，通過“九板斧”，可從制度、人員管理、系統防護、供應鏈上下游、數據交易等方面，對數據流動形成完整的安全防護體系，在保障安全的前提下，對數據價值進行充分挖掘利用，推進數字經濟安全穩步發展。

據悉，本屆中國網絡安全年會由國家計算機網絡應急技術處理協調中心主辦，以“攜手應對數據安全威脅挑戰”為主題，聚焦當前國內外網絡安全工作新情況、新形勢與新挑戰。其中，由奇安信主辦的“數據安全分論壇”也是本次大會的重點之一，將有來自國家計算機網絡應急技術處理協調中心、中國移動研究院安全所、中國信息通信研究院安全所的專家，及奇安信、德勤中國等多家單位的行業大咖發布主題演講。