66
機器人
人工智能,是正是邪
6月1日,《中國人民共和國網絡安全法》正式實施,這是我國第一部關於網絡安全工作的基本大法,對網絡運營者以及關鍵信息基礎設施的運營者提出了規範要求。
時值大數據爆發期,人工智能和物聯網等新興技術成為明日之星,《網絡安全法》會對互聯網創業者造成什麼樣的影響?如何應對其可能帶來的數據孤島問題?如何加強物聯網工業的安全防護?如何在實施初期/緩衝期即時調整業務框架,明確責任歸屬?如何抓住網絡安全產業機遇?
以下為智能內參整理呈現的幹貨:
隨著互聯網應用的深化,網上交易頻繁,電子銀行、第三方支付、互聯網理財等產品的發展為人們帶來便利的同時也帶來了隱患,技術的發展使傳統密碼防護性能下降,個人、企業,甚至國家的信息安全受到威脅。2017上半年互聯網安全事件頻發,網絡安全形勢嚴峻。
數據顯示,2017年上半年,中國境內被篡改的網站數量在3500至6500個之間,被植入後門網站數量在3000至5500個之間,被篡改和被植入後門網站主要為商業類網站。
為此,美國戰略與國際問題研究中心(CSIS)的網絡政策專責小組發布了《從認知到行動——第45任美國總統安全議程》,為特朗普政府提供未來5年網絡安全戰略建議。國內方麵,自6月1日《網絡安全法》正式實施以來國家網信辦、工信部、公安部、新聞出版廣電總局、最高人民法院、最高人民檢察院陸續推出了34項相關配套新政。
*CSIS網絡安全戰略建議要點示意
* 《網絡安全法》分章節核心要點與解讀(援引信達證券)
正如安永事務所指出的,《網絡安全法》定義的網絡運營者幾乎涵蓋了所有企業,也不僅僅局限於IT部門,而是需要從管理層往下推動,各業務部門充分配合。企業應該利用好目前的“緩衝期”,提早作出應對,回顧自身各項業務以及IT環境是否滿足法律規定,識別差距,針對未能滿足法律要求的細節,尤其是業務環節,製定應對方案,比如業務優化、修改合同與協議條款、向執法部門報備等風險降低方案或者是風險接受方案。
數據生態建設初期:不破不立
*大數據產業地圖(援引BIME Analytics)
數據是未來的貨幣。數字經濟時代,數據成為企業的核心競爭力,也成為政府監管的依托。網絡安全實質上是在數據的發展與安全之下尋求平衡。
盡管中國的科技巨頭能夠通過其專有平台獲得海量數據,但在創建一個標準統一、跨平台分享的數據友好型生態係統方麵,以及立法基礎和行政監管經驗方麵,中國仍落後於美國。第140期智能內參指出,中國可以通過建立並落實數據規範、向私營領域開放公共數據、鼓勵跨國數據交流來構建一個更為完善的數據生態係統。
*各國對網絡空間和信息安全的關注度顯著上升(援引信達證券)
規範,在短期內的某些層麵上,意味著限製。先是6月初,阿裏巴巴的菜鳥網絡與順豐快遞之間出現數據斷接;再是8月,華為與騰訊的用戶隱私數據爭奪戰,以及各大內容平台的糾葛等等。數據/信息的所有權歸屬問題擴大了數字鴻溝,進一步形成了數據孤島,整個數據交易市場卻迅速顯現休克狀態,資本市場對大數據企業的熱情有所冷卻。
數據孤島,可以直接導致各個獨立的部門之間,特別是執行端和決策段之間斷接。簡單說就是數據間缺乏關聯性,數據庫彼此無法兼容。不同於IBM、穀歌、蘋果等巨頭,大多數中小型企業的獲取數據的主要途徑是各類數據采集平台。
但這種短時間內的不適應性又是通往更完善、更合理的數據生態建設的必經之路。
因此,對於特定行業數據,政府可要求現有的監管機構製定必要規則;提高公共數據/事件的透明度 ,並帶頭建設行業數據庫,充分利用雲技術為中小型企業提供數據平台,為數據鴻溝提供隧穿通道,以應對數字化/智能化轉型需求;對於涉及到個人隱私的數據,進行脫敏處理,或者參考蘋果的差分隱私技術(在數據若幹片段加入數學噪音,讓個人身份無法識別)來進行數據安全保護。
麵向物聯網的安全對策
麥肯錫認為,2025年,物聯網的經濟影響價值將達到每年3.9萬億美元至11.1萬億美元;其中,工業物聯網的經濟價值每年最高可達3.7萬億美元。工業物聯網的爆發,原因包括快速變化的現代商業環境,不斷提高的數據的可用性和越來越多的傳感器的使用。
*物聯網安全事件舉例
在互聯互通的世界,從保護數據到保護係統性能,企業麵臨的信息安全壓力越來越大。這種壓力既來自企業內部的係統運行安全,又來自可能的泄密風險。如果被入侵者攻擊,企業不僅麵臨操作係統無法正常使用和大量隱私信息如核心工藝參數被竊取的風險,甚至關鍵基礎設施的工業設備遭到入侵者控製或破壞,造成巨大的經濟損失和人員傷亡。
*物聯網行業高管對於數據安全的警惕度調研
將數十億的電子設備相連,除了構建統一的物聯網標準與係統框架,形成一個良好的商業運作模式至關重要。對此,麥肯錫對於物聯網行業的CEO們提出了以下六點建議:
1、理解物聯網安全對於自身行業特性及商業模式的重要性。
不僅僅是一個簡單的IT管理補丁問題,還要注意物聯網安全問題造成的客戶滿意度、支付意願等連鎖效應。更加有效的物聯網安全解決方案(包括主要弱點預測、預防、檢測、反應的行動鏈等)可能提供更少的停機時間,特別是對能源企業(物聯網安全重災區)、自動化的設備製造商而言。
2、明確供應鏈中的物聯網安全責任機製。
*物聯網安全需要特定於層的和跨層解決方案
也就是上遊和下遊的業務合作方之間的戰略對話,建立薄弱環節的安全分析模型,從合作方的能力和盈利模式考慮明確相關責任機製。如設備和半導體製造商負責軟硬件底層安全性、網絡設備製造商負責傳輸層、應用程序設計人員複雜的客戶信息層……
3、對話相關機構,尋求戰略合作。
監管機構必然會接入(工業)物聯網,從設計、研發到生產、銷售等各個環節,企業之間需要建立共識,與同行之間尋求互利的資源共享,遵循社會發展原則,定下物聯網安全準則的基調。
4、將網絡安全融入產品生命周期,並列為優先之一。
工業物聯網的價值來源不僅限於產品和設備的管理,而是延伸到產品和客戶生命周期管理。延長產品生命周期和客戶的生命周期的關鍵在於,工業企業需要尋找將產品的一次性交易轉化為持續收入來源的方法。產品安全的基礎是產品開發階段“設計中的安全” 。
5、改變管理思維和部門技能固化。
由於對業務的認知與法律法規的解讀有一定局限,IT部門難以識別具體業務開展過程中是否違反規定。網絡安全需要全員工安全意識的提高,為了達到這個目的,一些公司已經開始獎勵那些識別安全漏洞的員工。開發這些新跨行業的跨界技能,公司應可以考慮與業內其他公司、大學或者培訓機構合作。
6、為外部安全研究人員創建一個點接觸係統。
也就是為自家可能的安全檢測、預防和修複找到解決和負責的對接方,也就是提供一定的業務透明度。公司需要針對不同的攻擊場景製定相應的應對計劃。在物聯網世界,網絡安全事件可能會影響到作為一家公司運營的核心,因此需要計劃業務連續性管理和災難恢複。
亦正亦邪的人工智能
人工智能可以成為網絡安全的維護手段,能夠利用已有的黑白名單技術識別可能的網絡威脅,甚至進一步監督其運行過程,判斷正邪。
亞信網絡安全產業技術研究院副院長童寧指出:監督學習適用於惡意程序、勒索病毒以及垃圾郵件的防治;反欺詐、態勢感知、用戶行為分析等則更適合無監督學習。機器學習技術的優勢是它的多維識別能力,然而機器學習技術再強大也需要與其他手段綜合起來利用,效果才更好。
好吧,事實上,安全人員可以使用人工智能技術阻擋黑客攻擊,反過來,黑客也可以使用人工智能技術發起更複雜的攻擊。隨著大量人工智能模型開源,黑客入侵的工具也愈發多樣化。
在網絡釣魚電子郵件中已有這樣的案例,黑客通過模仿人類的說話習慣和內容,使得企業或個人被入侵時更加難以識別。與此同時,自動駕駛等人工智能的應用安全風險的可能來自車輛係統自身出現錯誤導致係統故障或崩潰,或者是網絡惡意襲擊和恐怖主義事件。
機遇:千億美元的安全市場
艾媒谘詢數據顯示,2016年全球IT市場45980.0億美元,其中,安全市場增長至7356.8億美元,占16.0%。隨著企業對信息安全的重視加強,預計將在2017年達到9104.0億美元。而根據ABIResearch,中國網絡安全市場當前的規模為49億美元,預計到2017年將翻一番至98億美元。
按產品維度劃分,安全市場可分為安全硬件、安全軟件和安全服務三大領域。數據顯示,我國安全產品(硬件與軟件)產業規模占比70.6%,安全服務產業規模占比29.4%,艾媒谘詢分析師認為,網絡攻擊隨著移動支付、互聯網金融的發展更加嚴重,網絡安全市場發展速度將進一步加快,市場體量有望擴大,安全產品市場規模仍大於安全服務市場規模。此外,目前手機安全的行業價值尚未被完全發掘,在信息安全被重新重點關注及政策傾斜的情況下,市場價值潛力有望得到釋放。
最後更新:2017-10-08 00:41:47