導讀:杜躍進認為,數字安全已經進入能力主義時代,未來五年,進行開放的、廣泛的、持續的創新是持續提升安全能力,解決數字安全問題的關鍵所在。
12月29日消息,“數字安全是數字時代的底座,越底層越重要,底層根基不牢,一切都會有影響。”12月28日,三六零(360)首席安全官杜躍進在“開啟數字安全元年——360集團戰略發布會”上表示,沒有安全底座,就沒有健康發展,數字安全事關數字革命的成敗。
杜躍進認為,數字安全已經進入能力主義時代,未來五年,進行開放的、廣泛的、持續的創新是持續提升安全能力,解決數字安全問題的關鍵所在。他提出從戰略研究和頂層設計、數據安全、人工智能安全、信息技術創新安全、產學研協同創新、標準化、工業互聯網和數字城市安全七個層面實現有機組合,打造數字安全協同創新平臺,從而推動全社會提升數字安全能力,贏得數字安全未來。
數字安全進入能力主義時代 關乎數字革命成敗
“目前,數字安全尚不成熟。”杜躍進表示,數字安全是融合的安全,面臨很多全新挑戰,簡單地把網絡安全、數據安全、云安全、終端安全等加在一起,解決不了數字安全問題,數字安全還需要持續創新、不斷改進。杜躍進判斷,安全正在從以產品為中心走向以能力為中心,數字安全正式進入能力主義時代。
已經有一些事實可以佐證這一判斷。近兩年大量和安全相關的標準開始聚焦能力或者能力成熟度,國內外安全戰略政策開始重視和加快推進安全能力或能力成熟度相關的內容。比如,美國國防部加快推動網絡安全能力成熟度CMMC認證、美國能源部升級網絡安全能力成熟度C2M2標準、歐盟網絡信息安全局發布國家網絡安全能力評估框架。國內,工信部十四五大數據產業發展規劃則提出開展數據安全能力成熟度評估,城市網絡安全能力成熟度評估被評為2021年中國管理科學最有價值案例。
同時,杜躍進還提出,數字安全是數字文明的底座,事關數字革命成敗。
目前,數字革命進入關鍵期。杜躍進在演講中分享了一組數據,根據咨詢公司麥肯錫對全球各領域約900家企業的調查估算,2019年12月到2020年7月,在全球企業的產品和服務當中,部分或全部實現了數字化的已經從35%升至55%,也就是達到一半以上,而且明顯提速。
但同時,數字革命也帶來了更多安全風險。根據有關機構發布的數據,2020年全球因網絡犯罪造成的損失總計超過一萬億美金。“不管我們的安全感如何,這些數字領域的安全威脅給我們造成的損失是實實在在的,只不過很多人對此不了解。”杜躍進稱。
因此,對于正在數字化轉型的各行各業來說,當前最重要的任務就是提升數字安全能力。
七大數字安全能力行動計劃 驅動數字安全未來
“過去,一把鑰匙可以開一把鎖,但在高度融合的新時代就沒那么簡單了,事務的關聯性極其復雜,七把鑰匙組合起來才能開啟未來數字安全的大門。” 杜躍進提出了“打造數字安全能力的七把鑰匙”,要從七個層面打造數字安全協同創新平臺,提升數字安全能力。
第一,戰略研究和頂層設計,即以《數字安全觀察》為平臺,驅動數字安全戰略研究和頂層設計能力。杜躍進提出,只有洞察底層規律,才能進行更加適合未來的頂層設計。目前,360未來安全研究院打磨出品的《數字安全觀察》已試刊生產25期,形成了每周動態、國防專刊、信創專刊、數據安全專刊四大形態,開展了大量針對性研討活動,積累了數十萬字的素材,并即將正式對外推出,以此建立開放的聯合研究生態。
第二,數據安全,即以大數據協同安全技術國家工程實驗室為載體,通過技術突破、測評咨詢服務、注冊數據安全官培訓等工作驅動數據安全能力。今年10月,360牽頭承建的大數據協同安全技術國家工程實驗室順利通過北京市發改委驗收,并得到高度評價,12月正式通過國家發改委評審,進入國家工程中心新序列。目前,國家工程實驗室已在上海、貴州等地方,以及中國石油、中國一汽等行業共同成立了十家聯合研究機構,深入不同地方和行業的具體場景,開展數據安全創新和能力建設。
同時,國家工程實驗室聯合貴州大數據安全工程研究中心等同行形成生態,提供DSMM(數據安全能力成熟度模型)咨詢、測評和培訓等服務,幫助客戶提升數據安全能力和數據安全防護水平。目前已累計測評近百家單位,面向全國發出357張DSMM測評師證書。
此外,國家工程實驗室經過長期準備,2021年正式開展了注冊數據安全官/數據安全工程師培訓,89名來自政府、通信、能源等領域的高層參加了首次培訓,23人拿到了注冊數據安全官證書。2022年這項工作將進入快速發展期。
第三,人工智能安全,即以國家新一代人工智能開放創新平臺為抓手,驅動人工智能安全能力。杜躍進表示,人工智能技術正在成為世界博弈的焦點,以及數字文明里面最不可或缺的技術。
360承建的安全大腦國家新一代人工智能開放創新平臺有三大建設目標,其一是AI安全技術研究,建設共性技術平臺、開放安全大數據、開放AI安全攻防資源庫;其二是AI安全產學研創新轉化,聯合高校和科研院所推動領域成果轉化,促進人工智能安全生態體系建設;其三是打造AI安全產業生態,建立開放服務機制,賦能產業鏈和創新鏈上下游。2021年,360人工智能安全團隊在人工智能算法安全方面取得了世界領先的成績,在開放創新方面推動多家高校和研究機構的聯合項目也進展順利。
第四,信息技術創新安全,即以護航計劃為核心,通過挑戰賽、聯合實驗室和人才創新聯盟等,驅動信息技術創新安全能力。杜躍進表示,目前有數千家公司正在做信息技術創新,但是我國在信息技術安全方面的能力積累還很薄弱,安全風險不可忽視。因此,360未來安全研究院團結各方力量,支撐有關部門成功完成了首屆信創關鍵產品安全挑戰賽,涉及20個產品廠商的36款產品,在全國大量頂級專家和安全團隊的努力下,取得了非常好的成果。同時,聯合發起成立了信創安全聯合實驗室與信創安全人才培養與技術創新聯盟,匯聚了數十家安全企業、信創企業、高校和研究機構深度參與,共同打造研究創新環境,培養信創安全人才,為信創產業發展提供可參考、可復制、可推廣的安全實踐經驗。
第五,產學研協同創新生態,即以CCF BDCI數字安全公開賽(X-WAY)為龍頭,驅動產學研協同創新能力。2021年,360未來安全研究院聯合中國計算機學會大數據安全專委會等機構,聯合發起并成功舉辦了我國第一個專注于大安全創新的比賽,即“X-WAY數字安全公開賽”。通過一年的時間,吸引了全國31個省、數百家高校以及社會團隊在內的1604支隊伍,就大數據和人工智能用于創新解決大安全問題開展揭榜掛帥式競賽,尋找解決真實問題的最優方法,取得了豐碩成果。過程中帶動安全大數據的開放共享,同時以賽促產,不斷探索優秀競賽方案反哺業務的實踐。2021年的實踐證明這是非常好的協同創新平臺,2022年將進一步升級。
第六,標準化,即以城市網絡安全能力成熟度評估標準、機構網絡安全能力成熟度評估標準、安全大腦能力體系標準系列等為主要內容,驅動數字安全落地能力。杜躍進表示,只有當技術、創新真正形成了能夠落地的產品與服務,才能真正發揮價值,而標準正是推動技術與創新落地的關鍵。2021年,360未來安全研究院的這些工作得到了各方面認可,城市網絡安全能力成熟度評估被評為中國管理科學學會年度最有價值案例,其他圍繞能力的標準工作也正在形成體系。
第七,工業互聯網和數字城市安全,即以360未工平臺和工業互聯網生態聯盟為基礎,驅動工業互聯網和數字城市安全能力。過去一年,360 未來安全研究院深度考察了140家工業企業,并完成了12家工業企業數字化成熟度評估,在此基礎上研發和推出了全國首個以“大安全”為特色的工業互聯網平臺“未工平臺”,并且聯合38家上下游企業成立了工業互聯網生態聯盟。杜躍進認為,工業互聯網安全和數字城市安全,都是數字安全的最終目標,前面的所有工作,都將以促進這兩個領域的創新和能力提升為要務。
杜躍進強調,這七個部分不是分割開的,而是有著深刻的內在邏輯,只有相互配合,才能打造出數字安全能力協同創新平臺。最后,杜躍進還單獨談到,數字安全人才培養是能力核心。360已經在現代產業學院建設、安全專業人員培養認證、安全領域師資培訓和認證、安全教育云平臺等方面取得了大量成績,并且和上百家高校開展合作,這也是未來數字安全能力行動計劃的重點工作。
