移动安全行动计划签约仪式(从左到右:百度安全、VIVO、北京大学、中国信息通信研究院的相关负责人)。资料照片
伴随着人工智能的发展,以及移动智能设备的不断普及,各类漏洞风险与日俱增,随之而来的安全事件不断爆发,为移动互联网安全管理敲响了警钟。
在7月10日举行的“2018中国人工智能移动安全高峰论坛”上,工信部等相关部门负责人表示,保障人工智能安全是一项复杂的系统工程,需要多管齐下,筑牢人工智能的安全防线。当日,备受关注的“移动安全行动计划”则趁势启动,移动安全联盟携手终端厂商、互联网企业、安全厂商和科研院所,为共同加强对安全漏洞的管理迈出关键一步。
核心技术是安全最大的命门
人工智能技术对智能终端行业的赋能,提升了终端全行业链的附加值,更促进了移动终端行业的发展。
对此,工信部网络安全管理局副局长杨宇燕表示,在积极推动人工智能技术与产业发展的同时,工信部高度重视安全问题。一方面,制定出台规划并稳步推进落地实施。2017年底,工信部在国家《新一代人工智能发展规划》基础上,出台了《促进新一代人工智能产业发展三年行动计划(2018-2020)》,提出构建人工智能网络安全保障体系的目标,开展人工智能重点产品的安全技术攻关,推动人工智能在网络安全领域深度应用。另一方面,推动安全评估,促进行业健康发展。指导中国信息通信研究院成立的互联网新技术新业务安全评估中心,加强对人工智能等新兴领域网络产品和应用开展安全评估,同时组织编制《人工智能安全白皮书》,指导行业充分认识人工智能安全风险,强化应对措施,促进人工智能安全可控发展。
“保障人工智能安全是一项复杂的系统工程,目前还存在安全意识不足、制度落实不到位、技术手段不健全等问题。我们要高度重视人工智能对网络应用和服务带来的安全问题和挑战,结合人工智能发展的特点,多管齐下,筑牢人工智能的安全防线。”杨宇燕说,为此提出四点建议。
第一,突破核心技术。核心技术是安全最大的命门,我们要加强技术攻关,提高人工智能产业安全可控水平。要紧跟最新发展趋势,促进我国人工智能先进技术和颠覆性技术的发展。
第二,要加强标准制定。建立并完善基础共性、互联互通、安全隐私、行业应用等技术标准体系,强化基于标准开展安全检测。同时,企业也要积极参与国际人工智能安全标准的制定工作,将我们的标准推向国际。
第三,建立网络安全威胁信息共享机制。工信部去年印发了《公共互联网网络安全威胁监测与处置办法》,今年即将出台网络安全漏洞管理规定,并推动建设网络安全威胁信息共享平台,与相关企业、机构共享网络安全威胁信息,实现网络安全威胁共享、共治。希望大家按照相关要求,加强安全漏洞管理,共享风险库、案例集等资源,加快安全态势感知、威胁信息共享等系统建设,提升网络安全威胁处置水平。
第四,加强应急处置和评测体系建设。落实工信部《公共互联网网络安全应急预案》,健全人工智能等领域网络安全应急管理机制,建设应急处置系统,提升安全事件应对能力。同时,相关测评机构、实验室要进一步完善人工智能产品安全评估评测体系,提升人工智能产品和服务安全保障水平。
搭建移动互联安全合作平台
据电信终端产业协会理事长、移动安全联盟理事长、原中国信息通信研究院副院长谢毅介绍,作为一个科研单位或者一个智库,信通院承担着国家和工信部很多重要科研任务,秉持国家高端专业智库、产业创新发展平台的定位,对整个产业的发展做好支撑。
据悉,信通院主要是在移动领域,4G、5G、工业互联网、智能制造、移动互联网、物联网等众多领域,都给予了支撑。同时也包括一些新的领域,如大数据、云计算、人工智能,信通院都有相关的机构和科研人员从事这方面的工作。
谢毅称,移动安全联盟主要由移动设备厂商、互联网厂商、安全厂商、安全检测机构、科研机构等组成。目前,联盟会员单位共有47家,其中副理事长单位4家,理事单位12家,普通会员27家,观察员3家。新增IoT、AI、芯片等公司。
移动安全联盟立足于搭建移动互联网安全的合作与促进平台,聚集信息通信界的中坚力量及相关机构,旨在促进相关主体之间的交流和深度合作,提供公平对话的平台、纽带。同时,为聚集产业生态各方力量,移动安全联盟联合开展移动安全技术、标准和产业研究,共同探索移动安全的新模式和新机制。
“网络安全虽然热点很多,但是真正从技术发展来讲,其实未来最有前途的,一个是大数据,再一个就是人工智能。”谢毅说,移动安全联盟主要在四个方面发挥作用:一是政策支撑,二是技术标准,三是测试与评估,四是应急响应机制。
移动安全行动计划正式启动
根据《中华人民共和国网络安全法》规定,网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
据移动安全联盟秘书长杨正军介绍,2018年4月份泰尔终端实验室选取了600款智能终端,针对300个典型漏洞进行评测,得出如下结论:平均每个终端包含36个漏洞,最多包含158个,中位数16个,漏洞平均存在274天。
“随着终端系统代码量的增加,漏洞数量和攻击面也随之增加,使得智能终端操作系统漏洞修补越来越需要被重视。为此,人工智能结合物联网安全措施部署应整体考虑,由产业链各环节携手协作推动,形成安全闭环,杜绝安全短板。”杨正军说。
为配合网络安全法的落地实施,加强和规范移动互联网安全漏洞信息发布与处置工作,保障网络与信息安全,促进行业健康发展,移动安全联盟及时关注漏洞问题,制定“移动安全行动计划”,促进行业自律。移动安全行动计划有几大亮点:
其一,智能设备漏洞合作计划。移动安全联盟推动移动智能设备产业链各方各司其职,协同完成移动智能设备漏洞的修复工作,制定《移动安全联盟漏洞处置合作计划》,会同移动智能设备产业各方,综合考虑漏洞的危害程度、影响范围、修复难度、可利用情况等多方面因素,制定移动智能设备漏洞处置列表,为移动智能设备产业链各方修复产品漏洞提供便利。
其二,建立安全事件、漏洞应急响应机制。移动安全联盟联合产业链各方建立移动智能设备漏洞快速响应机制。联盟负责收集移动智能设备漏洞相关的安全事件,并上报监管部门。对于影响较大的安全事件,协调技术检测机构及时发布检测工具,推动操作系统供应商和设备厂商进行漏洞修补工作,同时及时向用户发布安全公告,提醒用户及时更新系统,注意防范。
其三,签署移动漏洞自律公约。移动安全联盟倡议国内外相关厂商、检测机构共同签署《移动安全联盟漏洞信息披露和处置自律公约》,遵照“趋利避害、有效管理、积极引导”的基本方针,进一步规范国内外相关厂商、检测机构在漏洞信息发布和处置方面的行为,从维护国家、行业和用户利益的高度出发,积极加强自律,共同营造良好的网络安全环境。
(张汉青)
领取专属 10元无门槛券
私享最新 技术干货