備注：文章來源于中國經濟時報，已獲權轉載

?

?

聚焦網絡安全

編者按:目前，利用公民個人信息進行網絡詐騙的犯罪仍然猖獗，在個人信息保護、數據交易服務、數據評估等方面存在的問題也很普遍，亟須整頓治理。數據安全治理是數字時代全球面臨的共同問題。網絡空間已成為繼陸、海、空、天之后的第五大主權領域空間，必然筑牢網絡安全防線。數字時代已來臨，數據安全問題更加凸顯。

?

勒索軟件在不斷進化，每次進化后變得更加智能，所造成的代價也更加昂貴。在美國，輸油管道因勒索軟件攻擊關閉，能源業(yè)面臨網絡安全威脅。黑客不僅僅針對政府和企業(yè)，最近有網絡安全公司發(fā)布警告：一種名為雙重勒索（extortionware）的網上勒索方式正在崛起，黑客通過獲取私人的敏感信息，迫使受害者支付贖金。

2018年4月20日至21日，習近平主席在全國網絡安全和信息化工作會議上表示，沒有網絡安全就沒有國家安全，就沒有經濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。數字時代已來臨，數據安全問題凸顯。接受中國經濟時報記者采訪的人士表示，網絡空間已成為繼陸、海、空、天之后的第五大主權領域空間，必然筑牢網絡安全防線。

數字經濟重大挑戰(zhàn)是安全問題

據騰訊安全最新報告顯示，僅2021年一季度，就發(fā)生了多起國際知名企業(yè)被勒索的案件，贖金持續(xù)刷新紀錄。多數勒索病毒具有變種多、針對性強、感染量上升快等特點。數據價值較高的行業(yè)、醫(yī)療、政府機構受攻擊較為嚴重。

公安部網絡安全保衛(wèi)局原局長顧建國近日在中國數據安全治理高峰論壇上表示，目前，利用公民個人信息進行網絡詐騙的犯罪仍然猖獗，在個人信息保護、數據交易服務、數據評估等方面存在的問題也很普遍，亟須整頓治理。數據安全治理是數字時代全球面臨的共同問題。

“數字經濟發(fā)展，安全是前提?！敝袊こ淘涸菏可虿閷τ浾弑硎荆F在正在進行數字化轉型、網絡化重構、智能化提升、產業(yè)化升級，在數字化條件下，網絡安全已從網絡空間擴展到物理空間，要從系統(tǒng)工程角度來解決數據安全問題，構建網絡安全主動免疫保障系統(tǒng)。網絡空間已成為繼陸、海、空、天之后的第五大主權領域空間?！秶揖W絡空間安全戰(zhàn)略》提出的任務是：“夯實網絡安全基礎”“盡快在核心技術上取得突破，加快安全可信的產品推廣應用”。

沈昌祥表示，安全的源頭是圖靈機原理，必須創(chuàng)新一種新的計算模式，在計算的同時進行安全防護。要構建安全體系，結構要變，保證在工作的同時不被攻擊者破壞和利用。在可信安全管理中心支持下構建主動免疫三重防護框架：計算環(huán)境安全可信、可信邊界、可信網絡通信。人是第一要素，必須有安全可信的動態(tài)訪問控制，這是中國的首創(chuàng)。與此同時，環(huán)節(jié)要全程管控，要定級、建設、定期檢查、實時應對。實現“六不”防護效果：攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工程癱不成、攻擊行為賴不掉。

“勒索病毒不是以破壞為目的，而是以獲益為目的，這標志著全球數字財富已經顯現出來，以掠奪數字財富為目的的網絡攻擊會形成新的勢頭，全球在數字安全和治理方面面臨新的挑戰(zhàn)?！敝袊Ｃ軈f會副會長紀清陽表示。

華為輪值董事長徐直軍5月17日在華為生態(tài)大會上表示，2019年，中國數字經濟GDP占比是36%。數字經濟在成為增長引擎的同時，擁有巨大的發(fā)展空間。

數據安全治理應有中國方案


數據安全治理是數字時代全球面臨的共同問題，治理任務繁重復雜。顧建國表示，在中國這樣一個網絡大國、數據大國，數據安全治理應結合國情，有中國方案，建議從五個方面發(fā)力。

第一，必須加強法治建設。法治建設是數據安全治理的頂層設計和根本保障，從《網絡安全法》《民法典》，到即將頒布的《數據安全法》《個人信息保護法》，法治建設取得了長足進展。中國網絡安全和數據安全法律制度體系將進一步完善。除了立法，還要提高人們學法、懂法、守法和執(zhí)法的水平，這是數據安全治理的重要前提和保證，必須持續(xù)推進。

第二，抓好合規(guī)達標。技術標準是技術性的法規(guī)，抓好技術標準的實行對促進和提高數據安全能力水平很重要。網絡安全等級保護的實踐充分說明了抓合規(guī)達標就是抓住了推進信息安全、數據安全的“牛鼻子”。

第三，必須加快自主創(chuàng)新。技術是數據安全治理的核心要素和驅動力量，要充分利用各種先進技術手段和工具來保護數據安全。目前在數據安全技術方面存在短板和差距，比如差分隱私保護、多方計算、同態(tài)加密等，需要加快自主創(chuàng)新步伐，力爭在關鍵核心領域取得突破。

第四，必須落實主體責任。責任制是中國網絡安全管理工作和數據安全治理的特色，也是開展工作的著力點。廣大互聯網企業(yè)、大數據應用管理部門和單位的主體責任意識、自律意識不斷增強，安全措施也不斷深化，需要不斷總結提高，把責任落到實處，并且做到一以貫之。

第五，必須強化安全監(jiān)管。這是數據安全治理的重要保證。數據安全治理是新課題，需要綜合利用法律、行政、技術、管理等多種手段加強監(jiān)管。

業(yè)內人士表示，在萬物互聯的時代，網絡攻擊從數字空間延伸到物理空間，繼而對網絡安全提出了嚴峻挑戰(zhàn)，必須筑牢網絡安全防線。


良好數據產業(yè)生態(tài)是數據安全治理必由之路

互聯網對人類的貢獻是互聯共享開放，但近年來在網絡安全和數據安全方面發(fā)生的標志性事件，讓人們逐漸意識到，隨著全球數字財富的顯現，數據安全和治理能力亟待提高。

2021年政府工作報告中，有14次提到有關網絡安全的內容。接受中國經濟時報記者采訪的人士表示，網絡安全已成為構成整個經濟社會正常發(fā)展必需的社會組成內容，建立一套良好的數據產業(yè)生態(tài)，是當前把數據安全治理落到實處的必由之路。

數據治理的目的是推動經濟發(fā)展


工信部網絡安全產業(yè)發(fā)展中心副主任李新社近日在中國數據安全治理高峰論壇上表示，數據治理的目的是發(fā)展產業(yè)、推動經濟發(fā)展。到了今天，任何一個企業(yè)、機構、政府都有數據，這么多數據該歸誰？事實上，數據資產形成時，跟過去傳統(tǒng)的有形貨幣資產不一樣。數字、數據作為資產以后面臨著新課題。

李新社認為，數據安全問題歸根結底是法律問題、管理問題，是全球所有國家在數據治理過程中要面對的問題。安全治理進入了新發(fā)展階段，國家已有了數據分級分類，數據安全風險和評估以及數據共享、監(jiān)測管理機制方面正在探索，數據處理的安全機制正在建立。所有人都面臨新問題，在過去線下的劫持變成了線上的數據劫持，勒索病毒把數據鎖死，是當前在信息化社會下重要的點。美國的停電，表面上看是對一個公司的數據劫持，再往大了看，是對社會的劫持，往后看是對國家的劫持。因此，需要建立一套良好的數據產業(yè)生態(tài)，是把數據安全治理落到實處的必由之路。

國家工業(yè)信息安全發(fā)展研究中心保障技術所研究總監(jiān)楊帥鋒對記者表示，從數據安全的國家層面看，《網絡安全法》提出要做好數據保護，加強重要數據重點保護?！洞龠M大數據發(fā)展行動綱要》中提出要做好大數據安全保障體系，強化數據安全支撐。《數據安全法》從2020年6月發(fā)布了草案，強調要開展數據分類分級工作，制定重要數據的目錄清單，對重要數據進行重點保護。今年4月發(fā)布《數據安全法》二審稿，加快了法律發(fā)布的進程。


工業(yè)互聯網領域數據安全形勢嚴峻


全球數據安全事件層出不窮。針對工業(yè)互聯網領域的數據安全形勢比較嚴峻，從能源行業(yè)、交通行業(yè)，包括智能工廠，近年來都有安全事件發(fā)生。楊帥鋒稱，勒索攻擊近年來猖獗，對工業(yè)數據的勒索攻擊成為重大威脅。據《2020數據泄露調查報告》統(tǒng)計，全球數據泄露事件多達3950起，同比增長96%，制造業(yè)在受影響行業(yè)中排名第三，前兩名是醫(yī)療行業(yè)和金融保險業(yè)。制造業(yè)領域的數據安全問題已成為重大的安全隱患。


楊帥鋒表示，當前，數據資產分類分級識別難。首先要分清楚識別的對象是哪些，是什么類型的數據，是什么級別的數據。工業(yè)互聯網數據種類多樣，結構化、半結構化、非結構化數據都存在，也涉及到研發(fā)數據、生產數據、管理數據、多個域的數據。區(qū)別于傳統(tǒng)的互聯網流量解析，工控流量的深度解析存在挑戰(zhàn)。而且，重要數據的識別捕捉難。


打造全生命周期數據安全防護體系建設


據了解，國家工業(yè)信息安全發(fā)展研究中心已在省級運營商或工業(yè)企業(yè)、平臺企業(yè)，監(jiān)測發(fā)現到一些數據泄露、數據跨境、數據流量異常、數據違規(guī)傳輸、數據惡意訪問等一系列安全事件。

如何做好針對性的防護？楊帥鋒表示，工業(yè)互聯網數據安全防護總體思路及防護框架思路包括以下四個方面。第一個思路是技管結合，管理層面和技術層面都要做好數據防護。管理層面做好組織機構、人員、設備的安全管理。在技術防護層面做好分類分級防護。同時做好圍繞以數據為中心的全生命周期的數據安全防護體系建設。

第二個思路是動靜相宜，數據的保護要關注靜態(tài)數據保護、存儲態(tài)數據保護。相比于傳統(tǒng)的網絡安全或其他的設備安全層面來說，更多的可能是關注靜態(tài)保護，但對于數據來說，現在數據的采集、共享、遷移、跨境，更要關注數據的動態(tài)防護。

第三個思路是分類施策，把工業(yè)互聯網數據初步劃分為研發(fā)設計數據、生產制造數據、經營管理數據、應用服務數據。對于研發(fā)設計數據，保密性更為突出。對于生產數據來說，實時性、穩(wěn)定性要求更強，要在保障生產運行實時穩(wěn)定的前提下做好安全防護工作。經營管理數據，交換共享的安全需求更大。

第四個思路是分級定措，要根據不同級別的數據，從全生命周期提出逐級增強的安全防護的要求。按照工信部發(fā)的工業(yè)數據分類分級指南，將數據分為一級、二級、三級三個級別，三級數據的安全防護需求更高。采集階段要做好采集協商、采集安全空間、采集的數據源鑒別以及源數據的安全檢測和質量評估。在傳輸階段做好傳輸加密、傳輸安全協議，包括傳輸的安全監(jiān)測。在存儲階段，關注存儲的介質安全、存儲的環(huán)境安全，存儲的加密、災備、分類分級、訪問控制等措施。處理階段要做好數據的導入導出、數據加工的分析安全及處理分析的模型、算法的安全。在交換共享和公開披露階段，做好交換共享規(guī)則，做好數據溯源數據脫敏工作。在歸檔與銷毀階段，做好歸檔處置、數據介質銷毀和數據本身內容的銷毀等。


萬物互聯時代 要聯合應對網絡威脅

?

隨著勒索病毒的出現，攻擊渠道日益多變，越來越多的企業(yè)開始重視網絡安全的保障和建設。


騰訊研究院特約研究員何亞波對中國經濟時報記者表示，網絡安全是一種保護計算機網絡通信免受入侵者攻擊的技術，目標是保持網絡服務持續(xù)穩(wěn)定可用。數據安全指保障數據的收集、使用、存儲、傳輸、轉移以及銷毀等全生命周期的安全與數據操作合法合規(guī)。隨著科技飛速發(fā)展以及疫情流行，個人、企業(yè)和政府對線上化和云化的需求越來越迫切，時至今日，聯網（網絡化）已然成為基本的要求，即數據皆網絡中的數據。從這個層面看，網絡安全是重要前提，數據安全是根本目標。

何亞波認為，隨著AI、云計算、大數據、5G等新技術的發(fā)展，網絡聯接已然全球化。在即將到來的萬物互聯的物聯網世界，一旦發(fā)生威脅網絡安全的事件，如新的攻擊手段、新的安全威脅場景等，其影響范圍之廣、危急程度之深，可能無法想象。網絡安全已不再是單個企業(yè)、單個地區(qū)的問題，是整體性問題，需要全局思考。全國各省市地區(qū)和企業(yè)需要聯合起來，提前研究與部署，建立跨區(qū)域安全標準，共同應對潛在網絡威脅。

何亞波稱，數據作為數字化時代的關鍵生產要素，也是新基建的“石油”。數據安全是數字經濟發(fā)展的重要保證，在借鑒歐盟GDPR的基礎上，2020年我國發(fā)布《中華人民共和國數據安全法（草案）》和《中華人民共和國個人信息保護法（草案）》并征求意見。至此，中國的網絡信息與數據安全的基礎性法律架構初見雛形。但業(yè)界關于數據所有權的問題至今仍未達成共識。數字經濟的隱含前提是數據具有財產屬性，清晰的產權歸屬是交易的基礎，數字經濟想要高速平穩(wěn)發(fā)展，有效解決數據所有權問題是發(fā)展的重中之重。

《2020年中國網絡安全產品用戶調查報告》顯示，對網絡安全的投資較高的是互聯網/電子商務企業(yè)，其余依次為金融業(yè)、計算機軟件企業(yè)、網絡游戲企業(yè)?！?021年中國網絡安全產品用戶調查報告》發(fā)布的網絡安全百強榜上，排名前列的分別是奇安信、三六零、華為、阿里、騰訊、深信服、綠盟、微軟、安恒、金山、天融信、聯軟科技、亞信、百度、山石、聯想、思科等。

安華金和聯合創(chuàng)始人楊海峰對本報記者表示，過去兩年行業(yè)在做幾件事：數據分類分級規(guī)范的制定、數據生命周期安全規(guī)范的制定。當前數據安全防護有技術、缺體系，重產品、輕運營；監(jiān)管有目標、缺手段；管理有規(guī)范、難落實，需要應對這些挑戰(zhàn)。從管理體系、技術體系和運營體系三方面可以讓數據安全治理落地。數據安全管理團隊負責設計數字安全管理體系。數據安全運營團隊來建設數據安全技術體系。從數據使用的角度分析風險是什么，以及對應的解決方案。

楊海峰表示，數據安全治理體系建設的第一階段是從企業(yè)角度做數據安全管理體系和數據安全治理體系的建設。第二階段是數據安全運營體系的建設，通過策略管理和風險監(jiān)督能力以及運營管控平臺的建設，最終形成數據安全運營的常態(tài)化，這里有數據安全的咨詢服務和數據安全運營服務存在。

聯軟科技CEO祝青柳對本報記者表示，所有網絡安全問題都是在網絡空間中發(fā)生的，包括整個系統(tǒng)的安全、數據的安全。信息化的目的是提高效率，數據在分層分級的過程中要防止過度保護，所以要做好底線的風險把控，在安全和效率之間做到平衡。網絡安全是一個快速發(fā)展的行業(yè)，中國的技術能力提高了，在應用技術方面和30年前有很大的不同，應該繼續(xù)鼓勵創(chuàng)新。

華為輪值董事長徐直軍表示，未來發(fā)展關鍵是共同抓住數字時代的機會，中國企業(yè)數字化雖然有一定基礎，但距離成熟還很遠。清華大學調研顯示，39%的企業(yè)數字化戰(zhàn)略規(guī)劃模糊，48%的企業(yè)未明確組織架構調整，75%的企業(yè)尚未運用人工智能等。華為將升級六大數字技術生態(tài)，鯤鵬計算生態(tài)和昇騰AI生態(tài)是兩個基礎生態(tài)，數字基礎設施涉及的各種智能終端，網絡、云服務都會用到。圍繞智能終端的生態(tài)有兩個，分別是鴻蒙操作系統(tǒng)生態(tài)和HMS生態(tài)。面向自動駕駛汽車的MDC生態(tài)，也可以看做是一類特別的智能終端。再就是華為云生態(tài)。

?

?

?

?

?

?

?

?