2023 年 3 月 22 日,FreeBuf 企业安全俱乐部·北京站在北京希尔顿逸林酒店圆满举行。本次大会是作为 FreeBuf 举办的 2023 年首场网络安全行业开年盛会,以“重塑,让安全生产价值”为主题,共设 「数字化安全合规论坛」、「零信任安全论坛」、「安全验证与安全运营实践论坛」、「 开源风险治理实践峰会」四大论坛以及与之对应的四大重磅圆桌。
大会现场吸引了近千名来自全国各地的网安从业者参会交流学习,几十家网安厂商展示安全产品。与此同时,线上“安全419、数世咨询、安在、斗象科技、君哥的体历、天威诚信、持安科技、安势信息、媛媛说智能”9大视频号,同步直播,共有上万名观众“云参会”。
本文就带大家回顾一下「数字化安全合规论坛」的精彩内容。
「数字化安全合规论坛」邀请到数世咨询创始人兼总经理李少鹏担任主持人,天威诚信解决方案中心高级总监罗贇、中国计算机协会专业委员会执行委员、中国信息安全标准化技术委员会委员李延昭,中国电子技术标准化研究院网安中心测评实验室副主任、中国网络安全产业联盟(CCIA)数据安全工作委员会常务副主任何延哲,中国信通院云大所安全专家徐秀,京东科技京东云安全安全专家苏莉娅,中国电力科学研究院有限公司计量研究所计量与用电安全防护试验研究室主任、工业与信息化部商用密码应用推进标准工作组委员、密码行业标准化技术委员会应用工作组专家翟峰,斗象科技安全专家王涛等技术专家,围绕数字化时代下,企业发展数据合规、密码应用管理、风险面管理、可信证据、可信数字身份等内容,分享了最新的研究思路。
Group-IB 数据显示,2021 年共有 30.8 万个包含敏感资产的数据库被暴露在互联网上,2022 年一季度新发现的公开数据库多达 9 万个。其中中国暴露量位列第二,共 54700 个。数据表明国内正在成为数据安全的“重灾区”,再加上网络安全勒索软件大爆发,严重影响到了国家基础设施运行。在网络和数据安全风险威胁持续加剧的背景下,亟需加强密码应用安全保障。
好消息是,国内对于密码应用安全方向投入了更的多关注,密码市场一直保持增速,密码产业链上下游产品齐全。此外,对密码应用的重视不仅仅体现在市场换增速方面,议题分享中,中国信通院云大所安全专家徐秀指出随着《密码法》、《个人新保护法》以及《商用密码管理条例》(征集意见稿)等法律法规的发布实施,密码应用安全已上升到国家战略高度。
据统计,针对电力系统的网络攻击频度呈现高速增长趋势,电力系统信息网络面临较高安全风险。在《商用密码在电力行业的创新融合与应用》议题中,中国电力科学研究院有限公司计量研究所计量与用电安全防护试验研究室主任翟峰表示因密码技术缺失而导致的非法入侵、恶意控制,是自网络空间向物理电网发起攻击的突破口。
翟峰在演讲中指出随着电网业务海内外扩展、业务模式更加复杂,分布式能源、电动汽车、储能等大量接入电网,充电桩、计量采集、智能电表等终端大规模推广应用,电网接入终端种类繁多,接入方式多样;业务规模庞大,数据交互频繁;用户需求多元,服务范围扩大。因此,电网发展对密码应用提出了更高要求。
演讲最后,翟峰简单介绍了国家电网公司商用密码服务体系,该体系依托国家电网商用密码管理中心,综合运用密码技术和微服务、云计算等互联网新技术,将基于软证书和安全芯片,融合PKI认证和轻量级认证,形成了“软硬兼施、轻重并济”的电子认证服务能力,打造多层次、多形态、多场景、多应用全面互通互认的电力行业统一密码应用服务体系,在电力调度、配电自动化、电表采集、综合能源服务、电力交易、物资采购、线上办公、移动办公、跨境业务等业务场景中具有很强防护能力!
为高速健康发展,企业应追求数据安全和业务相辅相成,然而大多数组织在数据治理中往往处于“被动防范”,从而束缚了自身发展。因此,数据合规是企业发展的必经之路。不仅如此,企业数据安全合规面临也面临法律政策、理论方法滞后、技术工具匮乏等挑战,呈现出结果导向治理范式的不足,如何保证数据合规成为亟待解决的问题。
对于企业如何完善数据安全合规体系,中国电子技术标准化研究院网安中心测评实验室副主任、中国网络安全产业联盟(CCIA)数据安全工作委员会常务副主任何延哲指出应在数据安全合规性检查后,基于对国家法律法规、行业标准、技术的研究,基于企业安全现状,梳理出数据安全的管理需要遵循安全政策,建立科学的数据安全保护制度,解决公司实际存在的安全问题,增强抗击数据安全威胁的能力。
此外,何延哲一再强调,随着国家相继颁布了《数据安全法》、《网络安全法》、《个人信息保护法》等法律法规,部分有出海业务的企业需要格外关注数据出境安全管理制度,明确数据出境和境外接收方处理数据的自的、范围、方式等的合法性、正当性、必要性,慎重考虑出境数据的规模、范围、种类、敏感程度,以及可能对国家安全、公共利益、个人或者组织合法权益带来的风险。议题分享过程中,何延哲还提到“滴滴出行”被安全审查的始末。
近年来,云计算、大数据和物联网的普及,再加上,社会数字化转型步伐加快,信息泄露事件呈现高速增长趋势,企业面临的安全风险面日益扩张,安全产品变得不一定安全, 底层漏洞防不胜防,通信协议或标准漏洞影响面巨大, 数字化应用的爆发带来漏洞的爆发, 长老级漏洞与难打的补丁现象固疾难除,网络环境日渐危险。
这种背景下,斗象科技安全专家王涛表示企业的日常运营模式已经难以应对,开始逐渐改变,从以往的被动安全检测形式,逐步演变为主动的安全风险管理与运营方式。因此,汇集自动化、智能化、多元化、综合化的生态体系渐渐形成了倍受青睐建设方向。
值得一提的是,在提到企业发生的安全事件原因时,王涛认为有一半是由于内部错误造成的。
数字经济时代,数据是企业“安身立命”的根本,国家对数据的监管力度也在不断增大,相继颁布实施了《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规。企业享受数字红利时,合规问题是必须要遵守的规则,金融行业更是如此。
京东科技京东云安全专家苏莉娅在演讲中提出金融机构在助贷及联合贷场景中,证据采集难,贷前数据在流量平台侧、贷后数据存在于金融机构侧,无法形成完整的证据链,立案难,裁决/判决效率低。京东云推出智信平台是国内首创联合证据管理模式,提供了成本低、效率高的智能化云端标准存取证能力、快速审核并出具具有司法效力的证据报告,在消费金融场景中,更能有效便捷的减少资方违约损失。
可信数字身份——企业数字化进程的基石
数字化转型已成为各行业领域的共识,伴随着云计算、移动互联网、大数据、人工智能等数字技术的快速创新与应用,数字化转型有利于提高企业管理效率、精简流程、降低成本,优化供应链和生产线必将对行业的未来发展产生深远影响。天威诚信解决方案中心高级总监罗贇在演讲中也不时强调,数字化是企业发展的必然趋势。
企业实现数字化的过程中,数字身份因在认证与授权、用户体验、数据管理、可追溯性、合规性、效率提升等方面重要性反复被业内提及。目前,在 WEB2.0 模式下的身份现状是用户创造、平台所有、平台控制、平台分配。未来,WEB3.0模式下的身份应用需求是用户创造、用户所有、用户控制、协议分配。
议题分享现场,罗贇带着天威诚信内部自研的可信数字身份产品,为与会观众展示了该产品如何确认机构、人、设备、网站的真实身份?如何对不同主体的身份进行统一标识?如何保障主体身份的安全?如何实现主体身份的可信应用?收到大会现场的广泛好评。
全球数字化转型背景下,企业不断优化运营模式,开扩发展渠道,实现自我营收增长。然而随着转型逐渐深入服务于社会发展,衍生出的数据安全问题同样不容忽视。
对于身处于数字化转型道路上的企业来说,如何采用新思维、新模式来解决转型中遇到数据安全问题,亟需解决。在论坛演讲结束后,“企业数字化转型中的数据安全问题”主题圆桌随之进行。嘉宾何延哲、李延昭,以及民生银行高级安全专家刘书洪,北京大成律师事务所合伙人阮东辉就数据合规和安全问题进行了深入探讨,给参会观众带来新的感悟。
FreeBuf是国内关注度最高的网络安全行业门户,同时也是爱好者们交流、分享技术的最佳平台。FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。通过FreeBuf线上媒体平台、FreeBuf企业精品公开课、FreeBuf企业安全俱乐部品牌沙龙、培训会等形式,推动信息安全生态圈建设。