作者 | 張倩茹來源 | 零壹智庫
“必須強調的是,安全科技並不是一個純商業範圍的議題,而是清晰的具備公共品的特徵。”
隨着科技的進步,數字化已成爲越來越清晰的現實。不僅僅互聯網,幾乎所有的行業都在擁抱數字化浪潮,隨之而來的安全風險也呈現愈演愈烈之勢。
據Flashpoint發布的數據顯示,僅2022年,全球發生的數據泄露事件就高達4518件,數據量更是達到226.2億條。
“數字化安全風險已經進入到快迭代、高智能、全覆蓋的新階段。”中國社會科學院大學數字中國研究院聯合螞蟻集團等對外發布的《數字時代安全科技價值報告》(以下簡稱“《報告》”)中指出,2023年AI大模型橫空出世,大大推進了深度智能時代的到來,它對安全局面的影響可能是顛覆性的。當下,我們正站在安全風險的質變時刻。
在這個全新階段,安全科技的重要性不言而喻,對安全科技的關注與投入已刻不容緩。安全科技作爲“壓艙石”和“助燃劑”,一方面要守住技術的安全底线,另一方面要讓新技術規模化落地,推動產業煥發新機。
《報告》認爲,安全科技將會是未來的通用技術之一,應該以公共品的定位來判斷安全科技的價值,推動其發展,而政企合作是安全科技成爲公共品的核心驅動力。
01
質變時刻
“2008年以來,中國數字經濟發展指數呈現出爆發式增長態勢。”零壹智庫在《中國數字經濟發展指數報告(2023)》中指出,2008-2022年,中國數字經濟發展指數從100上升至572.26,年復合增長率達13.27%,遠高於同期9.48%的經濟發展增速。
另據中國信通院的數據,2022年我國數字經濟規模首次突破50萬億元大關,達到50.2萬億元,佔GDP比重提升至41.5%。
伴隨着數字經濟的快速發展,新一代信息化數字技術與傳統行業快速融合,帶來了更加隱蔽、復雜的數字安全風險,數據泄漏、勒索軟件、黑客攻擊等事件層出不窮。
人工智能技術大爆發之後,“算法安全”“虛假信息”“數據歧視”等問題持續突出,數字安全風險面臨着日趨嚴峻的挑战。
2023年下半年,國際身份軟件巨頭Okta業務系統遭到黑客攻擊,導致客戶敏感數據泄露;此外,《蜘蛛俠2》开發商Insomniac Games聲稱遭受攻擊,大量內部信息被泄露。
除了企業之外,政府機構也面臨各類數字風險。2023年9月,美國國家安全委員會被報道泄露了其成員的近萬封電子郵件和密碼,暴露了包括美國國家航空航天局和特斯拉等在內的2000家機構和公司。
生成式AI的出現導致新聞更加容易以假亂真。世界經濟論壇在《2024年全球風險報告》中發出警告:在未來兩年的風險展望中,由於信息錯誤與虛假信息所帶來的影響的嚴重程度,超過經濟衰退等其他九項風險,位列十大風險的第一位。
在這樣的背景下,安全科技的發展有了“緊迫性”和“必要性”,“剛需”特質顯現。
從定義來講,安全科技包含系統安全、網絡安全、數據安全、業務安全、AI安全等範疇,它是一系列旨在保護信息、網絡和計算機系統免受未經授權的訪問、攻擊和威脅的工具、技術和系統,其市場涵蓋了硬件、軟件和服務。
圖1:安全科技全景圖
圖片來源:社科院團隊《數字時代安全科技價值報告》
事實上,在相當長一段時間裏,網絡安全即安全科技。《報告》指出,隨着數字化的深入,越來越多的細分領域湧現出來,使得傳統的“網絡安全”概念難以覆蓋,而安全科技這個詞在這樣一個轉型期中被提出,用以關涉多個領域的技術和理念。
從時間上劃分,安全科技的發展可以大致分成三個階段:
1、本地保護階段(20世紀70年代至2000年代初期):這一時期的安全科技主要基於密碼學和防火牆技術,其保護的對象是網絡相關的基礎設施。
2、網絡保護階段(2000年代中期至2010年代中期):此時以入侵檢測、反病毒和漏洞掃描等技術爲代表的網絡安全是主流。
3、智能保護階段(2010年代中期至今):安全科技开始向智能化、自適應、自愈合等方向發展,並從技術擴展到管理,從靜態擴展到動態,通過各種安全技術和安全管理措施的綜合融合,構建深度的主動的防御體系。
“本質上,安全科技是一種伴生技術。它永遠在面向新科技,面向新發展。”浙江工業大學網絡空間安全研究院院長宣琦接受報告調研時表示,不管是哪個新技術在推進過程中形成了新的安全問題,比如面向人工智能,就會提出智能安全,面向生物科技,就會提出生物安全。新技術的發展有時候非常快速,所以安全技術的發展和創新也同樣在高速變動。
這樣的變動體現到市場發展方面,同樣是“高速”的。據IDC發布的報告,2021年全球網絡安全IT(互聯網技術)總投資規模爲1689億美元,並有望在2026年增至2876億美元,5年復合增速爲11.3%。
聚焦到中國市場,5年復合增速約達21.2%,接近全球平均復合增速的兩倍。具體數據顯示,2026年中國網絡安全IT支出規模將達到318.6億美元,全球佔比約爲11.1%。
除了市場規模增長優勢,我國在安全領域的技術優勢也較爲明顯。
根據全球權威知識產權機構IPRdaily發布的《安全科技專利分析報告》顯示,中國和美國共計擁有全球77%的安全科技專利。
截至2023年4月,中國是全球安全科技發明專利的最主要布局國家,共擁有專利申請數20445件,爲第二名美國的2.23倍。
其中,科技型骨幹企業成爲安全科技專利的主力軍,螞蟻集團、華爲、騰訊集團、國家電網、中興、中國工商銀行、中國移動位居全球安全科技專利申請前十名。螞蟻集團憑借其在交易安全、隱私安全領域優勢,以3806項專利數,位列全球榜首。
圖2:全球安全科技專利TOP 10申請主體
圖片來源:IPRdaily於2023年7月發布的《安全科技專利分析報告》
02
新型公共品
就像現代人類離不开水電氣一樣,安全科技也是數字經濟時代不可或缺的基礎設施。隨着人工智能、量子計算等新技術的發展和應用,新型風險與安全科技的攻防也將無所不在。
“必須強調的是,安全科技並不是一個純商業範圍的議題,而是清晰的具備公共品的特徵。”
安全科技的價值,體現在兩個方面。一是守住技術的安全底线,防御可能存在的風險隱患,即當好“壓艙石”;二是提高技術的安全上限,降低技術運行的成本,讓新技術得以規模化落地,即做好“助燃劑”。
圖3:安全科技的雙重價值
圖片來源:社科院團隊《數字時代安全科技價值報告》
《報告》指出,從產品運作層面來看,防病毒軟件、入侵防御系統等商業安全系統是私有產品,但威脅情報、漏洞信息共享、隱私計算、基礎設施保護等技術和平台,都具有明顯的公共品屬性。
雖然長期以來,安全科技屬於商業和技術界的話題,個人和社會在其中缺乏足夠的表達。但安全科技的完整內涵不只是對攻擊者的防御體系,還包括保護平等發展、社會團結與個人尊嚴的技術與服務。
《報告》認爲安全科技成爲公共品的推動力來自四個方面:合規激勵、商業保險、標准建設、安全思維。
合規激勵。當前,大多數企業往往更傾向於把資源投入到IT研發而不是安全保障上。在大部分企業自身沒有直接動力來投入安全時,需要政府通過合規者的角度來推動相關的保障投入。
商業保險。商業領域的創新是落實合規的重要助手。網絡安全保險能有效幫助建立數字安全事件評估及賠償標准,這一細分賽道前景廣闊。
數據顯示,2019年,全球網絡安全保險保費達到73.6億美元,同比增長71%。根據安聯保險集團預測,到2025年,網絡安全保險市場規模將達到200億美元。
圖4:全球網絡安全保險保費增長情況(單位:億美元)
數據來源:央行南京分行科技處課題組《網絡安全保險發展的實踐與建議》,安聯保險,零壹智庫制圖
標准建設,同樣是一個生態合作的範疇,借助政府、頭部機構與企業的帶頭作用,爲全社會的安全技術建設提供標准。
安全思維,是指以人爲本的安全設計、運維與建設並重的安全構建。數據顯示,95%的網絡安全漏洞是由人爲錯誤造成的。以人爲本的安全設計要求在整個安全風險的控制管理流程中,優先考慮參與者的體驗,而不僅僅是技術考慮。
運維與建設並重的安全構建,針對的是當前我國在安全方面的一個普遍傾向,即企業和政府部門構建信息化系統時,普遍存在“重建設輕運營”現象。因此,我們的安全構建思維,要從傳統的硬件模式,轉向更偏重軟件的服務模式。
03
新形勢
“過去說到AI應用,都是比較‘虛’的;但現在AI在各個行業的應用,變成了一個非常現實的情形。”
香港科技大學副校長汪揚表示,大語言模型是人類的財富,它在一些垂直領域的應用發展,或許會顛覆整個數字經濟,而且會產生嶄新的模式,帶領我們進入經濟發展的下一段路程。
而在這一段路程上,除了機遇,還充滿了風險。
有新技術的地方,就有新的安全風險。2023年年底,杭州上城區網警破獲一起重大勒索病毒案件,犯罪團夥成員均有網絡安防相關資質,且有供職大型網絡科技公司經歷,他們在實施犯罪過程中借助ChatGPT進行程序優化,犯罪手段相當“與時俱進”。
ChatGPT爆火了一年多,在帶動大模型和人工智能賽道起飛的同時,也讓全球業界更加擔心日益凸顯的AI安全風險。
《報告》將AI安全風險分爲三類:第一是內生安全,像“數據偏見”“觀點霸權”“決策黑盒化”等問題屬於這一類。
針對“決策黑盒化”,螞蟻集團副總裁、首席技術安全官韋韜表示,深黑盒化,也就是AI大模型分析決策出現不確定性和不可知性,這帶來了三大新挑战:第一層是認知一致性對齊;第二層是決策如何白盒化;第三層是如何讓交流協同演進。
第二是衍生安全問題,即人工智能系統失誤可能引發一些重大安全事故。如生成虛假新聞、深度合成僞造進行詐騙與釣魚攻擊,侵犯他人肖像權、隱私權,涉及人身安全、隱私保護、軍事與國家安全、倫理道德和法律規範等一系列與社會治理有關的挑战性問題。
第三是外生安全問題,也就是面向人工智能系統的外部網絡攻擊對抗。一方面,數字化、網絡化程度越高,可被攻擊的部位、結點就越多;對數字技術的依賴程度越高,網絡破壞造成的後果就越嚴重。另一方面,黑灰產攻擊模式也隨着業務創新、新科技引入,逐漸呈現專業化、多樣化、智能化、產業化的特點。
圖5:人工智能安全的三大類別
圖片來源:社科院團隊《數字時代安全科技價值報告》
“技術是把雙刃劍”,安全科技就是打造足夠安全的“刀鞘”。過去幾年,微軟、谷歌、螞蟻集團、騰訊等不少科技公司紛紛投入可信AI的研究和應用。像螞蟻集團自2015年起研發可信AI技術,已解決了風控場景中的諸多難題。
螞蟻集團安全實驗室首席科學家、可信AI負責人王維強曾表示,大模型安全既要“快”也要“慢”。在安全防御方面要“快”,要能快速檢測、查殺病毒,確保服務無毒害;在安全可信方面要“慢”,要能長遠地、體系化地保證整個系統環境的可控、可信。
大模型風險的一個可能路徑存在於預訓練的大規模數據中,如果數據本身“有毒”,帶有在偏見和歧視,或有虛假信息等質量問題,那么大模型輸出的內容就存在安全問題。
另一個渠道是行業領域微調的過程中涉及到的一些標注,也可能有誘導錯誤的人類對齊、錯誤價值導向的惡意標注,不可靠的低質量標注和缺少多樣性的固化標注,這類標注都會帶來安全風險。
在實踐應用中,針對大模型的安全風險,業界已有“大模型質檢”類安全產品推出。2023年9月,螞蟻集團宣布推出一項名爲“蟻天鑑”的全新大模型安全一體化解決方案。這一解決方案包含兩個關鍵產品:大模型安全檢測平台“蟻鑑2.0”和大模型風險防御平台“天鑑”,爲大規模AI模型的安全保障帶來了全新的突破。
圖6:螞蟻大模型安全實踐
圖片來源:社科院團隊《數字時代安全科技價值報告》,螞蟻“蟻天鑑”大模型安全方案
再比如,螞蟻數科安全科技品牌“蟻盾(ZOLOZ)”與中鐵建設物資公司共建了產業風控平台,依托蟻盾提供的合規、安全的數據管道,可以一站式查詢企業資質、經營信息、司法訴訟、關聯風險、新聞輿情等多維度數據,也可以了解細分行業的發展趨勢。
2023年,除了火爆的人工智能之外,我國數據要素市場建設也在加速,從基礎制度體系的建設,到交易市場的活躍,全方位推進。目前,我國正處於數據產業發展的關鍵時期。
2024年1月1日,《企業數據資源相關會計處理暫行規定》正式施行。數據資產入表政策落地,意味着數據要素產業化大時代的开啓。
1月4日,《“數據要素×”三年行動計劃(2024—2026年)》正式發布,從徵求意見到正式發布,用時不到一個月,進展神速。其中提出,到2026年底,數據產業年均增速超過20%,場內交易與場外交易協調發展,數據交易規模倍增。
數字化背後這汪名爲“數據”的巨大海洋,正在前所未有的翻滾,產生巨大的動能和勢能。據國家發改委專家初步測算,全國企業數據要素支出規模約爲3.3萬億元,如果考慮數據資產評估、質押、融資等衍生市場,整體規模可能超過30萬億元。
而數據要素市場的有效運轉,離不开數據安全合規這一基礎,安全科技的需求將在數據要素產業全面發展的過程中迎來爆發。
從趨勢上來講,伴隨着IT架構的演進,安全科技走向了無邊界,逐漸超越傳統安全的新一代技術集群,未來將呈現智能化、零化、彈性化、匿名化、量子化的發展趨勢。安全科技將作爲方向盤,始終將各種新興科技控制在向善的道路上。
原文標題 : 社科大萬字調研深度解讀:安全科技爲何是新型公共產品?
標題:社科大萬字調研深度解讀:安全科技爲何是新型公共產品?
地址:https://www.utechfun.com/post/320738.html