政协委员严望佳:网络攻击水平持续增强,安全企业须跟进前沿技术

发布时间 2018-03-19

今年1月,新一届全国政协委员名单公布,启明星辰信息技术集团股份有限公司首席执行官严望佳名列其中。
 
1996年创业至今,严望佳带领启明星辰一路成长,让来自中国的安全力量在世界占有了一席之地。过去五年的政协委员履职过程中,她则把业界关注送上两会,围绕关键基础设施保护、大数据安全、弱势群体共享信息红利等问题,为中国的信息安全发展献言献策。
 
在严望佳看来,作为企业的领导者,要考虑企业的规划战略。作为政协委员,则要站在全行业或者更高的层面,考虑整个产业的发展和国家的需要。两种身份,有不同,又相互促进。“如果我不是在企业有领导职位,可能也没有那么多的信息和经验,能把产业发展中需要国家支持的地方提出来。”她说。

 



全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳



“智能生活”挑战隐私保护 减少“脆弱点”可降低安全风险
 
●南都:去年和今年,您都带来了关于智慧城市的提案。智慧城市涉及到海量数据的融合与使用,其中势必涉及到居民的个人隐私信息。怎么才能对这些个人隐私信息进行有效地保障?
 
严望佳:首先,建议国家进一步建立和完善网络安全、数据安全和个人信息保护的法律法规标准,明确相关的法律责任和操作规范;其次,各级政府应设立智慧城市网络安全监管机制,加强监管责任落地。智慧城市在启动时应“同步”或“优先”做好安全顶层设计,在建设和运营时要加强人员管理,防范内部泄露。
 
●南都:智慧城市的建设,要纳入政府、高校、医院等公共机构,但近年来不时有一些公共机构数据泄露的案例。与企业相比,公共机构在个人隐私保护上,是否会因财政或技术实力的不足而受限?
 
严望佳:据我了解,公共机构目前是有相应投入的。此外,它们可以跟专业的安全团队合作,根据自身的实际情况,制定有针对性的解决方案。公共机构采集公民隐私数据,出发点不是为了盈利,而是为了各类社会事务的正常运作。从这个角度出发,我们还是要支持这种数据采集行为的。
 
●南都:这两年“智能生活”的概念很热,小到智能手表,大到智能家居,人们生活的方方面面,甚至是以往极为隐私的领域,都在被智能设备占领。方便的同时,隐私风险是否也更大?
 
严望佳:我们所说的“智能生活”,就是让生活中的各种设备和服务更“懂你”,提供更加个性化的使用体验。这种“懂你”是需要付出代价的,需要不断采集个人的行为数据进行分析。从这个角度上看,普通人确实会面临更大的隐私风险。
 
但回过头来看安全对风险的定义,并非有了数据的聚集就一定会有风险,还要看是否存在可能会导致数据泄露的脆弱点。如果安全措施做得足够好,尽量减少可能的脆弱点,这种隐私风险其实是可控的。

●南都:说到数据的聚集,目前很多互联网企业掌握了大量的数据。在隐私风险控制方面,企业该怎样做?
 
严望佳:还是要将隐私数据作为一种重要的资产,实施全生命周期的保护。这里所说的全生命周期,是指从数据的采集、存储、传输、使用,再到销毁的完整过程。在每个阶段,都应当制定相应的制度和标准,并采取必要的技术手段,保证建立的制度和标准能够被有效实施。
 
例如数据采集,在金融领域有相关的制度,要求商户不能采集用户的信用卡信息,但国内就出现过商户采集了用户信用卡账号,还造成数据泄露的案例。在这个场景中,如果能够通过技术手段,及时发现违规的采集行为,就能够在源头上堵住这个漏洞。
 
又比如在存储阶段,目前每年都会产生大量的数据泄露事件,事后追溯起来,都是存储环节的安全措施不完备。所以,企业既要建立相应的制度,还要有技术手段保证制度的实施,这两方面缺一不可。


“互联网+”转型催生新的安全需求 安全企业须持续跟进前沿攻防技术
 
●南都:启明星辰成立至今已经21年了。回顾这21年,中国的信息安全产业经历了怎样的变化?
 
严望佳:变化还是很明显的。首先是投入的变化,一开始中国在信息安全上的投入是非常滞后的。西方国家的信息安全投入占信息化建设的比重通常在15%以上,中国以前是1-2%,现在提高到3-6%左右。投入逐渐增加,基础改善以后,未来可能会投入到一些重点领域。
 
从技术发展来说,原来我们通过看国外的一些技术和产品形态来引导国内的客户。现在我们跟国外处在同一个研究水平,甚至有一些更超前的思维模式和产品形态。
 
第三是客户需求的变化。以前客户没有信息安全的意识,中期客户说看看市场上有什么样的产品,在这些产品里挑就行。现在客户主动地提要求,要根据他们的安全问题定制、采购一些有针对性的产品。
 
再一个就是建设的变化。原来基本上没有信息安全的建设。后来先搞应用的建设、再搞安全的建设。现在则是在应用的设计、建设、运维阶段要同步进行安全的设计、建设和运维。
 
●南都:信息化快速发展的同时,网络攻击似乎也日益活跃。对此您怎么看?
 
严望佳:从资产设备来看,当前联网的设备越来越多、越来越智能化,过去从来不联网的设备,如工控系统、家电等,都已经开始接入互联网,这使得攻击面越来越大、脆弱点越来越多,近年来各大漏洞共享平台收录的漏洞数量每年都在增长,就验证了这一点。
 
从攻击能力来看,随着网络空间安全上升到国家安全的高度,许多网络攻击事件背后,都隐藏着国家力量的支持,这使得攻击的水平和强度持续增强,近年来曝光的APT攻击组织和数量持续上升,也验证了这一点。
 
●南都:这样的安全态势,对安全企业提出了怎样的要求?
 
严望佳:两方面的因素叠加起来,造成了安全态势越来越严峻。但这些风险,还远远没有达到整个行业难以解决、无法承受的程度。安全企业需要立足真实攻防对抗,持续跟进前沿攻防技术的发展,不断提升自身的硬实力。只要企业足够地重视,其实都有适当的方式可解决。
 
安全运营迎来发展良机 用户有望用更低投入得到更高保障
 
●南都:我们注意到,今年有多位代表、委员提了关于工业互联网安全的建议,您也有一个提案是关于工业互联网的。为什么大家开始关注工业互联网安全了?
 
严望佳:我国对工业互联网的安全问题重视得比较晚,很多核心技术和高端产品对外国的依存度较高。目前在国际上已经发生过攻击工业控制系统而导致严重问题的案例,比如2015年末的乌克兰大停电事件。因此需要提高对工业互联网安全的重视程度。
 
●南都:随着信息安全问题受重视程度越来越高,社会上对于相关人才的呼声也越来越大。您怎么看待信息安全人才的缺口?
 
严望佳:安全人才的缺口问题,是信息化发展到一定阶段的产物。举个例子,过去一些传统行业从来不跟互联网打交道,也没有什么安全风险。近年来越来越多的行业实施“互联网+”战略转型,自然产生了新的安全需求,需要安全人员来解决。可以预见,随着“智慧城市”、“人工智能”应用的发展,中国对安全人才的需求将会进一步上升。
 
●南都:在人才培养和激励上,启明星辰是怎么做的?
 
严望佳:我们在2000年就成立了信息安全博士后工作站,在信息安全领域的民营企业中是第一个,目前已经累计培养了20多位高端信息安全人才。2016年,我们联合中国计算机学会,推出了信息安全领域的科研基金“鸿雁计划”,目前已经与清华大学、中科院、上海交大等多所国内知名高校和科研机构建立了合作关系。2017年,集团成立了教育培训业务群组。后续我们还准备与高校的网络空间安全学院、培训机构等展开进一步的合作。
 
●南都:在将来的信息安全产业发展中,您看好什么方向?
 
严望佳:在业务模式上,比较看好安全运营的发展。随着云计算和大数据这些技术的发展,用户的业务已经渐渐迁移到云端,实现了业务和数据的集中,这就为集中的安全运营创造了条件。专业的安全公司提供服务,可以实现安全运维的专业化、集约化和智能化;对用户来说,也可以用更低的投入,获得更高质量的安全保障。


 文章来源:南方都市报