備注：文章來(lái)源于中國經(jīng)濟時(shí)報，已獲權轉載

?

?

聚焦網(wǎng)絡(luò )安全

編者按:目前，利用公民個(gè)人信息進(jìn)行網(wǎng)絡(luò )詐騙的犯罪仍然猖獗，在個(gè)人信息保護、數據交易服務(wù)、數據評估等方面存在的問(wèn)題也很普遍，亟須整頓治理。數據安全治理是數字時(shí)代全球面臨的共同問(wèn)題。網(wǎng)絡(luò )空間已成為繼陸、海、空、天之后的第五大主權領(lǐng)域空間，必然筑牢網(wǎng)絡(luò )安全防線(xiàn)。數字時(shí)代已來(lái)臨，數據安全問(wèn)題更加凸顯。

?

勒索軟件在不斷進(jìn)化，每次進(jìn)化后變得更加智能，所造成的代價(jià)也更加昂貴。在美國，輸油管道因勒索軟件攻擊關(guān)閉，能源業(yè)面臨網(wǎng)絡(luò )安全威脅。黑客不僅僅針對政府和企業(yè)，最近有網(wǎng)絡(luò )安全公司發(fā)布警告：一種名為雙重勒索（extortionware）的網(wǎng)上勒索方式正在崛起，黑客通過(guò)獲取私人的敏感信息，迫使受害者支付贖金。

2018年4月20日至21日，習近平主席在全國網(wǎng)絡(luò )安全和信息化工作會(huì )議上表示，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，就沒(méi)有經(jīng)濟社會(huì )穩定運行，廣大人民群眾利益也難以得到保障。數字時(shí)代已來(lái)臨，數據安全問(wèn)題凸顯。接受中國經(jīng)濟時(shí)報記者采訪(fǎng)的人士表示，網(wǎng)絡(luò )空間已成為繼陸、海、空、天之后的第五大主權領(lǐng)域空間，必然筑牢網(wǎng)絡(luò )安全防線(xiàn)。

數字經(jīng)濟重大挑戰是安全問(wèn)題

據騰訊安全最新報告顯示，僅2021年一季度，就發(fā)生了多起國際知名企業(yè)被勒索的案件，贖金持續刷新紀錄。多數勒索病毒具有變種多、針對性強、感染量上升快等特點(diǎn)。數據價(jià)值較高的行業(yè)、醫療、政府機構受攻擊較為嚴重。

公安部網(wǎng)絡(luò )安全保衛局原局長(cháng)顧建國近日在中國數據安全治理高峰論壇上表示，目前，利用公民個(gè)人信息進(jìn)行網(wǎng)絡(luò )詐騙的犯罪仍然猖獗，在個(gè)人信息保護、數據交易服務(wù)、數據評估等方面存在的問(wèn)題也很普遍，亟須整頓治理。數據安全治理是數字時(shí)代全球面臨的共同問(wèn)題。

“數字經(jīng)濟發(fā)展，安全是前提?！敝袊こ淘涸菏可虿閷τ浾弑硎?，現在正在進(jìn)行數字化轉型、網(wǎng)絡(luò )化重構、智能化提升、產(chǎn)業(yè)化升級，在數字化條件下，網(wǎng)絡(luò )安全已從網(wǎng)絡(luò )空間擴展到物理空間，要從系統工程角度來(lái)解決數據安全問(wèn)題，構建網(wǎng)絡(luò )安全主動(dòng)免疫保障系統。網(wǎng)絡(luò )空間已成為繼陸、海、空、天之后的第五大主權領(lǐng)域空間?！秶揖W(wǎng)絡(luò )空間安全戰略》提出的任務(wù)是：“夯實(shí)網(wǎng)絡(luò )安全基礎”“盡快在核心技術(shù)上取得突破，加快安全可信的產(chǎn)品推廣應用”。

沈昌祥表示，安全的源頭是圖靈機原理，必須創(chuàng )新一種新的計算模式，在計算的同時(shí)進(jìn)行安全防護。要構建安全體系，結構要變，保證在工作的同時(shí)不被攻擊者破壞和利用。在可信安全管理中心支持下構建主動(dòng)免疫三重防護框架：計算環(huán)境安全可信、可信邊界、可信網(wǎng)絡(luò )通信。人是第一要素，必須有安全可信的動(dòng)態(tài)訪(fǎng)問(wèn)控制，這是中國的首創(chuàng )。與此同時(shí)，環(huán)節要全程管控，要定級、建設、定期檢查、實(shí)時(shí)應對。實(shí)現“六不”防護效果：攻擊者進(jìn)不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工程癱不成、攻擊行為賴(lài)不掉。

“勒索病毒不是以破壞為目的，而是以獲益為目的，這標志著(zhù)全球數字財富已經(jīng)顯現出來(lái)，以掠奪數字財富為目的的網(wǎng)絡(luò )攻擊會(huì )形成新的勢頭，全球在數字安全和治理方面面臨新的挑戰?！敝袊Ｃ軈f(xié)會(huì )副會(huì )長(cháng)紀清陽(yáng)表示。

華為輪值董事長(cháng)徐直軍5月17日在華為生態(tài)大會(huì )上表示，2019年，中國數字經(jīng)濟GDP占比是36%。數字經(jīng)濟在成為增長(cháng)引擎的同時(shí)，擁有巨大的發(fā)展空間。

數據安全治理應有中國方案


數據安全治理是數字時(shí)代全球面臨的共同問(wèn)題，治理任務(wù)繁重復雜。顧建國表示，在中國這樣一個(gè)網(wǎng)絡(luò )大國、數據大國，數據安全治理應結合國情，有中國方案，建議從五個(gè)方面發(fā)力。

第一，必須加強法治建設。法治建設是數據安全治理的頂層設計和根本保障，從《網(wǎng)絡(luò )安全法》《民法典》，到即將頒布的《數據安全法》《個(gè)人信息保護法》，法治建設取得了長(cháng)足進(jìn)展。中國網(wǎng)絡(luò )安全和數據安全法律制度體系將進(jìn)一步完善。除了立法，還要提高人們學(xué)法、懂法、守法和執法的水平，這是數據安全治理的重要前提和保證，必須持續推進(jìn)。

第二，抓好合規達標。技術(shù)標準是技術(shù)性的法規，抓好技術(shù)標準的實(shí)行對促進(jìn)和提高數據安全能力水平很重要。網(wǎng)絡(luò )安全等級保護的實(shí)踐充分說(shuō)明了抓合規達標就是抓住了推進(jìn)信息安全、數據安全的“牛鼻子”。

第三，必須加快自主創(chuàng )新。技術(shù)是數據安全治理的核心要素和驅動(dòng)力量，要充分利用各種先進(jìn)技術(shù)手段和工具來(lái)保護數據安全。目前在數據安全技術(shù)方面存在短板和差距，比如差分隱私保護、多方計算、同態(tài)加密等，需要加快自主創(chuàng )新步伐，力爭在關(guān)鍵核心領(lǐng)域取得突破。

第四，必須落實(shí)主體責任。責任制是中國網(wǎng)絡(luò )安全管理工作和數據安全治理的特色，也是開(kāi)展工作的著(zhù)力點(diǎn)。廣大互聯(lián)網(wǎng)企業(yè)、大數據應用管理部門(mén)和單位的主體責任意識、自律意識不斷增強，安全措施也不斷深化，需要不斷總結提高，把責任落到實(shí)處，并且做到一以貫之。

第五，必須強化安全監管。這是數據安全治理的重要保證。數據安全治理是新課題，需要綜合利用法律、行政、技術(shù)、管理等多種手段加強監管。

業(yè)內人士表示，在萬(wàn)物互聯(lián)的時(shí)代，網(wǎng)絡(luò )攻擊從數字空間延伸到物理空間，繼而對網(wǎng)絡(luò )安全提出了嚴峻挑戰，必須筑牢網(wǎng)絡(luò )安全防線(xiàn)。


良好數據產(chǎn)業(yè)生態(tài)是數據安全治理必由之路

互聯(lián)網(wǎng)對人類(lèi)的貢獻是互聯(lián)共享開(kāi)放，但近年來(lái)在網(wǎng)絡(luò )安全和數據安全方面發(fā)生的標志性事件，讓人們逐漸意識到，隨著(zhù)全球數字財富的顯現，數據安全和治理能力亟待提高。

2021年政府工作報告中，有14次提到有關(guān)網(wǎng)絡(luò )安全的內容。接受中國經(jīng)濟時(shí)報記者采訪(fǎng)的人士表示，網(wǎng)絡(luò )安全已成為構成整個(gè)經(jīng)濟社會(huì )正常發(fā)展必需的社會(huì )組成內容，建立一套良好的數據產(chǎn)業(yè)生態(tài)，是當前把數據安全治理落到實(shí)處的必由之路。

數據治理的目的是推動(dòng)經(jīng)濟發(fā)展


工信部網(wǎng)絡(luò )安全產(chǎn)業(yè)發(fā)展中心副主任李新社近日在中國數據安全治理高峰論壇上表示，數據治理的目的是發(fā)展產(chǎn)業(yè)、推動(dòng)經(jīng)濟發(fā)展。到了今天，任何一個(gè)企業(yè)、機構、政府都有數據，這么多數據該歸誰(shuí)？事實(shí)上，數據資產(chǎn)形成時(shí)，跟過(guò)去傳統的有形貨幣資產(chǎn)不一樣。數字、數據作為資產(chǎn)以后面臨著(zhù)新課題。

李新社認為，數據安全問(wèn)題歸根結底是法律問(wèn)題、管理問(wèn)題，是全球所有國家在數據治理過(guò)程中要面對的問(wèn)題。安全治理進(jìn)入了新發(fā)展階段，國家已有了數據分級分類(lèi)，數據安全風(fēng)險和評估以及數據共享、監測管理機制方面正在探索，數據處理的安全機制正在建立。所有人都面臨新問(wèn)題，在過(guò)去線(xiàn)下的劫持變成了線(xiàn)上的數據劫持，勒索病毒把數據鎖死，是當前在信息化社會(huì )下重要的點(diǎn)。美國的停電，表面上看是對一個(gè)公司的數據劫持，再往大了看，是對社會(huì )的劫持，往后看是對國家的劫持。因此，需要建立一套良好的數據產(chǎn)業(yè)生態(tài)，是把數據安全治理落到實(shí)處的必由之路。

國家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所研究總監楊帥鋒對記者表示，從數據安全的國家層面看，《網(wǎng)絡(luò )安全法》提出要做好數據保護，加強重要數據重點(diǎn)保護?！洞龠M(jìn)大數據發(fā)展行動(dòng)綱要》中提出要做好大數據安全保障體系，強化數據安全支撐?！稊祿踩ā窂?020年6月發(fā)布了草案，強調要開(kāi)展數據分類(lèi)分級工作，制定重要數據的目錄清單，對重要數據進(jìn)行重點(diǎn)保護。今年4月發(fā)布《數據安全法》二審稿，加快了法律發(fā)布的進(jìn)程。


工業(yè)互聯(lián)網(wǎng)領(lǐng)域數據安全形勢嚴峻


全球數據安全事件層出不窮。針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的數據安全形勢比較嚴峻，從能源行業(yè)、交通行業(yè)，包括智能工廠(chǎng)，近年來(lái)都有安全事件發(fā)生。楊帥鋒稱(chēng)，勒索攻擊近年來(lái)猖獗，對工業(yè)數據的勒索攻擊成為重大威脅。據《2020數據泄露調查報告》統計，全球數據泄露事件多達3950起，同比增長(cháng)96%，制造業(yè)在受影響行業(yè)中排名第三，前兩名是醫療行業(yè)和金融保險業(yè)。制造業(yè)領(lǐng)域的數據安全問(wèn)題已成為重大的安全隱患。


楊帥鋒表示，當前，數據資產(chǎn)分類(lèi)分級識別難。首先要分清楚識別的對象是哪些，是什么類(lèi)型的數據，是什么級別的數據。工業(yè)互聯(lián)網(wǎng)數據種類(lèi)多樣，結構化、半結構化、非結構化數據都存在，也涉及到研發(fā)數據、生產(chǎn)數據、管理數據、多個(gè)域的數據。區別于傳統的互聯(lián)網(wǎng)流量解析，工控流量的深度解析存在挑戰。而且，重要數據的識別捕捉難。


打造全生命周期數據安全防護體系建設


據了解，國家工業(yè)信息安全發(fā)展研究中心已在省級運營(yíng)商或工業(yè)企業(yè)、平臺企業(yè)，監測發(fā)現到一些數據泄露、數據跨境、數據流量異常、數據違規傳輸、數據惡意訪(fǎng)問(wèn)等一系列安全事件。

如何做好針對性的防護？楊帥鋒表示，工業(yè)互聯(lián)網(wǎng)數據安全防護總體思路及防護框架思路包括以下四個(gè)方面。第一個(gè)思路是技管結合，管理層面和技術(shù)層面都要做好數據防護。管理層面做好組織機構、人員、設備的安全管理。在技術(shù)防護層面做好分類(lèi)分級防護。同時(shí)做好圍繞以數據為中心的全生命周期的數據安全防護體系建設。

第二個(gè)思路是動(dòng)靜相宜，數據的保護要關(guān)注靜態(tài)數據保護、存儲態(tài)數據保護。相比于傳統的網(wǎng)絡(luò )安全或其他的設備安全層面來(lái)說(shuō)，更多的可能是關(guān)注靜態(tài)保護，但對于數據來(lái)說(shuō)，現在數據的采集、共享、遷移、跨境，更要關(guān)注數據的動(dòng)態(tài)防護。

第三個(gè)思路是分類(lèi)施策，把工業(yè)互聯(lián)網(wǎng)數據初步劃分為研發(fā)設計數據、生產(chǎn)制造數據、經(jīng)營(yíng)管理數據、應用服務(wù)數據。對于研發(fā)設計數據，保密性更為突出。對于生產(chǎn)數據來(lái)說(shuō)，實(shí)時(shí)性、穩定性要求更強，要在保障生產(chǎn)運行實(shí)時(shí)穩定的前提下做好安全防護工作。經(jīng)營(yíng)管理數據，交換共享的安全需求更大。

第四個(gè)思路是分級定措，要根據不同級別的數據，從全生命周期提出逐級增強的安全防護的要求。按照工信部發(fā)的工業(yè)數據分類(lèi)分級指南，將數據分為一級、二級、三級三個(gè)級別，三級數據的安全防護需求更高。采集階段要做好采集協(xié)商、采集安全空間、采集的數據源鑒別以及源數據的安全檢測和質(zhì)量評估。在傳輸階段做好傳輸加密、傳輸安全協(xié)議，包括傳輸的安全監測。在存儲階段，關(guān)注存儲的介質(zhì)安全、存儲的環(huán)境安全，存儲的加密、災備、分類(lèi)分級、訪(fǎng)問(wèn)控制等措施。處理階段要做好數據的導入導出、數據加工的分析安全及處理分析的模型、算法的安全。在交換共享和公開(kāi)披露階段，做好交換共享規則，做好數據溯源數據脫敏工作。在歸檔與銷(xiāo)毀階段，做好歸檔處置、數據介質(zhì)銷(xiāo)毀和數據本身內容的銷(xiāo)毀等。


萬(wàn)物互聯(lián)時(shí)代 要聯(lián)合應對網(wǎng)絡(luò )威脅

?

隨著(zhù)勒索病毒的出現，攻擊渠道日益多變，越來(lái)越多的企業(yè)開(kāi)始重視網(wǎng)絡(luò )安全的保障和建設。


騰訊研究院特約研究員何亞波對中國經(jīng)濟時(shí)報記者表示，網(wǎng)絡(luò )安全是一種保護計算機網(wǎng)絡(luò )通信免受入侵者攻擊的技術(shù)，目標是保持網(wǎng)絡(luò )服務(wù)持續穩定可用。數據安全指保障數據的收集、使用、存儲、傳輸、轉移以及銷(xiāo)毀等全生命周期的安全與數據操作合法合規。隨著(zhù)科技飛速發(fā)展以及疫情流行，個(gè)人、企業(yè)和政府對線(xiàn)上化和云化的需求越來(lái)越迫切，時(shí)至今日，聯(lián)網(wǎng)（網(wǎng)絡(luò )化）已然成為基本的要求，即數據皆網(wǎng)絡(luò )中的數據。從這個(gè)層面看，網(wǎng)絡(luò )安全是重要前提，數據安全是根本目標。

何亞波認為，隨著(zhù)AI、云計算、大數據、5G等新技術(shù)的發(fā)展，網(wǎng)絡(luò )聯(lián)接已然全球化。在即將到來(lái)的萬(wàn)物互聯(lián)的物聯(lián)網(wǎng)世界，一旦發(fā)生威脅網(wǎng)絡(luò )安全的事件，如新的攻擊手段、新的安全威脅場(chǎng)景等，其影響范圍之廣、危急程度之深，可能無(wú)法想象。網(wǎng)絡(luò )安全已不再是單個(gè)企業(yè)、單個(gè)地區的問(wèn)題，是整體性問(wèn)題，需要全局思考。全國各省市地區和企業(yè)需要聯(lián)合起來(lái)，提前研究與部署，建立跨區域安全標準，共同應對潛在網(wǎng)絡(luò )威脅。

何亞波稱(chēng)，數據作為數字化時(shí)代的關(guān)鍵生產(chǎn)要素，也是新基建的“石油”。數據安全是數字經(jīng)濟發(fā)展的重要保證，在借鑒歐盟GDPR的基礎上，2020年我國發(fā)布《中華人民共和國數據安全法（草案）》和《中華人民共和國個(gè)人信息保護法（草案）》并征求意見(jiàn)。至此，中國的網(wǎng)絡(luò )信息與數據安全的基礎性法律架構初見(jiàn)雛形。但業(yè)界關(guān)于數據所有權的問(wèn)題至今仍未達成共識。數字經(jīng)濟的隱含前提是數據具有財產(chǎn)屬性，清晰的產(chǎn)權歸屬是交易的基礎，數字經(jīng)濟想要高速平穩發(fā)展，有效解決數據所有權問(wèn)題是發(fā)展的重中之重。

《2020年中國網(wǎng)絡(luò )安全產(chǎn)品用戶(hù)調查報告》顯示，對網(wǎng)絡(luò )安全的投資較高的是互聯(lián)網(wǎng)/電子商務(wù)企業(yè)，其余依次為金融業(yè)、計算機軟件企業(yè)、網(wǎng)絡(luò )游戲企業(yè)?！?021年中國網(wǎng)絡(luò )安全產(chǎn)品用戶(hù)調查報告》發(fā)布的網(wǎng)絡(luò )安全百強榜上，排名前列的分別是奇安信、三六零、華為、阿里、騰訊、深信服、綠盟、微軟、安恒、金山、天融信、聯(lián)軟科技、亞信、百度、山石、聯(lián)想、思科等。

安華金和聯(lián)合創(chuàng )始人楊海峰對本報記者表示，過(guò)去兩年行業(yè)在做幾件事：數據分類(lèi)分級規范的制定、數據生命周期安全規范的制定。當前數據安全防護有技術(shù)、缺體系，重產(chǎn)品、輕運營(yíng)；監管有目標、缺手段；管理有規范、難落實(shí)，需要應對這些挑戰。從管理體系、技術(shù)體系和運營(yíng)體系三方面可以讓數據安全治理落地。數據安全管理團隊負責設計數字安全管理體系。數據安全運營(yíng)團隊來(lái)建設數據安全技術(shù)體系。從數據使用的角度分析風(fēng)險是什么，以及對應的解決方案。

楊海峰表示，數據安全治理體系建設的第一階段是從企業(yè)角度做數據安全管理體系和數據安全治理體系的建設。第二階段是數據安全運營(yíng)體系的建設，通過(guò)策略管理和風(fēng)險監督能力以及運營(yíng)管控平臺的建設，最終形成數據安全運營(yíng)的常態(tài)化，這里有數據安全的咨詢(xún)服務(wù)和數據安全運營(yíng)服務(wù)存在。

聯(lián)軟科技CEO祝青柳對本報記者表示，所有網(wǎng)絡(luò )安全問(wèn)題都是在網(wǎng)絡(luò )空間中發(fā)生的，包括整個(gè)系統的安全、數據的安全。信息化的目的是提高效率，數據在分層分級的過(guò)程中要防止過(guò)度保護，所以要做好底線(xiàn)的風(fēng)險把控，在安全和效率之間做到平衡。網(wǎng)絡(luò )安全是一個(gè)快速發(fā)展的行業(yè)，中國的技術(shù)能力提高了，在應用技術(shù)方面和30年前有很大的不同，應該繼續鼓勵創(chuàng )新。

華為輪值董事長(cháng)徐直軍表示，未來(lái)發(fā)展關(guān)鍵是共同抓住數字時(shí)代的機會(huì )，中國企業(yè)數字化雖然有一定基礎，但距離成熟還很遠。清華大學(xué)調研顯示，39%的企業(yè)數字化戰略規劃模糊，48%的企業(yè)未明確組織架構調整，75%的企業(yè)尚未運用人工智能等。華為將升級六大數字技術(shù)生態(tài)，鯤鵬計算生態(tài)和昇騰AI生態(tài)是兩個(gè)基礎生態(tài)，數字基礎設施涉及的各種智能終端，網(wǎng)絡(luò )、云服務(wù)都會(huì )用到。圍繞智能終端的生態(tài)有兩個(gè)，分別是鴻蒙操作系統生態(tài)和HMS生態(tài)。面向自動(dòng)駕駛汽車(chē)的MDC生態(tài)，也可以看做是一類(lèi)特別的智能終端。再就是華為云生態(tài)。

?

?

?

?

?

?

?

?