一場遠(yuǎn)超以往的數(shù)字安全和治理危機，正朝我們撲面而來。

【1】

5月27日，美國國土安全部發(fā)布了該國針對管道部門的首個網(wǎng)絡(luò)安全規(guī)定。該規(guī)定要求，管道公司對當(dāng)前的安全措施進(jìn)行審查，并在30天內(nèi)向相關(guān)部門匯報審查結(jié)果。

在此之前，美國最大的燃油燃?xì)夤艿肋\營商之一：科洛尼爾管道運輸公司，5月7日遭遇黑客組織入侵，并被勒索贖金，不得不關(guān)閉了一條關(guān)鍵運輸管道，影響了美國東海岸45％的燃油供應(yīng)，甚至全美17個州和華盛頓特區(qū)都因此進(jìn)入緊急狀態(tài)。

5天后，美國總統(tǒng)拜登簽署《關(guān)于加強國家網(wǎng)絡(luò)安全的行政命令》，要求以強制推行零信任架構(gòu)、加強供應(yīng)鏈安全、成立網(wǎng)絡(luò)安全審查委員會等“大膽的舉措”，來提升美國政府面對網(wǎng)絡(luò)威脅的整體抵御能力。

這一事件背后，是網(wǎng)絡(luò)安全領(lǐng)域一個新的風(fēng)向標(biāo)：

隨著工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、云和人工智能的廣泛普及，從政府到企業(yè)，從經(jīng)濟到民生，都正在全面轉(zhuǎn)向數(shù)字化、網(wǎng)絡(luò)化，數(shù)據(jù)也已成為全新的戰(zhàn)略性基礎(chǔ)資源和新型生產(chǎn)要素。

如果說，過去的網(wǎng)絡(luò)安全，風(fēng)險主要集中在信息本身；那么，未來的網(wǎng)絡(luò)安全問題，已經(jīng)越來越多地對現(xiàn)實世界產(chǎn)生巨大威脅。

2009年，美國通過“震網(wǎng)”病毒，對伊朗核設(shè)施發(fā)動網(wǎng)絡(luò)攻擊。作為全世界第一起國家級的網(wǎng)絡(luò)攻擊，震網(wǎng)事件讓外界意識到，“數(shù)字炸彈”同樣可以摧毀工業(yè)實體。

此后，這一邏輯已得到越來越多的證實。

比如，2015年，由于黑客的入侵與破壞，烏克蘭電力系統(tǒng)主控電腦被癱瘓，導(dǎo)致烏克蘭約1／4的變電站停止供電長達(dá)6個小時。

這為黑客們指明了一條全新的劫掠道路。

從2017年的WannaCry，到2021年的incaseformat，從宏碁、臺積電、富士康被勒索，到此次美國的管道運輸中斷，網(wǎng)絡(luò)勒索越來越產(chǎn)業(yè)化，并且越來越有針對性。

與通過復(fù)雜的地下黑產(chǎn)鏈條洗劫網(wǎng)民相比，對數(shù)字化產(chǎn)業(yè)實體的攻擊，更加簡單、粗暴、高效。

《2020數(shù)據(jù)泄露調(diào)查報告》也顯示，全球去年數(shù)據(jù)泄露事件多達(dá)3950起，同比增長96％，在受影響行業(yè)中，醫(yī)療、金融保險和制造業(yè)排名前三。

面對新的威脅，我們的網(wǎng)絡(luò)數(shù)字安全體系必須有所變革。

那么，我們面臨的網(wǎng)絡(luò)安全威脅有哪些變化？我們已經(jīng)做了哪些工作？下一步應(yīng)該如何應(yīng)對？

最近，參加了第四屆中國數(shù)據(jù)安全治理高峰論壇等多場與網(wǎng)絡(luò)安全有關(guān)的會議，并與一些業(yè)內(nèi)專家有進(jìn)行交流�，F(xiàn)在，將一些主要的觀點，做了一個簡單的加工整理：

【2】

先看一下當(dāng)前的形勢，以及我們面臨的一些主要問題。

中國保密協(xié)會副會長 紀(jì)清陽：

這些年來，我們在保密領(lǐng)域始終處于戰(zhàn)略被動：計算機的出現(xiàn)，我們?nèi)缗R大敵；移動存儲的出現(xiàn)，我們?nèi)缗R大敵；網(wǎng)絡(luò)的廣泛應(yīng)用，我們同樣如臨大敵．．．此外，大數(shù)據(jù)、人工智能、云計算也都給保密工作帶來了深深的焦慮。未來，伴隨更多新的信息技術(shù)出現(xiàn)，肯定還會給我們帶來更多新的困惑。

戰(zhàn)略被動的原因在于，我們的信息在“裸奔”。

中國現(xiàn)在有最好的密碼專家，我們有最新的編碼技術(shù)和思想，但是我們對密碼的應(yīng)用還相對較弱，缺少強大的產(chǎn)業(yè)，應(yīng)用始終跟不上。這是當(dāng)前中國數(shù)據(jù)安全的一個重大短板。

中國計算機學(xué)會抗惡劣環(huán)境計算機專委會榮譽主任 劉愛民：

要立足長遠(yuǎn)，建立一個數(shù)據(jù)安全的護(hù)城河，不能僅停留在各行業(yè)數(shù)據(jù)應(yīng)用企業(yè)的內(nèi)部，更要上升到國家安全的維度。

當(dāng)前，包括操作系統(tǒng)、數(shù)據(jù)庫、信息化終端設(shè)備產(chǎn)品的核心硬件，絕大多數(shù)都是由外國廠商提供的，并且在國內(nèi)主要或重大行業(yè)都有所應(yīng)用，解決關(guān)鍵技術(shù)“卡脖子”的問題迫在眉睫。

大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實驗室副主任 鐘力：

在數(shù)字經(jīng)濟時代，數(shù)據(jù)成為驅(qū)動一切的基礎(chǔ)，這為數(shù)據(jù)安全帶來了很多新挑戰(zhàn)：

過去的很多數(shù)據(jù)安全解決方案，都局限在一個系統(tǒng)、一個數(shù)據(jù)庫，或是一個網(wǎng)站里，在數(shù)據(jù)流動的今天，這種解決方案已經(jīng)力不從心。

比如，一組數(shù)據(jù)經(jīng)過了脫敏，可能就被認(rèn)為是安全的；但通過大數(shù)據(jù)分析以后，卻能夠把敏感的內(nèi)容再恢復(fù)出來。

此外，數(shù)據(jù)被竊取、加密勒索、內(nèi)鬼泄露、合規(guī)挑戰(zhàn)，包括針對大數(shù)據(jù)分析的數(shù)據(jù)投毒、數(shù)據(jù)污染等情況，都是典型的數(shù)據(jù)安全威脅。

安華金和科技有限公司創(chuàng)始人＆CEO 劉曉韜：

數(shù)據(jù)安全治理可以分為國家、行業(yè)和企業(yè)三個層面。

國家層面，法規(guī)制度建設(shè)已經(jīng)在推進(jìn)中；行業(yè)層面，金融、運營商和政府側(cè)跑的速度比較快；但在企業(yè)的落地層面，目前困擾是最大的。

一方面，企業(yè)要促進(jìn)數(shù)據(jù)共享，另一方面，他們又要去滿足合規(guī)性，這是巨大挑戰(zhàn)。

尤其是數(shù)據(jù)安全體系怎么建，大家都普遍還處于迷茫狀態(tài)：

一，數(shù)據(jù)分類分級非常復(fù)雜，既跟數(shù)據(jù)多樣性有很大關(guān)系，也跟數(shù)據(jù)規(guī)模有很大關(guān)聯(lián)。某些用戶數(shù)據(jù)庫一萬多個，能達(dá)到幾千萬個表，十幾億個字段，如何把分類分級的標(biāo)簽打到具體的字段上，通過什么方式實現(xiàn)？落地的服務(wù)和技術(shù)手段都還存在挑戰(zhàn)。

二，隨著網(wǎng)絡(luò)安全與數(shù)據(jù)安全等概念的普及，各行業(yè)客戶大多配置了一些應(yīng)對單一場景化的數(shù)據(jù)安全產(chǎn)品，包括防火墻、脫敏、審計、加密等數(shù)據(jù)安全等。但目前還缺乏統(tǒng)一化、平臺化的應(yīng)用能力，尤其是多家公司的數(shù)據(jù)之間如何交互、流通、共享，實際上非常困難。

三，要做好整體性的數(shù)據(jù)安全運營，也還存在人才培養(yǎng)梯度上的挑戰(zhàn)。

四，隨著數(shù)據(jù)的共享流動，數(shù)據(jù)安全也需要在技術(shù)方面有所突破。比如隱私計算、多方計算、聯(lián)邦計算、聯(lián)邦學(xué)習(xí)等技術(shù)，現(xiàn)在都還處于技術(shù)發(fā)展的初期，真正實用化、產(chǎn)業(yè)化的程度還不是很高。

國家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所研究總監(jiān) 楊帥鋒：

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)貫穿其各個層面，是當(dāng)前驅(qū)動整個智能化生產(chǎn)的重要引擎，是實現(xiàn)智能化運營的動力，也是工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的血液。

但從形勢上來看，針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全形勢卻非常嚴(yán)峻，從能源行業(yè)、交通行業(yè)，包括智能工廠，近年來都有安全事件發(fā)生。特別是勒索攻擊近年來非常猖獗，對工業(yè)數(shù)據(jù)的勒索攻擊已經(jīng)成為當(dāng)前一個重大威脅。

在大規(guī)模工業(yè)互聯(lián)網(wǎng)場景下，數(shù)據(jù)流量大，攻擊者的路徑多，可以從網(wǎng)絡(luò)端滲透到生產(chǎn)端，去竊取以往沒有暴露在互聯(lián)網(wǎng)中的工業(yè)數(shù)據(jù)；有的工業(yè)生產(chǎn)受限于網(wǎng)絡(luò)資源或計算資源，高強度加密措施難以適用，數(shù)據(jù)傳輸也可能會面臨泄露或遭竊聽。

同時，攻擊難度降低。不管是在工業(yè)主機還是工業(yè)數(shù)據(jù)庫、工業(yè)App上，只要任何一個環(huán)節(jié)存在漏洞或者后門，被攻擊者利用，都將讓黑客有機可乘。由于數(shù)據(jù)流動路徑和流轉(zhuǎn)方式更為多樣，對網(wǎng)絡(luò)攻擊的追蹤溯源難度也會變得更大。

此外，人工智能、大數(shù)據(jù)等新一代信息技術(shù)的應(yīng)用也帶來了新的安全風(fēng)險——工業(yè)數(shù)據(jù)集中匯聚到云端，會加大數(shù)據(jù)泄露的風(fēng)險；攻擊者還可利用人工智能技術(shù)，結(jié)合更多關(guān)聯(lián)信息，通過數(shù)據(jù)挖掘技術(shù)，來獲取到敏感信息等等。

【3】

再來看看我們在頂層設(shè)計方面的思考與進(jìn)展。

公安部網(wǎng)絡(luò)安全保衛(wèi)局原局長 顧建國：

目前，已經(jīng)發(fā)布和正在制定中的網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，已有將近30部。

其中，包括以國標(biāo)35273、個人信息安全規(guī)范為代表的一批個人信息保護(hù)和數(shù)據(jù)安全方面的標(biāo)準(zhǔn)，全面覆蓋了個人信息保護(hù)、生物特征識別技術(shù)、數(shù)據(jù)安全等要求，以及網(wǎng)上購物、即時通訊、網(wǎng)絡(luò)支付、網(wǎng)約車、音視頻服務(wù)、快遞物流服務(wù)等各個業(yè)務(wù)領(lǐng)域。

但是我們也應(yīng)該承認(rèn)，在數(shù)據(jù)安全技術(shù)方面，我們還存在著不少短板和差距。比如較為時髦的差分隱私保護(hù)、多方計算、同態(tài)加密等等，這還都是人家的東西，我們不能老是跟在別人后面，邯鄲學(xué)步，亦步亦趨，必須下大決心，加快自主創(chuàng)新的步伐，力爭在關(guān)鍵核心領(lǐng)域取得重要突破。

中國計算機學(xué)會計算機安全專委會榮譽主任，公安部第一、第三研究所原所長 嚴(yán)明：

我們的等級保護(hù)發(fā)展到現(xiàn)在，已經(jīng)形成了四大有力的支撐支柱：

第一是法治定位�！毒W(wǎng)絡(luò)安全法》以法律形式明確了等級保護(hù)制度，并且規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，在等級保護(hù)的基礎(chǔ)上實行重點保護(hù)。

第二是技術(shù)標(biāo)準(zhǔn)。這些年來我們形成了相對完整且嚴(yán)謹(jǐn)?shù)募夹g(shù)標(biāo)準(zhǔn)，支撐等級保護(hù)2．0一步步向前推進(jìn)。

第三是隊伍建設(shè)。從網(wǎng)監(jiān)到網(wǎng)絡(luò)安全保衛(wèi)、網(wǎng)安，已經(jīng)形成了一個相對成熟且具有管理和執(zhí)法能力的專業(yè)警察隊伍。

四是技術(shù)服務(wù)。目前，全國已有200多個等級保護(hù)評測機構(gòu)，下一步還將引進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的第三方技術(shù)服務(wù)隊伍。

下一步，數(shù)據(jù)治理如何與我們現(xiàn)有的信息化安全體制結(jié)合起來，是必須重點考慮并嚴(yán)格落實的一大問題。

北師大網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo)，中國互聯(lián)網(wǎng)協(xié)會研究中心副主任 吳沈括：

從歐盟GDPR，到美國云法案，再到2021年日、韓、印、新、南非等地區(qū)的新一代數(shù)據(jù)立法，數(shù)據(jù)安全的規(guī)則博弈一直在不斷升級。

我們可以從實際的案例中看到，不管是在美國，還是在歐洲，與數(shù)據(jù)相關(guān)的資產(chǎn)投資、出口管制，都已不再是一個假想，而是我們中國企業(yè)已經(jīng)感受到的業(yè)務(wù)現(xiàn)狀。

在中國，從2015年的大數(shù)據(jù)綱要，到2020年關(guān)于“十四五”和2035年愿景目標(biāo)的建議，數(shù)字化轉(zhuǎn)型已經(jīng)成為一個不可逆的國家戰(zhàn)略部署。在不同層面，數(shù)據(jù)都已經(jīng)成為我們工作的核心節(jié)點。

尤其是側(cè)重于數(shù)據(jù)安全的《數(shù)據(jù)安全法》，和側(cè)重于數(shù)據(jù)保護(hù)的《個人信息保護(hù)法》，都讓我們看到了很多立法者和國家層面的考慮：

第一，數(shù)據(jù)作為國家基礎(chǔ)性戰(zhàn)略資源，關(guān)系到國內(nèi)發(fā)展，也關(guān)系到國際話語權(quán)。

第二，數(shù)據(jù)活動的全方位融合拓展和復(fù)雜的數(shù)據(jù)處理結(jié)構(gòu)，給我們帶來新的機遇，同時伴生更高風(fēng)險。

第三，以創(chuàng)新為主要引領(lǐng)和支撐的數(shù)字經(jīng)濟，需要完善的數(shù)據(jù)治理體系予以保障。

第四，數(shù)字政府／電子政務(wù)的升級過程中，也亟待政務(wù)數(shù)據(jù)管理制度和開放利用規(guī)則的支撐。

在《數(shù)據(jù)安全法》二審稿當(dāng)中，我們看到了五項重要的制度：

一，分級分類制度，包括未來各地區(qū)、各部門重要數(shù)據(jù)目錄的制定出臺。

二、數(shù)據(jù)安全風(fēng)險管理制度和數(shù)據(jù)安全應(yīng)急處理制度，為單個企業(yè)的風(fēng)控合規(guī)提供了一個有效的指引

三，數(shù)據(jù)安全審查制度。

四，管制物項數(shù)據(jù)出口管制制度。從目前來說，數(shù)據(jù)出口管制其實已經(jīng)不是一個假想，已經(jīng)成為在目前的業(yè)務(wù)實際當(dāng)中所要面對的問題。

五，數(shù)據(jù)安全國際對等制度。我們現(xiàn)在能看到企業(yè)在國內(nèi)經(jīng)營以及在海外擴展的過程當(dāng)中，如何來預(yù)判不同的制度之間可能產(chǎn)生的沖突和協(xié)調(diào)，以及可能的解決方案，比如關(guān)于數(shù)據(jù)跨境流動領(lǐng)域的標(biāo)準(zhǔn)合同問題。在這方面，中國的立法設(shè)計和歐盟以及其他國家的立法設(shè)計之間已經(jīng)產(chǎn)生了互動。

中國工程院院士 沈昌祥：

在數(shù)字化條件下，網(wǎng)絡(luò)安全已經(jīng)從網(wǎng)絡(luò)空間擴展到物理空間。網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間。

面向未來，我們必須調(diào)整理念，從系統(tǒng)工程角度來解決數(shù)據(jù)安全問題，要構(gòu)建一個主動免疫的網(wǎng)絡(luò)安全保障系統(tǒng)。

這個系統(tǒng)的目標(biāo)，是實現(xiàn)“六不”防護(hù)效果：攻擊者進(jìn)不去，非授權(quán)者重要信息拿不到，竊取保密信息看不懂，系統(tǒng)和信息改不了，系統(tǒng)工程癱不成，攻擊行為賴不掉。

工信部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心副主任 李新社：

數(shù)據(jù)治理的根本的目的，不是治理，而是通過治理發(fā)展產(chǎn)業(yè)，推動經(jīng)濟。

在2014年，工信部用的詞是信息安全，2018年，變?yōu)榱司W(wǎng)絡(luò)安全。未來，網(wǎng)絡(luò)安全一定要突破“網(wǎng)絡(luò)”兩個字的本意，把它看成一個空間、社會，從整體的安全角度來考慮這個問題，從產(chǎn)業(yè)大局面來考慮這個問題。

要進(jìn)行數(shù)據(jù)治理，不能只談技術(shù)。數(shù)據(jù)安全的問題，歸根結(jié)底是個法律問題、管理問題，是經(jīng)濟社會過去沒有碰到過的新問題，是全球所有國家在數(shù)據(jù)治理過程中同時要面對的問題。

在新型的社會構(gòu)建過程中，從生產(chǎn)要素、構(gòu)成環(huán)節(jié)、治理過程、治理方法、法律法規(guī)、人的要求，都在發(fā)生巨大的改變！接下來，所有現(xiàn)實社會的場景，都可能反映到信息數(shù)據(jù)治理之中。

【4】

最后看一下，在網(wǎng)絡(luò)安全落地過程中的一些實踐與思考：

中科院信息工程研究所大數(shù)據(jù)安全研究室主任、信息安全共性技術(shù)國家工程研究中心主任、研究員 王偉平：

大數(shù)據(jù)在提升國家治理能力和產(chǎn)業(yè)能力的同時，也給我們帶來了新的數(shù)據(jù)安全風(fēng)險。零散的低價值數(shù)據(jù)經(jīng)過聚合和挖掘，可能會產(chǎn)生新的數(shù)據(jù)價值。

與傳統(tǒng)的資產(chǎn)不同，數(shù)據(jù)從產(chǎn)生到銷毀是一個動態(tài)的生命周期。我們對整個生命周期的安全過程域進(jìn)行了定義，從產(chǎn)生、傳輸、存儲、交換、處理和銷毀，以及一些通用的安全需求，定義了30個技術(shù)點，都有安全的問題需要考慮。

從數(shù)據(jù)資產(chǎn)的角度來看，整個數(shù)據(jù)安全治理體系還需要從數(shù)據(jù)資產(chǎn)的識別、分級分類以及數(shù)據(jù)的安全防護(hù)和安全監(jiān)管三個方面，來構(gòu)建完整的數(shù)據(jù)安全治理體系。

騰訊安全總經(jīng)理王宇：

根據(jù)第三方數(shù)據(jù)，2020年的網(wǎng)絡(luò)犯罪數(shù)量，較2019年增長了300％，同時，有80％的公司和85％的遠(yuǎn)程辦公用戶反映，受到了更多的網(wǎng)絡(luò)攻擊。

而從騰訊內(nèi)部的監(jiān)控數(shù)據(jù)來看，2020年受到的攻擊數(shù)量，是2019年的5．8倍；而個人設(shè)備的失陷率，是內(nèi)網(wǎng)設(shè)備的18．6倍。

在遠(yuǎn)程辦公場景中，個人設(shè)備已經(jīng)成為一個薄弱環(huán)節(jié)，遠(yuǎn)程辦公需求給企業(yè)帶來的安全問題，也已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全的一個新常態(tài)。

傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)也是我們說的邊界防御，它主要是以封堵圍的方式進(jìn)行企業(yè)邊界保護(hù)，是一種護(hù)城河式的防御體系，但是一旦突破邊界，內(nèi)部所有流量都是完全信任的，對于內(nèi)部的訪問不會做任何的控制。

相比傳統(tǒng)的防護(hù)理念，零信任強調(diào)的是持續(xù)驗證和永不信任。它以身份安全為基礎(chǔ)，在這個過程當(dāng)中融合多因子的持續(xù)校驗，做到最小化的授權(quán)。

這個體系的構(gòu)建，是假設(shè)我們在一個被攻陷的網(wǎng)絡(luò)環(huán)境下，如何用多維度的數(shù)據(jù)去進(jìn)行這樣的一個校驗，結(jié)合端到端的網(wǎng)絡(luò)加密。這是一個更加符合未來安全趨勢的理念。

安華金和聯(lián)合創(chuàng)始人兼副總裁 楊海峰：

過去兩年以來，我們在數(shù)據(jù)安全治理實踐落地的主要經(jīng)驗是：數(shù)據(jù)需要全生命周期的、覆蓋各種業(yè)務(wù)場景的、體系化的防護(hù)。

我們所做的核心工作，是幫助客戶從管理、技術(shù)、運營等多個方面，建立一個完整的數(shù)據(jù)安全治理體系，實現(xiàn)對數(shù)據(jù)流動性的保護(hù)和監(jiān)控。

針對數(shù)據(jù)的生產(chǎn)、采集、存儲、使用等各個環(huán)節(jié)，從數(shù)據(jù)庫側(cè)的訪問，到業(yè)務(wù)側(cè)的數(shù)據(jù)訪問，一直到終端側(cè)的訪問，我們建立起了一個完整的、聯(lián)動式的追蹤體系。從而幫助各行業(yè)客戶清楚知道數(shù)據(jù)的流向，實現(xiàn)對數(shù)據(jù)安全的持續(xù)保護(hù)，即使出現(xiàn)泄露，也知道數(shù)據(jù)泄露到哪里去了，知道應(yīng)該如何追蹤、如何定責(zé)等等。

在這個過程中，最重要的不是提供基礎(chǔ)能力，而是通過我們持續(xù)的運營策略監(jiān)督，來實現(xiàn)對數(shù)據(jù)安全治理專業(yè)、規(guī)范、易操作、可持續(xù)的落地。