这是李雨航对于目前数据安全局势的判断,李雨航认为,企业在传统安全领域有较大的自主权,而在云安全模式下则把数据和应用等交由云服务商托管,同时网络安全的责任也由企业承担转为企业和服务商共同承担。
这就面临全新的变化和产业思考。李雨航是联合国数字安全联盟理事长兼首席科学家、云安全联盟(CSA)大中华区主席兼研究院院长、中国科学院云计算中心首席科学家(安全)兼Fellow研究员、受聘西安交通大学高级Fellow/客座教授、北京大学名誉教授、南京邮电大学兼职教授、华盛顿大学博导等学术职务。
同时,他是中国多家部委智库高端专家,荣获国际网络安全领袖奖、联合国全球科技创新进步奖、中国大数据科技传播奖。历任IBM全球服务首席技术架构师、微软全球首席安全架构师兼中国CISO、华为集团首席网络安全专家兼国际CSO,担任技术与管理领导职务二十余年,是云安全、零信任与IAM领域全球先行者,咨询指导联合国、中国、美国、欧盟、东盟、上合等多国国家与企业网络安全与身份安全战略的制定,引领全球数字经济、产业互联网、新兴技术的安全战略发展方向。
针对数据权属问题,李雨航表示这是目前业界的普遍难题,没有形成明确的法律定义,因此数据权属处于一个模糊的阶段。只有做好数据的分级分类,才能进一步探讨数据的权属问题。
谈及企业信息安全问题,李雨航告诉《新基建访谈》,在企业预算有限支出的情况下,最大化的把安全的质量做到一定程度,这是合规的本质。CSO(首席安全官)应该有很大的话语权,甚至有一票否决权,这样才能保障安全合规在企业中占有比较重要的地位。企业需要深刻解读法律,把法律落到自身的服务中才能更好地保障企业信息安全。
在网络安全与国家安全的关系方面,他坦言,网络空间是现在大家共识的“第五域”,实际上也有很大的安全问题,这就需要国家在网络空间中掌握主权,用法律去掌控和约束。如果一个国家不重视、不投入网络空间安全,它就会影响国家安全。
李雨航还指出网络安全框架应该在联合国指导下进行,因为这是一个国际性问题,需要建立国际规则和标准,然后各个国家再来遵守制定本国、本行业的框架,这是一个理想状态。
李雨航:CSA云安全联盟是一个独立、中立、权威的国际产业组织,云安全联盟大中华区是云安全联盟的四大区之一。英文叫做CSA GCR,于2016年在香港注册,它的地域范围包括中国大陆、香港、澳门、台湾,还有中北亚的部分国家。最近在国家政府支持下,我们成为第一家也是唯一的一家在中国正式落地、受到政府正式认可的网络安全类NGO非政府组织。
CSA大中华区在中国的办事处位于上海市,在世界人工智能大会上,我们举行了揭牌仪式,揭牌仪式之后,意味着云安全联盟大中华区在国内可以作为独立法人来运营中国的网络安全各项业务。
问:您认为云安全和传统安全之间最大的不同是什么呢?另外,未来还会有哪些新兴技术可能影响信息安全产业?
李雨航:云计算是一种新兴技术,是一种颠覆性的技术。虽然云计算本身不是新发明,但其整个商业模式与传统技术有很大不同。众所周知的是,企业在传统安全领域有较大的自主权,掌管企业网内部数据,其自身的掌控力度较大。而云计算是一种租用模式,企业在云计算中心把数据和应用等交由云服务商托管,模式的不同导致安全保障手段也不同。因此,云安全联盟最早期梳理了一个“安全责任共担”模型,在云计算环境下,传统安全的责任由企业自身承担转变为责任共担。有一部分,特别是靠近底层的,需要云服务商来承担;但上层的,特别是偏应用、偏数据这个层面上则需要云用户企业来负担。
不过,随着产业发展,云计算引起了很多安全威胁,这些威胁对于传统的安全来讲又是新的威胁,举个例子,大量的数据进到云里面可能会造成数据泄漏,这是一个很大的威胁,云安全联盟梳理过云计算中存在着11大威胁。其他的新兴技术也类似,比如物联网、边缘计算、大数据、人工智能、区块链、5G等,都带来特有的威胁和挑战。
自云安全联盟做了云计算安全领域指南和标准之后,对所有的新兴技术,现统称为“数字技术”,都在帮助产业界寻找其特有的防护方法。
问:在新能源汽车领域,智能汽车与普通的数据来源相比是指数级的,一旦受到攻击是很严重的问题,您是如何看待的?
李雨航:智能汽车也属于新兴技术,因为智能汽车可能运用到很多物联网的技术,汽车联网后就是一个大号的物联网设备,也运用了很多人工智能的算法。不管是普通的联网汽车还是无人驾驶汽车,不管是L2、L3、L4,都用了大量的人工智能技术,这些安全问题都是新兴技术带来的。从数据的角度看,人工智能依靠海量数据进行辅助驾驶及其智能化为司机或乘客带来价值,也带来风险。
数据安全在联网汽车里的确是重中之重,数据众多,联网汽车的运行基于云中的很多数据。实际上,无论是在车联网亦是在云端,数据如何被保护是一个问题。再有就是这些数据到底去哪里了,联网汽车的很多汽车制造商是中国的公司,也有可能是跨国公司,这些汽车可能被销往国外,或者是国际的车厂也来中国制造汽车。因此,车联网需要考虑这些数据在跨境的时候有没有问题,是否符合法律。不解决数据的安全性,整个车联网就没有牢固的基础。
问:您提到一辆车在中国生产,其中有一部分销往国内,有一部分销往欧洲,那这个数据归属哪方?在欧洲买的车主属于欧洲、车厂,还是生产商?
李雨航:这个问题在业界叫做数据的权属问题,对数据的权属确认就是确权,是业界的一个难题,这个难题在于它还没有准确答案。权属问题无论从政府层面、专业层面、还是产业界,都处于探讨阶段。这里边的定义实际上还需要一段时间最终形成法律,只有数据权属的法律定义明确之后,才能判断数据到底属于谁。
那么在法律出来之前,权属问题是一个模糊的阶段,不同的国家可能有不同的看法。在海外更多偏向于用户的权益,比如司机对数据的权益比较大。在我国,我认为可能政府有较大的权益,特别像车联网牵扯不同类型的数据,比如道路的数据、环境的数据。再拿国土来讲,国土属于国家,这个国土转化成数据孪生,转化的这些数据都应该属于国家拥有。当然也有收集到的司机、乘客的数据等,这也牵扯到某些用户有很大的权益,所以数据的分级分类非常重要,只有把分级分类做好,才能够进一步探讨数据权属问题。
因此数据归属哪方目前没有一个准确答案,但业界已经看到了这个问题,像云安全联盟也在组织专家对这个问题进行研究。我想可能在不远的将来,我们会通过法律、标准和规范,把这个答案找到。
问:您认为企业信息安全合规的本质是什么?其次,CSO在企业安全合规工作中应该拥有怎样的权利?应该承担怎样的义务?
李雨航:安全合规可以平衡安全风险的管理控制,它能够在企业预算有限支出的情况下,最大化的把安全的质量做到一定程度,这是合规的本质。
再有,CISO或CSO的作用非常大,它代表一家组织来实施、执行安全的战略,战略里最重要的是保障合规。CSO需要的层级比较高,我发现很多中国企业CSO的层级不太高,一般在研发CTO的领导下或者是在CIO的领导下,实际它没有什么权威性。这个合规最终可能会与业务造成一定冲突,有时候你要满足安全合规,可能业务你又达不到目标,你这个业务要不要被特批,要不要上线推出,如果在合规方面有一两项或者几项缺失就能上线,这是需要企业决策者和CSO一起来评估的,我认为CSO是应该有很大的话语权,甚至能够有一票否决权,这样才能保障安全合规在企业中占有比较重要的地位。
问:随着近年国家法治不断完善,以及受国际形势的影响,出海企业在数据安全还有隐私保护方面的合规压力越来越大,您对这些企业在安全合规层面有什么建议吗?
李雨航:合规是以法律法规为来源,引导出来企业需要做什么工作。你看法律层面,6月我们国家刚出台了《数据安全法》,要将其落实到企业的行为和产品服务中,还有一段路要走。举个例子,比如欧洲出台《GDPR》(《通用数据保护条例》)的时候,欧洲大批企业遭到了同样的问题,如何把GDPR转化为自己可执行、可落地的具体方法?这时,云安全联盟制定了《GDPR行动准则》,相当于承上启下,把GDPR这个法律转化为对企业落地的指导、行为的指南、对具体落地的排查,实际上是一套工具,能够有效的帮助法律落地。
云安全联盟大中华区发布了中文版的《GDPR行动准则》。针对中国的《数据安全法》、《个人信息保护法》等法律,我们将发布适合中国的《行动准则》,帮助中国的企业更好的落实法律。
李雨航:海、陆、空、天,这是物理世界的四域,网络空间是现在大家共识的“第五域”。在物理空间中,安全问题自古以来就存在,陆地上经历了很多战争,后来有海战,再后来有空战,而太空也有太空部队。物理世界的安全是一个由军队保障的国防问题。网络空间作为第五域也有很大的安全问题,这就需要国家拥有网络空间的主权,用自己的法律去掌控和约束。
李雨航:在传统网络安全的时代和数字技术安全的早期,整个网络安全产业界没有什么章法,充斥着单点解决方案。我对网络安全产业界做的比喻是古代的冷兵器时代,打仗的时候没有章法,士兵冲上前一窝蜂的厮杀。而现在,新方法要业界共同探讨。我提到过一个“网络协同作战”的新方法,是组成一个网络安全的产业方阵,借助古代的马其顿方阵,由四个不同的兵种组成,每个兵种各司其职、巧妙配合、互相协作,最终能非常有效的提升战斗力,继而打败敌人。