深耕數據安全，保障數字經濟健康發展

杜躍進

360集團首席安全官大數據協同安全技術國家工程實驗室常務副主任，同時兼任國家大數據安全專家委員會委員、北京市信息化專家委員會委員、上海人工智能安全產業專家委員會委員、中國互聯網協會委員、保密協會委員、中國保密協會隱私保護專委會副主任、通信協會委員等職位。

葉曉虎

綠盟科技集團首席技術官工學博士，正高級工程師。領導研發冰之眼、黑洞等安全產品，填補業界多項空白;深度參與國家火炬計劃，擔任北京市下一代網絡安全軟件與系統工程技術研究中心主任等職務。

趙偉

知道創宇創始人、CEO中國反病毒聯盟資深專家、安全聯盟創始人、中國信息安全標準委員會委員、院士工作站特聘專家、工業與信息化軟件集成促進中心云計算研究專家、首都互聯網協會第四屆理事會理事，廣東省信息安全技術院士工作站首批特聘研究員，美國McAfee實驗室研究科學家，騰訊反詐騙實驗室智庫特聘專家。（排名不分先后）

《數字經濟》對話頭條一 數據安全

數據作為新的生產要素正在成為驅動經濟發展的新引擎。在數據驅動的過程中，數據安全問題也日益凸顯。不論是此前已被驗證的數據庫安全市場，還是在近期得到廣泛關注的個人隱私保護趨勢，都意味著數據安全的需求正在多維展開?！稊底纸洕冯s志帶著一些關于數據安全的問題，采訪了360集團首席安全官杜躍進、綠盟科技集團首席技術官葉曉虎、知道創宇創始人/CEO趙偉。

《數字經濟》雜志：結合國內目前的市場環境，您認為中國企業在數據安全保護方面面臨哪些問題？

杜躍進：合規方面的挑戰——隨著歐盟GDPR、《中華人民共和國數據安全法（草案）》等相關數據安全保護條列的制定，企業在數據安全方面最基礎的問題就是數據合規問題，其中不僅包含了數據確權、知情同意等問題，還包含了數據跨境傳輸、海外數據就地管理和由此引發的問題。在當下日益復雜的國際環境下，數據安全已經不僅僅是純技術的問題，還有可能成為不同地方競爭的手段。如果數據安全保護不到位，很有可能因為這條線對整個公司或組織帶來嚴重的影響。因此企業的數據安全建設一定要符合國內外數據安全相關法律法規標準要求。

數據流通、共享和交易方面的挑戰——數據流動的價值和風險越來越凸顯，因此這方面的問題已經成為進一步推進數據治理，護航數字經濟亟需解決的問題。數據做為新的生產資料只有流動起來才能產生價值，但是無論是個人還是社會和國家，都意識到數據安全的重要性，也通過立法來保護本土的重要數據。企業應如何有效甄別數據敏感程度，如何對不同敏感數據實施差異保護，如何在符合國內法法律規定、隱私合規、不損害個人、公司、國家利益的情況下進行數據流通、共享和交易。

未來的大數據業務環境將更加開放，業務生態將更加復雜，參與數據處理的角色將更加多元，而系統、業務、組織的邊界也將進一步模糊化，數據的產生、流動、處理等過程都會不同以往。如何在數據全生命周期內，尤其是流通、共享和交易的動態過程中防竊取、防濫用、防誤用。

防網絡攻擊竊取的挑戰——各企業具有大量客戶，各類型數據漸漸得到灰色產業鏈的覬覦;安全事件造成的損失以及數據和信息系統恢復的成本激增;缺乏安全技術人員以及安全管理制度;面對外部的安全威脅，企業某些信息化發展的裹足不前;對信息共享、互聯網化、云服務和AI等高新技術的追求延伸出新的數據安全風險;來自內部的人為失誤或蓄意破壞和信息竊取;僵尸木馬蠕蟲等問題嚴峻，勒索病毒威脅嚴重，如何在不降低工作效率的前提下控制訪問權限，如何保證數據訪問和操作具備可審計性。

趙偉：我認為主要有以下兩方面問題。第一，大部分企業沒有足夠重視數據安全問題。對數據安全來說，比外部威脅更致命的是內部的監管不力。內部員工因為疏忽意外導致的數據泄露、員工的堅守自盜、員工受賄出賣數據以及過于寬松的數據訪問政策，都是當前企業數據泄露的首要原因。第二，網絡攻擊的手段越發的高級且影響巨大。就從近段時間的全球網絡安全態勢來看，以SolarWinds為代表的供應鏈攻擊事件愈發的嚴重。據調查顯示，大企業和中小型企業涉及第三方供應商（服務和產品）的數據泄露事件發生率分別為43%和38%，這是非常高的比例。供應鏈攻擊意味著攻擊者僅需對一個供應商進行攻擊，將會讓成千上萬的企業同時受到攻擊的風險。然而，除了供應鏈攻擊外，當下網絡釣魚、魚叉攻擊、ATP攻擊、勒索軟件等攻擊手段也是層出不窮，在如此高危的網絡安全形勢下，企業只要稍有不慎便會成為攻擊者的目標。

葉曉虎：首先，企業和機構在數據安全防護體系建設上需要經過合規驅動到風險管控的歷程，并且需要考慮加快這一進程，在技術防護體系落地以后通過運營不斷完善和改進。

其次，從安全本質來看，數據安全防護應回歸到對抗的本質。企業和機構需要將數據安全防護的重心從外部攻擊者防護轉向對外防護對內審計。從2020年內發生的數據安全相關事件來看，有幾類典型事件需要我們關注，一是某醫院內部人員泄露就診人員信息，引起疫情相關謠傳;二是某銀行泄露個人賬戶交易信息;三是某離職員工為泄私憤刪除公司核心數據。這幾類事件都不是傳統意義上的外部攻擊事件，都是內部人員濫用、誤用造成的數據泄露事件。

最后，數據安全防護體系其實是個雙循環的體系，應采用同步規劃、同步建設、同步使用的“三同步”原則做好數據安全的防護。不僅要建設安全防護與保障體系，也要加強數據與業務系統安全屬性。

《數字經濟》雜志：企業在數據應用過程中，該如何保護數據安全？個人又該怎樣保護自身隱私？

趙偉：對企業來說，保護數據安全是一個體系化的工作，并非是用幾個安全產品就能將問題解決。網絡空間隨時都在動態變化，那么數據安全保護的方案也應是動態化的。但是整體的思路可以說是萬變不離其宗，如確保數據訪問安全、身份認證、數據分離、數據加密、數據部署的安全、內部網絡安全、完善的備份體系等。這些思路，對所有企業都適用，只是落地到具體操作上，會有針對性的加強。

對個人而言自身的隱私保護也有很多工作要做。第一步，我認為也是最重要的一步，就是明確個人隱私的重要性。你可能會說，現如今誰還不重視個人的隱私呢？但事情恰恰相反，大部分的普通人對個人的隱私還停留在很淺的認識上，這樣就導致有時候隱私已經泄露了卻還不自知。其次，在遇到需要填寫個人姓名、電話、身份證以及錄入人臉或指紋等生物信息時，要再三確認第三方的合法性和安全性。當然，這一點更需要我們的監管部門加以督促，讓擁有大量用戶隱私的公司謹言慎行。

杜躍進：企業根據相關法律法規、標準規范要求，采用相應的技術手段和產品保護安全。以《數據安全法（草案）》規定的數據分類分級為基礎，強化內部數據保護宣傳，加強特權賬號管理、核心操作審計。在高權限用戶的關鍵數據操作環節增加復核審批操作，以防人為誤操作，提升內部用戶行為分析、回溯能力。從流量、終端、應用各方面建立數據安全能力機制，并通過實網攻防演練以及安全應急響應，及時改進公司中存在的風險并在一旦發生安全事件后，及時響應，做出最合適的反應措施，從而把損失降低到最小，而不會手足無措。

個人按照《個人信息保護法（草案）》和GB/T 35273-2020《個人信息》的相關內容做好個人隱私保護。個人需要盡可能少地披露非必要信息，對個人敏感信息更應該多加保護。個人在下載、安裝手機應用時，要仔細閱讀用戶協議，了解自己擁有那些隱私權力。對自己的財產、健康生命、生物識別、身份等重要信息妥善保管。當然，當個人信息受到嚴重侵害時也要拿起法律武器維護權力。

葉曉虎：企業在數據應用過程中的數據安全，需要有一個重度的轉變——要重點關注的是內部風險，除敏感數據的泄漏，還要保護數據不被篡改、不被誤用。在數據應用過程中保護數據安全首要應建立針對數據全生命周期的流轉監控能力，要能夠識別訪問數據的人員異常行為和異常流轉趨勢，還要建立數據質量監控的手段。

對于個人隱私的保護，從個人角度來講，是一個安全意識、維權意識以及維權手段等多方面綜合素質能力的體現。舉例來說，個人面對隱私信息被采集時，要有充分的安全意識，明確個人信息采集方的采集目的、用途、傳播范圍、留存時限等基本承諾，還應深入關注個人信息采集方有哪些相應的數據保護措施。并且在個人信息采集方無法公開或承諾相應的安全職責時，應能夠有效應用合法合理的手段進行個人隱私保護，以及訴諸法律途徑以尋求解決。

《數字經濟》雜志：一個科學合理的數據安全建設體系應該是怎樣的？在這方面，貴企業是如何深耕布局的？

葉曉虎：我們認為未來數據安全體系應該是一個雙循環體系，第一個循環圍繞著系統建設和改進時期的幾個環節，主要是基于安全風險對抗模型和數據分類分級制定安全防護策略、制定系統開發的安全規范與標準，基于數據安全測試用例進行黑白盒測試、上線前檢查等。第二個循環是建立IPDR安全保障體系，圍繞著數據使用，對數據資產變更、數據流轉和使用，識別異常行為和高風險事件并進行研判及處置。我們認為未來數據安全保障不能僅僅依賴于技術體系，還需要依賴于安全運營能力和系統的安全設計與實現能力。

2020年我們在布局上重點考慮兩方面內容，一方面是技術體系，將現有的產品能力與安全管理平臺深度整合，適配各類環境，滿足合規、訪問與權限控制、分級分類管控、流轉監控等場景與需求。另外一方面是服務體系布局，一是通過將安全開發服務、數據安全評估與分類分級服務標準化，滿足市場需求。二是通過安全運營與技術體系適配，確保技術體系發揮價值，幫助客戶實現數據安全事件閉環處置。

杜躍進：從政府視角，應該構建一個正向驅動的數據安全治理體系。當數據成為生產要素，流通、共享和協同成為數據的重要特征時，需要根據其自身屬性進行分類分級時，對提供及獲取數據的企業或組織進行分級管理就變得十分關鍵。政府建立多部門數據共享流通促進大數據利用的機制時，可以通過組織的數據安全能力成熟度級別決定允許數據流動的方向，從而實現總體數據安全風險可控。在數據共享、轉移、交易等過程中，法律可以規定數據擁有者有義務要求數據接受者提供自己足夠的數據安全能力成熟度水平，從而避免數據在流動過程中進入安全更差的組織，從而減少數據流動導致的安全失控。

基于數據安全能力成熟度模型（DSMM），從組織建設、制度流程、人員能力和技術工具四個方面對企業或組織進行數據安全能力成熟度等級劃分，從而在數據和數據處理者之間建立正相關關系，來整體推進業界的數據安全能力。在數據變成生產要素的當今時代，一個組織擁有更高的數據安全能力成熟度等級，無疑將擁有獲得更多數據的機會，這使得做好數據安全不再是成本，而是成為組織發展的機會。

360參與大數據安全國家工程實驗室和貴州大數據安全工程研究中心的相關工作，依托這些多方共建的權威機構，開展DSMM培訓、測評、認證業務，建立DSMM產業生態，與合作伙伴共同推進基于DSMM的數據安全治理體系建設。開展數據安全咨詢服務業務。開發數據安全相關產品。把不同階段從不同角度面臨的風險放到一起進行綜合考慮，建立強調整體而不是某個環節安全能力。為客戶提供的是管理和產品相結合的一整套的數據安全服務。

趙偉：科學合理的數據安全建設體系，需要解決三大痛點問題：數據訪問風險、數據流動風險以及數據運維風險。具體來說，數據訪問的風險有：缺乏統一賬號管理、缺失身份認證管理、數據授權能力弱;數據流動的風險有：缺乏審計溯源能力和數據保護能力弱;數據運維風險有：數據管理成本大、運維行為缺乏監督、高危操作缺乏管控。

知道創宇作為國內首批從事云防御的網絡安全企業之一，十年前就已經確立了大數據安全防御的概念。立足網絡空間測繪和云防御SaaS服務，為客戶在線業務系統和網絡邊界提供AI高級防御。

十年來，知道創宇一直致力于對安全大數據的實踐應用研究，成立之初，我們就持續聚焦以大數據、人工智能為核心，來解決網絡安全問題。

《數字經濟》雜志：工程交付是目前被業界普遍忽略的痛點問題，貴公司在這方面是如何布局的？

葉曉虎：目前綠盟科技在布局上主要包含以下幾方面：

一是加強校企合作，通過實踐課程聯合開發、實習基地、培訓認證、組織安全賽事等方式縮短安全工程人才從理論到實踐的培養周期。

二是為合作伙伴賦能，通過建設培訓體系與認證體系，擴大工程交付的覆蓋能力。

三是通過工程服務標準化和工具開發，降低工程人員的要求，提升交付質量。

趙偉：交付涉及到的數據往往十分龐大且流程繁雜，中間容易暴露出安全問題。供應商在進行工程交付的過程中，必然會深入業主的業務流程，同時開發交付過程中，也必然會接觸測試數據。軟件交付項目通常會涉及到使用開源軟件，而開源軟件需要不斷升級維護，客戶由于資源所限，通常無法完全跟蹤所有使用的開源軟件，交付后的維護工作存在大量隱患。此外，如果交付項目是一個集成項目，那么還會涉及多個供應商，更增加了相關的數據安全風險。

因此，交付項目需要在方案設計階段就從多方面考慮安全問題。第一，接入客戶的認證系統。當前企業軟件有數種身份認證體系，例如微軟安全御、LDAP、OpenID等，交付項目應該根據實際情況接入客戶原先的認證系統，避免本地認證，尤其是管理員賬號的本地認證。同時，如果必要，還要加上多因子認證，確保項目交付之后不遺留用戶身份認證后門。第二，遵循安全開發流程SDL，同時根據業務實際情況，構造測試數據而不是直接使用真實數據進行測試。第三對使用的開源軟件做好配置管理，并實時跟蹤相關軟件的漏洞與補丁信息，做好安全性漏洞應急預案。第四，做好安全風險計劃。針對項目的每個環節梳理安全風險并制定應對方案，確保安全事件發生時，能夠及時控制影響。第五，建立零信任網絡，確保每次數據訪問都是經過合理授權的。第六，關注開源安全情報，除了之前提到的開源軟件漏洞之外，還需訂閱關于自身數據安全事件的情報，并及時處置。最后，選擇有安全集成資質的集成商。

《數字經濟》雜志：數字經濟時代，數據已成為與勞動、資本、土地、知識、技術、管理等并列的生產要素，如何進行數據安全創新？

杜躍進：首先，要意識到數據安全是個全新的問題，不能照搬之前的經驗。IT時代的安全主要是從信息系統和網絡的角度關注的，數字經濟時代關注的是DT（數據技術）和數字化之后的OT（業務技術）的安全。數據的存在形態、流動方式和頻率、使用和交換方式、不同利益相關方關注的問題等等，都和過去完全不同。同時數字經濟時代還在快速發展變化中，新技術新業務會不斷出現，新的威脅手段也會層出不窮。數據安全可以參考但是完全不能依賴原來的經驗。

第二，要調動產業界積極性，從產業中來到產業中去。數字經濟在很多方面還處在探索期，產業界對數據是如何使用的、數據安全究竟遇到哪些痛點其實是最了解的。只有充分調動產業界的積極性，才能制定出更加切合實際的法律政策或標準技術：只有從產業中來到產業中去，才能不斷調整和優化數據安全的最終效果。

第三，要鼓勵開放創新平臺，發動社會智慧。鼓勵通過國家工程實驗室或其他形式的開放創新平臺，實現專家、問題、場景和資源等的匯聚，并調動廣大社會力量一起參與數據安全創新。不同行業和領域的數據安全問題有很大差異性，要鼓勵更多行業和領域參與到創新中。

第四，要加強國內外和跨行業交流，不斷總結迭代。數據安全問題服務于數字經濟的發展，非常復雜，涉及戰略政策、法律標準、技術產品、學術教育等多個方面。之前不同的領域相互之間交互比較少，互相并不理解，未來需要加大跨行業的交流，并且加強國內外的交流，才能實現整體上更加科學合理的數據安全創新。

葉曉虎：我們認為數據安全創新有幾個核心要素，一是數據安全頂層設計中對數據安全內涵與外延的定義。二是數據安全攻防與對抗，數據安全對抗主體包括攻擊者、內部違規違法人員、情報人員，整個數據安全體系建設和技術創新需要圍繞對抗主體和場景。三是技術革新，類似于同態加密、聯邦計算等數據可用不可見技術的革新和演進，對數據安全體系帶來顛覆式的影響。四是場景和環境，技術體系與運維體系實施需要適配數據所處的環境。

趙偉：數據作為生產要素的重要作用日益凸顯，以數字經濟為代表的新經濟成為經濟增長新引擎。數據要素作為數字經濟最核心的資源，具有可共享、可復制、可無限供給等特點，這些特點打破土地、資本等傳統生產要素有限供給對經濟增長推動作用的制約。與土地、資本等傳統生產要素相比，數據要素對推動經濟增長具有倍增效應。

正如聯合國發布的數據創新議題所說：數據革命，包括開放的數據移動、眾包的興起、新數據收集信息通信技術的涌現、大數據可用性的爆炸式提高以及人工智能和物聯網的出現，正在改變社會。計算和數據科學的進步，使得實時處理和分析大數據變成了現實。

據調查顯示，國外數據安全保護的產品中，有一大類是針對用戶個人隱私訪問控制和合規處理的，而這類產品在國內卻寥寥無幾。這和國內外的立法進度差異息息相關。數據安全同樣會隨著數據基礎設施和數據安全法規逐步演進，參考國外我們現在有大量的創新機會。

《數字經濟》雜志：請您談一談對目前數據安全行業的看法。有人認為協同聯動是未來安全的方向，您認為這個行業的未來趨勢是什么？

趙偉：安全是基礎技術，它在保護整個社會，尤其是未來的賽博空間社會，它需要的是真正的核心技術，比拼的就是核心技術的投入?，F目前，數據安全行業也在不斷涌現新的技術，例如同態加密、數據溯源、數據匿名化、數據訪問管理、量子加密、主動數據防御、數據托管、區塊鏈數據管理等。

人工智能、區塊鏈、加密技術是企業數據安全的未來。人工智能、區塊鏈和加密技術可能導致在企業網絡上發現、存儲、共享和偽裝敏感數據方面的安全進度，可以預見的是，采用這些技術并著眼于數據安全的企業，將在這場游戲中處于領先地位。

展望未來，全球企業對于數據安全保護的需求將持續攀升，越來越多的新興技術將催生新興安全市場，進一步驅動數據安全與網絡安全行業重構，賦能安全行業新價值，為個人隱私保護和數據信息安全保駕護航。

杜躍進：數據安全行業目前還處于快速發展階段，有大量場景下的大量問題還有待解決。因此國內外大家都很看好這個行業，但同時這個行業都還處于發展的早期，機會和挑戰都很大。

協同聯動并不是數據安全專門的方向，而是整個大安全的根本方向。這是因為，安全的本質是人和人的對抗，隨著攻擊者越來越有組織有計劃有目標、攻擊者擁有的資源等戰略優勢日益突出、數字經濟時代的業務和數據交融復雜度急劇上升等，防守方再也無法用原來的方法靠單打獨斗來應對安全威脅了。協同聯動是唯一的出路。

但是，實現高效的協同聯動，需要克服很多困難。

一方面是數據安全問題。和所有其他的業務一樣，安全也需要數據驅動。協同聯動需要用到別人的數據，但是大家又擔心這個過程中自己的數據被泄露，這就是典型的大數據濫用和誤用問題。

另一方面是機制和利益的問題?，F實中大家分工不同、利益不同，通過協同聯動的方式來應對安全威脅，不可回避的問題是最后的價值如何計算和平衡的問題。

然而客戶會越來越明白，那些不能真正實現協同聯動的方案，最終是不能滿足客戶的安全需求的。安全行業最終還是會從產品導向轉向能力導向，從合規評估轉向最終對抗效果的評估。

葉曉虎：協同聯動是未來的方向之一，用大數據技術來支撐數據安全能力。這里的大數據既是海量的也是多源的——網絡設備、安全設備、主機、服務等等這些對象產生的數據拉通聯動，通過大數據的建模分析來做安全風險的挖掘，感知于未然，便是協同聯動的精髓之一。除此之外，數據安全會是多領域安全的融會貫通和深化升華，也可以認為未來數據安全應該是生態化的。其實現在我們就已經看到這樣一個事實，不再有任何一種產品能夠解決各種場景下的數據安全問題，也很難有一家安全企業能夠生產出解決所有場景下數據安全問題的產品。

責任編輯：金燁