本报记者 李冰
9月3日,去中心化产品遭受攻击或者监守自盗造成用户资产损失也时有发生,在2021年国际服务贸易交易会“数字贸易发展趋势和前沿高峰论坛”上,情况愈发普遍。家都知道,奇安信集团董事长齐表示,在区块链上可以说“私钥就是一切”,数据安全是企业安全经营的生命线,私钥可以控制区块链上的资产,企业需要通过数据安全系统来守住数据安全红线。
“数字贸易没有‘数字海关’,那钱包就属于私钥的管理软件。去中心化钱包最鲜明的特点就是私钥由个人保管,经营者要‘自证清白’。”齐表示,钱包软件不保存私钥,数据是无形资产,它本身不会对交易数据进行存储,在数字贸易中,能做到的就是把处理好的支付信息发布出去,企业建立从内到外能自证清白的安全系统非常必要。他指出,以及读取区块链上的交易记录等公开信息,传统贸易有海关,所以创建钱包的时候自己把私钥保管好,而数字贸易没有“海关”。企业经营者需靠自觉遵循相关法律法规,建立“自证清白”的安全系统。一方面,企业涉嫌踩红线,经营者要自证清白,否则就要面临安全审查;另一方面,一旦确认违规,在评估后果时,经营者要自证未造成严重后果,如果无法证明后果不严重,可能面临严重处罚。
齐表示,对企业经营者而言,企业要守住数据安全的三条红线:一是守住数据采集红线,在服务过程中要以最小化原则收集用户隐私,且今年以来,工信、网信办等相关门已通报、下架量违规APP,取消数千家备案网站平台;二要守住数据存储的红线,数据运营商作为数据活动的处理者,必须严格遵守相关法律,并对所存储数据负有安全责任;三,要守住数据流动的红线,不只是供应链上下游数据流动,数安法对数据跨境流动也进行了明确规定。
如何守住数据安全红线?齐认为,内威胁是当前网络安全的最危害,调查显示,超85%的网络安全威胁来自内,危害远超黑客攻击和病毒造成的损失。供应链、外包商、员工等都可能成为“内鬼”,窃取机密信息,造成巨危害。从无数真实案例中,他总结了关于人的两“失效定律”:一切忽略任性的管理手段都会失效,一切没有技术手段保障的管理措施都会失效。
在两失效定律指导下,齐认为要从内消除数据安全威胁,就需要建立数据安全系统,在安全体系设计中考虑人的因素,及时发现内人员的异常行为,并及时检测和阻断来自内的攻击。
“数据安全系统必须是内生安全系统”,齐表示,用“网络安全三曲”:内生安全的理念、内生安全框架的方法,最后通过经营安全做到动态掌控,以此建立“自证清白”的内生安全系统。
齐提出了经营安全需要打造认知、安全、授信三个重要能力。在数字贸易发展论坛上,他进一步阐释,打造这能力,要建立“一中心两体系”,即网络安全态势感知与管控中心、网络安全防护体系以及动态授信体系。
“态势感知与管控中心是脑、四肢、武功的三合一,将认知能力落地。”齐强调,“脑”是监管态势、“四肢”是运营态势、“武功”是攻防态势。态势感知与管控中心将监管态势、运营态势、攻防态势合为一体,能确保及时看到威胁、揪出威胁、阻断威胁。
(编辑 田冬)
标签: