备注：文章来源于中国经济时报，已获权转载

聚焦网络安全

编者按:目前，利用公民个人信息进行网络诈骗的犯罪仍然猖獗，在个人信息保护、数据交易服务、数据评估等方面存在的问题也很普遍，亟须整顿治理。数据安全治理是数字时代全球面临的共同问题。网络空间已成为继陆、海、空、天之后的第五大主权领域空间，必然筑牢网络安全防线。数字时代已来临，数据安全问题更加凸显。

勒索软件在不断进化，每次进化后变得更加智能，所造成的代价也更加昂贵。在美国，输油管道因勒索软件攻击关闭，能源业面临网络安全威胁。黑客不仅仅针对政府和企业，最近有网络安全公司发布警告：一种名为双重勒索（extortionware）的网上勒索方式正在崛起，黑客通过获取私人的敏感信息，迫使受害者支付赎金。

2018年4月20日至21日，习近平主席在全国网络安全和信息化工作会议上表示，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。数字时代已来临，数据安全问题凸显。接受中国经济时报记者采访的人士表示，网络空间已成为继陆、海、空、天之后的第五大主权领域空间，必然筑牢网络安全防线。

数字经济重大挑战是安全问题

据腾讯安全最新报告显示，仅2021年一季度，就发生了多起国际知名企业被勒索的案件，赎金持续刷新纪录。多数勒索病毒具有变种多、针对性强、感染量上升快等特点。数据价值较高的行业、医疗、政府机构受攻击较为严重。

公安部网络安全保卫局原局长顾建国近日在中国数据安全治理高峰论坛上表示，目前，利用公民个人信息进行网络诈骗的犯罪仍然猖獗，在个人信息保护、数据交易服务、数据评估等方面存在的问题也很普遍，亟须整顿治理。数据安全治理是数字时代全球面临的共同问题。

“数字经济发展，安全是前提。”中国工程院院士沈昌祥对记者表示，现在正在进行数字化转型、网络化重构、智能化提升、产业化升级，在数字化条件下，网络安全已从网络空间扩展到物理空间，要从系统工程角度来解决数据安全问题，构建网络安全主动免疫保障系统。网络空间已成为继陆、海、空、天之后的第五大主权领域空间。《国家网络空间安全战略》提出的任务是：“夯实网络安全基础”“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。

沈昌祥表示，安全的源头是图灵机原理，必须创新一种新的计算模式，在计算的同时进行安全防护。要构建安全体系，结构要变，保证在工作的同时不被攻击者破坏和利用。在可信安全管理中心支持下构建主动免疫三重防护框架：计算环境安全可信、可信边界、可信网络通信。人是第一要素，必须有安全可信的动态访问控制，这是中国的首创。与此同时，环节要全程管控，要定级、建设、定期检查、实时应对。实现“六不”防护效果：攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工程瘫不成、攻击行为赖不掉。

“勒索病毒不是以破坏为目的，而是以获益为目的，这标志着全球数字财富已经显现出来，以掠夺数字财富为目的的网络攻击会形成新的势头，全球在数字安全和治理方面面临新的挑战。”中国保密协会副会长纪清阳表示。

华为轮值董事长徐直军5月17日在华为生态大会上表示，2019年，中国数字经济GDP占比是36%。数字经济在成为增长引擎的同时，拥有巨大的发展空间。

数据安全治理应有中国方案


数据安全治理是数字时代全球面临的共同问题，治理任务繁重复杂。顾建国表示，在中国这样一个网络大国、数据大国，数据安全治理应结合国情，有中国方案，建议从五个方面发力。

第一，必须加强法治建设。法治建设是数据安全治理的顶层设计和根本保障，从《网络安全法》《民法典》，到即将颁布的《数据安全法》《个人信息保护法》，法治建设取得了长足进展。中国网络安全和数据安全法律制度体系将进一步完善。除了立法，还要提高人们学法、懂法、守法和执法的水平，这是数据安全治理的重要前提和保证，必须持续推进。

第二，抓好合规达标。技术标准是技术性的法规，抓好技术标准的实行对促进和提高数据安全能力水平很重要。网络安全等级保护的实践充分说明了抓合规达标就是抓住了推进信息安全、数据安全的“牛鼻子”。

第三，必须加快自主创新。技术是数据安全治理的核心要素和驱动力量，要充分利用各种先进技术手段和工具来保护数据安全。目前在数据安全技术方面存在短板和差距，比如差分隐私保护、多方计算、同态加密等，需要加快自主创新步伐，力争在关键核心领域取得突破。

第四，必须落实主体责任。责任制是中国网络安全管理工作和数据安全治理的特色，也是开展工作的着力点。广大互联网企业、大数据应用管理部门和单位的主体责任意识、自律意识不断增强，安全措施也不断深化，需要不断总结提高，把责任落到实处，并且做到一以贯之。

第五，必须强化安全监管。这是数据安全治理的重要保证。数据安全治理是新课题，需要综合利用法律、行政、技术、管理等多种手段加强监管。

业内人士表示，在万物互联的时代，网络攻击从数字空间延伸到物理空间，继而对网络安全提出了严峻挑战，必须筑牢网络安全防线。


良好数据产业生态是数据安全治理必由之路

互联网对人类的贡献是互联共享开放，但近年来在网络安全和数据安全方面发生的标志性事件，让人们逐渐意识到，随着全球数字财富的显现，数据安全和治理能力亟待提高。

2021年政府工作报告中，有14次提到有关网络安全的内容。接受中国经济时报记者采访的人士表示，网络安全已成为构成整个经济社会正常发展必需的社会组成内容，建立一套良好的数据产业生态，是当前把数据安全治理落到实处的必由之路。

数据治理的目的是推动经济发展


工信部网络安全产业发展中心副主任李新社近日在中国数据安全治理高峰论坛上表示，数据治理的目的是发展产业、推动经济发展。到了今天，任何一个企业、机构、政府都有数据，这么多数据该归谁？事实上，数据资产形成时，跟过去传统的有形货币资产不一样。数字、数据作为资产以后面临着新课题。

李新社认为，数据安全问题归根结底是法律问题、管理问题，是全球所有国家在数据治理过程中要面对的问题。安全治理进入了新发展阶段，国家已有了数据分级分类，数据安全风险和评估以及数据共享、监测管理机制方面正在探索，数据处理的安全机制正在建立。所有人都面临新问题，在过去线下的劫持变成了线上的数据劫持，勒索病毒把数据锁死，是当前在信息化社会下重要的点。美国的停电，表面上看是对一个公司的数据劫持，再往大了看，是对社会的劫持，往后看是对国家的劫持。因此，需要建立一套良好的数据产业生态，是把数据安全治理落到实处的必由之路。

国家工业信息安全发展研究中心保障技术所研究总监杨帅锋对记者表示，从数据安全的国家层面看，《网络安全法》提出要做好数据保护，加强重要数据重点保护。《促进大数据发展行动纲要》中提出要做好大数据安全保障体系，强化数据安全支撑。《数据安全法》从2020年6月发布了草案，强调要开展数据分类分级工作，制定重要数据的目录清单，对重要数据进行重点保护。今年4月发布《数据安全法》二审稿，加快了法律发布的进程。


工业互联网领域数据安全形势严峻


全球数据安全事件层出不穷。针对工业互联网领域的数据安全形势比较严峻，从能源行业、交通行业，包括智能工厂，近年来都有安全事件发生。杨帅锋称，勒索攻击近年来猖獗，对工业数据的勒索攻击成为重大威胁。据《2020数据泄露调查报告》统计，全球数据泄露事件多达3950起，同比增长96%，制造业在受影响行业中排名第三，前两名是医疗行业和金融保险业。制造业领域的数据安全问题已成为重大的安全隐患。


杨帅锋表示，当前，数据资产分类分级识别难。首先要分清楚识别的对象是哪些，是什么类型的数据，是什么级别的数据。工业互联网数据种类多样，结构化、半结构化、非结构化数据都存在，也涉及到研发数据、生产数据、管理数据、多个域的数据。区别于传统的互联网流量解析，工控流量的深度解析存在挑战。而且，重要数据的识别捕捉难。


打造全生命周期数据安全防护体系建设


据了解，国家工业信息安全发展研究中心已在省级运营商或工业企业、平台企业，监测发现到一些数据泄露、数据跨境、数据流量异常、数据违规传输、数据恶意访问等一系列安全事件。

如何做好针对性的防护？杨帅锋表示，工业互联网数据安全防护总体思路及防护框架思路包括以下四个方面。第一个思路是技管结合，管理层面和技术层面都要做好数据防护。管理层面做好组织机构、人员、设备的安全管理。在技术防护层面做好分类分级防护。同时做好围绕以数据为中心的全生命周期的数据安全防护体系建设。

第二个思路是动静相宜，数据的保护要关注静态数据保护、存储态数据保护。相比于传统的网络安全或其他的设备安全层面来说，更多的可能是关注静态保护，但对于数据来说，现在数据的采集、共享、迁移、跨境，更要关注数据的动态防护。

第三个思路是分类施策，把工业互联网数据初步划分为研发设计数据、生产制造数据、经营管理数据、应用服务数据。对于研发设计数据，保密性更为突出。对于生产数据来说，实时性、稳定性要求更强，要在保障生产运行实时稳定的前提下做好安全防护工作。经营管理数据，交换共享的安全需求更大。

第四个思路是分级定措，要根据不同级别的数据，从全生命周期提出逐级增强的安全防护的要求。按照工信部发的工业数据分类分级指南，将数据分为一级、二级、三级三个级别，三级数据的安全防护需求更高。采集阶段要做好采集协商、采集安全空间、采集的数据源鉴别以及源数据的安全检测和质量评估。在传输阶段做好传输加密、传输安全协议，包括传输的安全监测。在存储阶段，关注存储的介质安全、存储的环境安全，存储的加密、灾备、分类分级、访问控制等措施。处理阶段要做好数据的导入导出、数据加工的分析安全及处理分析的模型、算法的安全。在交换共享和公开披露阶段，做好交换共享规则，做好数据溯源数据脱敏工作。在归档与销毁阶段，做好归档处置、数据介质销毁和数据本身内容的销毁等。


万物互联时代 要联合应对网络威胁

随着勒索病毒的出现，攻击渠道日益多变，越来越多的企业开始重视网络安全的保障和建设。


腾讯研究院特约研究员何亚波对中国经济时报记者表示，网络安全是一种保护计算机网络通信免受入侵者攻击的技术，目标是保持网络服务持续稳定可用。数据安全指保障数据的收集、使用、存储、传输、转移以及销毁等全生命周期的安全与数据操作合法合规。随着科技飞速发展以及疫情流行，个人、企业和政府对线上化和云化的需求越来越迫切，时至今日，联网（网络化）已然成为基本的要求，即数据皆网络中的数据。从这个层面看，网络安全是重要前提，数据安全是根本目标。

何亚波认为，随着AI、云计算、大数据、5G等新技术的发展，网络联接已然全球化。在即将到来的万物互联的物联网世界，一旦发生威胁网络安全的事件，如新的攻击手段、新的安全威胁场景等，其影响范围之广、危急程度之深，可能无法想象。网络安全已不再是单个企业、单个地区的问题，是整体性问题，需要全局思考。全国各省市地区和企业需要联合起来，提前研究与部署，建立跨区域安全标准，共同应对潜在网络威胁。

何亚波称，数据作为数字化时代的关键生产要素，也是新基建的“石油”。数据安全是数字经济发展的重要保证，在借鉴欧盟GDPR的基础上，2020年我国发布《中华人民共和国数据安全法（草案）》和《中华人民共和国个人信息保护法（草案）》并征求意见。至此，中国的网络信息与数据安全的基础性法律架构初见雏形。但业界关于数据所有权的问题至今仍未达成共识。数字经济的隐含前提是数据具有财产属性，清晰的产权归属是交易的基础，数字经济想要高速平稳发展，有效解决数据所有权问题是发展的重中之重。

《2020年中国网络安全产品用户调查报告》显示，对网络安全的投资较高的是互联网/电子商务企业，其余依次为金融业、计算机软件企业、网络游戏企业。《2021年中国网络安全产品用户调查报告》发布的网络安全百强榜上，排名前列的分别是奇安信、三六零、华为、阿里、腾讯、深信服、绿盟、微软、安恒、金山、天融信、联软科技、亚信、百度、山石、联想、思科等。

安华金和联合创始人杨海峰对本报记者表示，过去两年行业在做几件事：数据分类分级规范的制定、数据生命周期安全规范的制定。当前数据安全防护有技术、缺体系，重产品、轻运营；监管有目标、缺手段；管理有规范、难落实，需要应对这些挑战。从管理体系、技术体系和运营体系三方面可以让数据安全治理落地。数据安全管理团队负责设计数字安全管理体系。数据安全运营团队来建设数据安全技术体系。从数据使用的角度分析风险是什么，以及对应的解决方案。

杨海峰表示，数据安全治理体系建设的第一阶段是从企业角度做数据安全管理体系和数据安全治理体系的建设。第二阶段是数据安全运营体系的建设，通过策略管理和风险监督能力以及运营管控平台的建设，最终形成数据安全运营的常态化，这里有数据安全的咨询服务和数据安全运营服务存在。

联软科技CEO祝青柳对本报记者表示，所有网络安全问题都是在网络空间中发生的，包括整个系统的安全、数据的安全。信息化的目的是提高效率，数据在分层分级的过程中要防止过度保护，所以要做好底线的风险把控，在安全和效率之间做到平衡。网络安全是一个快速发展的行业，中国的技术能力提高了，在应用技术方面和30年前有很大的不同，应该继续鼓励创新。

华为轮值董事长徐直军表示，未来发展关键是共同抓住数字时代的机会，中国企业数字化虽然有一定基础，但距离成熟还很远。清华大学调研显示，39%的企业数字化战略规划模糊，48%的企业未明确组织架构调整，75%的企业尚未运用人工智能等。华为将升级六大数字技术生态，鲲鹏计算生态和昇腾AI生态是两个基础生态，数字基础设施涉及的各种智能终端，网络、云服务都会用到。围绕智能终端的生态有两个，分别是鸿蒙操作系统生态和HMS生态。面向自动驾驶汽车的MDC生态，也可以看做是一类特别的智能终端。再就是华为云生态。