导读:杜跃进认为,数字安全已经进入能力主义时代,未来五年,进行开放的、广泛的、持续的创新是持续提升安全能力,解决数字安全问题的关键所在。
12月29日消息,“数字安全是数字时代的底座,越底层越重要,底层根基不牢,一切都会有影响。”12月28日,三六零(360)首席安全官杜跃进在“开启数字安全元年——360集团战略发布会”上表示,没有安全底座,就没有健康发展,数字安全事关数字革命的成败。
杜跃进认为,数字安全已经进入能力主义时代,未来五年,进行开放的、广泛的、持续的创新是持续提升安全能力,解决数字安全问题的关键所在。他提出从战略研究和顶层设计、数据安全、人工智能安全、信息技术创新安全、产学研协同创新、标准化、工业互联网和数字城市安全七个层面实现有机组合,打造数字安全协同创新平台,从而推动全社会提升数字安全能力,赢得数字安全未来。
数字安全进入能力主义时代 关乎数字革命成败
“目前,数字安全尚不成熟。”杜跃进表示,数字安全是融合的安全,面临很多全新挑战,简单地把网络安全、数据安全、云安全、终端安全等加在一起,解决不了数字安全问题,数字安全还需要持续创新、不断改进。杜跃进判断,安全正在从以产品为中心走向以能力为中心,数字安全正式进入能力主义时代。
已经有一些事实可以佐证这一判断。近两年大量和安全相关的标准开始聚焦能力或者能力成熟度,国内外安全战略政策开始重视和加快推进安全能力或能力成熟度相关的内容。比如,美国国防部加快推动网络安全能力成熟度CMMC认证、美国能源部升级网络安全能力成熟度C2M2标准、欧盟网络信息安全局发布国家网络安全能力评估框架。国内,工信部十四五大数据产业发展规划则提出开展数据安全能力成熟度评估,城市网络安全能力成熟度评估被评为2021年中国管理科学最有价值案例。
同时,杜跃进还提出,数字安全是数字文明的底座,事关数字革命成败。
目前,数字革命进入关键期。杜跃进在演讲中分享了一组数据,根据咨询公司麦肯锡对全球各领域约900家企业的调查估算,2019年12月到2020年7月,在全球企业的产品和服务当中,部分或全部实现了数字化的已经从35%升至55%,也就是达到一半以上,而且明显提速。
但同时,数字革命也带来了更多安全风险。根据有关机构发布的数据,2020年全球因网络犯罪造成的损失总计超过一万亿美金。“不管我们的安全感如何,这些数字领域的安全威胁给我们造成的损失是实实在在的,只不过很多人对此不了解。”杜跃进称。
因此,对于正在数字化转型的各行各业来说,当前最重要的任务就是提升数字安全能力。
七大数字安全能力行动计划 驱动数字安全未来
“过去,一把钥匙可以开一把锁,但在高度融合的新时代就没那么简单了,事务的关联性极其复杂,七把钥匙组合起来才能开启未来数字安全的大门。” 杜跃进提出了“打造数字安全能力的七把钥匙”,要从七个层面打造数字安全协同创新平台,提升数字安全能力。
第一,战略研究和顶层设计,即以《数字安全观察》为平台,驱动数字安全战略研究和顶层设计能力。杜跃进提出,只有洞察底层规律,才能进行更加适合未来的顶层设计。目前,360未来安全研究院打磨出品的《数字安全观察》已试刊生产25期,形成了每周动态、国防专刊、信创专刊、数据安全专刊四大形态,开展了大量针对性研讨活动,积累了数十万字的素材,并即将正式对外推出,以此建立开放的联合研究生态。
第二,数据安全,即以大数据协同安全技术国家工程实验室为载体,通过技术突破、测评咨询服务、注册数据安全官培训等工作驱动数据安全能力。今年10月,360牵头承建的大数据协同安全技术国家工程实验室顺利通过北京市发改委验收,并得到高度评价,12月正式通过国家发改委评审,进入国家工程中心新序列。目前,国家工程实验室已在上海、贵州等地方,以及中国石油、中国一汽等行业共同成立了十家联合研究机构,深入不同地方和行业的具体场景,开展数据安全创新和能力建设。
同时,国家工程实验室联合贵州大数据安全工程研究中心等同行形成生态,提供DSMM(数据安全能力成熟度模型)咨询、测评和培训等服务,帮助客户提升数据安全能力和数据安全防护水平。目前已累计测评近百家单位,面向全国发出357张DSMM测评师证书。
此外,国家工程实验室经过长期准备,2021年正式开展了注册数据安全官/数据安全工程师培训,89名来自政府、通信、能源等领域的高层参加了首次培训,23人拿到了注册数据安全官证书。2022年这项工作将进入快速发展期。
第三,人工智能安全,即以国家新一代人工智能开放创新平台为抓手,驱动人工智能安全能力。杜跃进表示,人工智能技术正在成为世界博弈的焦点,以及数字文明里面最不可或缺的技术。
360承建的安全大脑国家新一代人工智能开放创新平台有三大建设目标,其一是AI安全技术研究,建设共性技术平台、开放安全大数据、开放AI安全攻防资源库;其二是AI安全产学研创新转化,联合高校和科研院所推动领域成果转化,促进人工智能安全生态体系建设;其三是打造AI安全产业生态,建立开放服务机制,赋能产业链和创新链上下游。2021年,360人工智能安全团队在人工智能算法安全方面取得了世界领先的成绩,在开放创新方面推动多家高校和研究机构的联合项目也进展顺利。
第四,信息技术创新安全,即以护航计划为核心,通过挑战赛、联合实验室和人才创新联盟等,驱动信息技术创新安全能力。杜跃进表示,目前有数千家公司正在做信息技术创新,但是我国在信息技术安全方面的能力积累还很薄弱,安全风险不可忽视。因此,360未来安全研究院团结各方力量,支撑有关部门成功完成了首届信创关键产品安全挑战赛,涉及20个产品厂商的36款产品,在全国大量顶级专家和安全团队的努力下,取得了非常好的成果。同时,联合发起成立了信创安全联合实验室与信创安全人才培养与技术创新联盟,汇聚了数十家安全企业、信创企业、高校和研究机构深度参与,共同打造研究创新环境,培养信创安全人才,为信创产业发展提供可参考、可复制、可推广的安全实践经验。
第五,产学研协同创新生态,即以CCF BDCI数字安全公开赛(X-WAY)为龙头,驱动产学研协同创新能力。2021年,360未来安全研究院联合中国计算机学会大数据安全专委会等机构,联合发起并成功举办了我国第一个专注于大安全创新的比赛,即“X-WAY数字安全公开赛”。通过一年的时间,吸引了全国31个省、数百家高校以及社会团队在内的1604支队伍,就大数据和人工智能用于创新解决大安全问题开展揭榜挂帅式竞赛,寻找解决真实问题的最优方法,取得了丰硕成果。过程中带动安全大数据的开放共享,同时以赛促产,不断探索优秀竞赛方案反哺业务的实践。2021年的实践证明这是非常好的协同创新平台,2022年将进一步升级。
第六,标准化,即以城市网络安全能力成熟度评估标准、机构网络安全能力成熟度评估标准、安全大脑能力体系标准系列等为主要内容,驱动数字安全落地能力。杜跃进表示,只有当技术、创新真正形成了能够落地的产品与服务,才能真正发挥价值,而标准正是推动技术与创新落地的关键。2021年,360未来安全研究院的这些工作得到了各方面认可,城市网络安全能力成熟度评估被评为中国管理科学学会年度最有价值案例,其他围绕能力的标准工作也正在形成体系。
第七,工业互联网和数字城市安全,即以360未工平台和工业互联网生态联盟为基础,驱动工业互联网和数字城市安全能力。过去一年,360 未来安全研究院深度考察了140家工业企业,并完成了12家工业企业数字化成熟度评估,在此基础上研发和推出了全国首个以“大安全”为特色的工业互联网平台“未工平台”,并且联合38家上下游企业成立了工业互联网生态联盟。杜跃进认为,工业互联网安全和数字城市安全,都是数字安全的最终目标,前面的所有工作,都将以促进这两个领域的创新和能力提升为要务。
杜跃进强调,这七个部分不是分割开的,而是有着深刻的内在逻辑,只有相互配合,才能打造出数字安全能力协同创新平台。最后,杜跃进还单独谈到,数字安全人才培养是能力核心。360已经在现代产业学院建设、安全专业人员培养认证、安全领域师资培训和认证、安全教育云平台等方面取得了大量成绩,并且和上百家高校开展合作,这也是未来数字安全能力行动计划的重点工作。