时值大数据爆发期,人工智能和物联网等新兴技术成为明日之星,《网络安全法》会对互联网创业者造成什么样的影响?如何应对其可能带来的数据孤岛问题?如何加强物联网工业的安全防护?如何在实施初期/缓冲期即时调整业务框架,明确责任归属?如何抓住网络安全产业机遇?
本期的智能内参,我们推荐来自麦肯锡和艾媒咨询的网络安全产业报告,结合智东西的市场观察,分析网络安全准则下的互联网、物联网、人工智能等企业的市场机遇与挑战。
以下为智能内参整理呈现的干货:
随着互联网应用的深化,网上交易频繁,电子银行、第三方支付、互联网理财等产品的发展为人们带来便利的同时也带来了隐患,技术的发展使传统密码防护性能下降,个人、企业,甚至国家的信息安全受到威胁。2017上半年互联网安全事件频发,网络安全形势严峻。
数据显示,2017年上半年,中国境内被篡改的网站数量在3500至6500个之间,被植入后门网站数量在3000至5500个之间,被篡改和被植入后门网站主要为商业类网站。
为此,美国战略与国际问题研究中心(CSIS)的网络政策专责小组发布了《从认知到行动——第45任美国总统安全议程》,为特朗普政府提供未来5年网络安全战略建议。国内方面,自6月1日《网络安全法》正式实施以来国家网信办、工信部、公安部、新闻出版广电总局、最高人民法院、最高人民检察院陆续推出了34项相关配套新政。
正如安永事务所指出的,《网络安全法》定义的网络运营者几乎涵盖了所有企业,也不仅仅局限于IT部门,而是需要从管理层往下推动,各业务部门充分配合。企业应该利用好目前的“缓冲期”,提早作出应对,回顾自身各项业务以及IT环境是否满足法律规定,识别差距,针对未能满足法律要求的细节,尤其是业务环节,制定应对方案,比如业务优化、修改合同与协议条款、向执法部门报备等风险降低方案或者是风险接受方案。
数据是未来的货币。数字经济时代,数据成为企业的核心竞争力,也成为政府监管的依托。网络安全实质上是在数据的发展与安全之下寻求平衡。
尽管中国的科技巨头能够通过其专有平台获得海量数据,但在创建一个标准统一、跨平台分享的数据友好型生态系统方面,以及立法基础和行政监管经验方面,中国仍落后于美国。第140期智能内参指出,中国可以通过建立并落实数据规范、向私营领域开放公共数据、鼓励跨国数据交流来构建一个更为完善的数据生态系统。
规范,在短期内的某些层面上,意味着限制。先是6月初,阿里巴巴的菜鸟网络与顺丰快递之间出现数据断接;再是8月,华为与腾讯的用户隐私数据争夺战,以及各大内容平台的纠葛等等。数据/信息的所有权归属问题扩大了数字鸿沟,进一步形成了数据孤岛,整个数据交易市场却迅速显现休克状态,资本市场对大数据企业的热情有所冷却。
数据孤岛,可以直接导致各个独立的部门之间,特别是执行端和决策段之间断接。简单说就是数据间缺乏关联性,数据库彼此无法兼容。不同于IBM、谷歌、苹果等巨头,大多数中小型企业的获取数据的主要途径是各类数据采集平台。
但这种短时间内的不适应性又是通往更完善、更合理的数据生态建设的必经之路。
因此,对于特定行业数据,政府可要求现有的监管机构制定必要规则;提高公共数据/事件的透明度 ,并带头建设行业数据库,充分利用云技术为中小型企业提供数据平台,为数据鸿沟提供隧穿通道,以应对数字化/智能化转型需求;对于涉及到个人隐私的数据,进行脱敏处理,或者参考苹果的差分隐私技术(在数据若干片段加入数学噪音,让个人身份无法识别)来进行数据安全保护。
麦肯锡认为,2025年,物联网的经济影响价值将达到每年3.9万亿美元至11.1万亿美元;其中,工业物联网的经济价值每年最高可达3.7万亿美元。工业物联网的爆发,原因包括快速变化的现代商业环境,不断提高的数据的可用性和越来越多的传感器的使用。
在互联互通的世界,从保护数据到保护系统性能,企业面临的信息安全压力越来越大。这种压力既来自企业内部的系统运行安全,又来自可能的泄密风险。如果被入侵者攻击,企业不仅面临操作系统无法正常使用和大量隐私信息如核心工艺参数被窃取的风险,甚至关键基础设施的工业设备遭到入侵者控制或破坏,造成巨大的经济损失和人员伤亡。
将数十亿的电子设备相连,除了构建统一的物联网标准与系统框架,形成一个良好的商业运作模式至关重要。对此,麦肯锡对于物联网行业的CEO们提出了以下六点建议:
1、理解物联网安全对于自身行业特性及商业模式的重要性。
不仅仅是一个简单的IT管理补丁问题,还要注意物联网安全问题造成的客户满意度、支付意愿等连锁效应。更加有效的物联网安全解决方案(包括主要弱点预测、预防、检测、反应的行动链等)可能提供更少的停机时间,特别是对能源企业(物联网安全重灾区)、自动化的设备制造商而言。
2、明确供应链中的物联网安全责任机制。
也就是上游和下游的业务合作方之间的战略对话,建立薄弱环节的安全分析模型,从合作方的能力和盈利模式考虑明确相关责任机制。如设备和半导体制造商负责软硬件底层安全性、网络设备制造商负责传输层、应用程序设计人员复杂的客户信息层……
3、对话相关机构,寻求战略合作。
监管机构必然会接入(工业)物联网,从设计、研发到生产、销售等各个环节,企业之间需要建立共识,与同行之间寻求互利的资源共享,遵循社会发展原则,定下物联网安全准则的基调。
4、将网络安全融入产品生命周期,并列为优先之一。
工业物联网的价值来源不仅限于产品和设备的管理,而是延伸到产品和客户生命周期管理。延长产品生命周期和客户的生命周期的关键在于,工业企业需要寻找将产品的一次性交易转化为持续收入来源的方法。产品安全的基础是产品开发阶段“设计中的安全” 。
5、改变管理思维和部门技能固化。
由于对业务的认知与法律法规的解读有一定局限,IT部门难以识别具体业务开展过程中是否违反规定。网络安全需要全员工安全意识的提高,为了达到这个目的,一些公司已经开始奖励那些识别安全漏洞的员工。开发这些新跨行业的跨界技能,公司应可以考虑与业内其他公司、大学或者培训机构合作。
6、为外部安全研究人员创建一个点接触系统。
也就是为自家可能的安全检测、预防和修复找到解决和负责的对接方,也就是提供一定的业务透明度。公司需要针对不同的攻击场景制定相应的应对计划。在物联网世界,网络安全事件可能会影响到作为一家公司运营的核心,因此需要计划业务连续性管理和灾难恢复。
人工智能可以成为网络安全的维护手段,能够利用已有的黑白名单技术识别可能的网络威胁,甚至进一步监督其运行过程,判断正邪。
亚信网络安全产业技术研究院副院长童宁指出:监督学习适用于恶意程序、勒索病毒以及垃圾邮件的防治;反欺诈、态势感知、用户行为分析等则更适合无监督学习。机器学习技术的优势是它的多维识别能力,然而机器学习技术再强大也需要与其他手段综合起来利用,效果才更好。
好吧,事实上,安全人员可以使用人工智能技术阻挡黑客攻击,反过来,黑客也可以使用人工智能技术发起更复杂的攻击。随着大量人工智能模型开源,黑客入侵的工具也愈发多样化。
在网络钓鱼电子邮件中已有这样的案例,黑客通过模仿人类的说话习惯和内容,使得企业或个人被入侵时更加难以识别。与此同时,自动驾驶等人工智能的应用安全风险的可能来自车辆系统自身出现错误导致系统故障或崩溃,或者是网络恶意袭击和恐怖主义事件。
艾媒咨询数据显示,2016年全球IT市场45980.0亿美元,其中,安全市场增长至7356.8亿美元,占16.0%。随着企业对信息安全的重视加强,预计将在2017年达到9104.0亿美元。而根据ABIResearch,中国网络安全市场当前的规模为49亿美元,预计到2017年将翻一番至98亿美元。
按产品维度划分,安全市场可分为安全硬件、安全软件和安全服务三大领域。数据显示,我国安全产品(硬件与软件)产业规模占比70.6%,安全服务产业规模占比29.4%,艾媒咨询分析师认为,网络攻击随着移动支付、互联网金融的发展更加严重,网络安全市场发展速度将进一步加快,市场体量有望扩大,安全产品市场规模仍大于安全服务市场规模。此外,目前手机安全的行业价值尚未被完全发掘,在信息安全被重新重点关注及政策倾斜的情况下,市场价值潜力有望得到释放。
网络安全在目前的产业环境下,对传统互联网,以及新生代大数据、云、人工智能、物联网公司都有着重要影响。一方面,各大公司之间的数据存在着碎片化的问题导致信息链路阻塞,我们需要开放数据自由度;另一方面,数据系统的安全问题直接影响企业运作和商业模式,我们需要建立相关框架来规避大数据乱象。如何在打通数据链路的同时保证网络安全,是国内,乃至全球数据生态的主要命题。对此,政策导向、行业共识就显得尤为重要,基于网络安全准则的,面向中小型企业数字化转型的,专业化的数据平台兹待建立。
内容转载于“智东西”
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们