以“零事故”为目标,为数字政务注入安全
齐向东
第十四届全国政协委员、全国工商联副主席、奇安信科技集团董事长
我今天演讲的题目是“以‘零事故’为目标,为数字政务注入安全力”。
一、数字安全是数字政务的生命线
数字政务对我们现代社会的运行发展起到非常重要的作用,在疫情期间,全国各地的健康码就是典型的数字政务的实践,各地政府利用健康码实现了疫情的精准防控,但是同时也汇集了大量的个人信息,比如身份信息、人脸图像、健康状况、行程轨迹等。这些高价值信息也成为黑客重要的攻击目标,据统计,疫情期间全国有个别地方的健康码系统遭受过网络攻击,造成了一些损失,给广大人民群众出行带来了诸多不便。
2023年2月份以来,广西壮族自治区、江苏省等很多省市政府都表示要销毁疫情期间的数据,政务数据涉及个人隐私,事关老百姓的幸福生活,政务数据涉及国家机密,也事关国家安全。随着数字政务发展的不断提速,网络边界大开,数据安全的形势也不容乐观,这几年,各级政府都加快了数据开放共享的进程,数据安全的隐患在逐渐地加大。在这里我主要说三点。
第一是“一网通办”的黏性提升,数据安全一损俱损。以前各个组织之间的联系是非常有限的,即使一个系统出现问题,也不会影响其他的系统,就是安全风险是可控的。但是现在随着“一网通办”的深入推进,越来越多的组织都在接入打通,只要一个薄弱环节出问题,就可能引发全局的网络安全风险。尤其是政务数据,流转范围越来越广,使用场景越来越多,系统更容易出现防护的缺口。在这种情况下,极大可能会引发全局的风险。所以我们每个组织在开展数据安全建设的同时,都不能抱有侥幸心理,在每个步骤上都不能松懈。
第二是大数据中心扎堆落地,数据安全一失万无。经济学理论中有一个理论叫不把鸡蛋放到一个篮子里,这可以用来理解数据安全。目前全国统一一体化的大数据中心越来越多,政务数据进行了大规模的整合存储,集中了安全风险。以前黑客获取数据要攻击多个目标,才能获取分别存储在不同地方的数据,把数据集中之后,他只需要集中攻击一个目标。我们说黑客窃取100兆的数据和窃取100T的数据,这个风险的概率几乎是相同的。
第三是智能化的应用广泛普及,数据安全一发千钧。政府在提供政务服务的过程中,广泛使用了人工智能的技术。人工智能可以化身客服,快速地提供信息查询、问题解答服务,也可以进行人脸识别、语音识别,快速地通过办理的申请。在这样的应用场景中,人工智能模型本身也会面临着攻击、恶意篡改、漏洞应用等安全隐患,让政务数据时刻处在非常危险的境地,通过传统的防护手段是很难应对的,一旦出现问题就会引发比较大的公众信任危机,损害我们政府的信用。
二、以“零事故”为目标
数据安全要做到“三要三不要”。2023年2月份我国印发了《数字中国建设整体布局规划》,将数字技术创新体系和数字安全屏障列为数字中国建设的两个能力,进一步突出数字安全底板的作用。在过去,我们是不敢以“零事故”作为网络安全目标的,很多单位都要求在网络上只要不出大事就可以。但是随着数字政务的深入,数据规模逐渐庞大,一旦出现了数据泄漏事故,就很难把这个事故的规模控制在很小的范围内。所以,“零事故”目标是顺应时代的要求产生的,我们必须在数据安全领域迎难而上。
“零事故”标准有三条:业务不中断、数据不出事、合规不踩线。从冬奥网络安全保障来看,网络安全“零事故”不是“零攻破”,而是当个别的终端、服务器或者其他的网络资产被攻破的时候,我们能够快速地采取措施,保障数据和业务的安全。数字政务要想实现“零事故”,我有三条建议。
第一要制度先行,不要杂乱无章。制度是一切后续工作最重要的抓手,制度不清晰,安全建设就走不远。所以我们一定要明确,首先要把行政制度、行政规范,压实相关主体责任单位,明确责任边界,包括所有部门的职责、分工,以及后续的一些建设。另外,我们还要归类好数据安全建设的投资和金额,我们期望的网络安全建设的投资,在IT投资中的占比要在10%以上,按照发达国家的经验,网络安全投资占IT计算的比例都在10%以上。
第二要全链路监测,不要静态防御。数字安全和网络安全是分不开的,数据安全是网络安全的根本需求。过去我们只是强调端、网、云,网络安全防护是单一的、静态的。但是现在,数据在终端应用网络、云、数据中心之间要进行流转,链路是非常复杂的,我们需要开展全链路的数据安全监测,所以应该建立纵深防御的内审安全体系,把安全能力内置到网络的全链条当中,内置到数据安全生命周期当中,保证我们多通道网络安全防线联动。那么,当一道防线突破的时候,我们还有其他的防线来拦截或者处置网络攻击。
第三要体系化运营,不要单打独斗。我们说网络安全运营的水平,决定了数字系统抗风险的能力。如果各个部门各层级系统分散进行网络安全运营,不但效率低,网络安全的效果也没有办法实现最大化。
我们会继续以“零事故”为目标,服务好更多城市的数字政务建设,我相信在党中央的正确领导下,在网信办的大力指挥下,我们各个厂商会不断地努力,我国的数字政务建设也一定会打开一个新的局面,取得更好的成绩。
谢谢大家!
(以上内容根据嘉宾发言速记整理)
扫一扫在手机上查看当前页面
