深耕數(shù)據(jù)安全，保障數(shù)字經(jīng)濟健康發(fā)展

杜躍進

360集團首席安全官大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室常務(wù)副主任，同時兼任國家大數(shù)據(jù)安全專家委員會委員、北京市信息化專家委員會委員、上海人工智能安全產(chǎn)業(yè)專家委員會委員、中國互聯(lián)網(wǎng)協(xié)會委員、保密協(xié)會委員、中國保密協(xié)會隱私保護專委會副主任、通信協(xié)會委員等職位。

葉曉虎

綠盟科技集團首席技術(shù)官工學(xué)博士，正高級工程師。領(lǐng)導(dǎo)研發(fā)冰之眼、黑洞等安全產(chǎn)品，填補業(yè)界多項空白;深度參與國家火炬計劃，擔(dān)任北京市下一代網(wǎng)絡(luò)安全軟件與系統(tǒng)工程技術(shù)研究中心主任等職務(wù)。

趙偉

知道創(chuàng)宇創(chuàng)始人、CEO中國反病毒聯(lián)盟資深專家、安全聯(lián)盟創(chuàng)始人、中國信息安全標(biāo)準(zhǔn)委員會委員、院士工作站特聘專家、工業(yè)與信息化軟件集成促進中心云計算研究專家、首都互聯(lián)網(wǎng)協(xié)會第四屆理事會理事，廣東省信息安全技術(shù)院士工作站首批特聘研究員，美國McAfee實驗室研究科學(xué)家，騰訊反詐騙實驗室智庫特聘專家。（排名不分先后）

《數(shù)字經(jīng)濟》對話頭條一 數(shù)據(jù)安全

數(shù)據(jù)作為新的生產(chǎn)要素正在成為驅(qū)動經(jīng)濟發(fā)展的新引擎。在數(shù)據(jù)驅(qū)動的過程中，數(shù)據(jù)安全問題也日益凸顯。不論是此前已被驗證的數(shù)據(jù)庫安全市場，還是在近期得到廣泛關(guān)注的個人隱私保護趨勢，都意味著數(shù)據(jù)安全的需求正在多維展開。《數(shù)字經(jīng)濟》雜志帶著一些關(guān)于數(shù)據(jù)安全的問題，采訪了360集團首席安全官杜躍進、綠盟科技集團首席技術(shù)官葉曉虎、知道創(chuàng)宇創(chuàng)始人/CEO趙偉。

《數(shù)字經(jīng)濟》雜志：結(jié)合國內(nèi)目前的市場環(huán)境，您認(rèn)為中國企業(yè)在數(shù)據(jù)安全保護方面面臨哪些問題？

杜躍進：合規(guī)方面的挑戰(zhàn)——隨著歐盟GDPR、《中華人民共和國數(shù)據(jù)安全法（草案）》等相關(guān)數(shù)據(jù)安全保護條列的制定，企業(yè)在數(shù)據(jù)安全方面最基礎(chǔ)的問題就是數(shù)據(jù)合規(guī)問題，其中不僅包含了數(shù)據(jù)確權(quán)、知情同意等問題，還包含了數(shù)據(jù)跨境傳輸、海外數(shù)據(jù)就地管理和由此引發(fā)的問題。在當(dāng)下日益復(fù)雜的國際環(huán)境下，數(shù)據(jù)安全已經(jīng)不僅僅是純技術(shù)的問題，還有可能成為不同地方競爭的手段。如果數(shù)據(jù)安全保護不到位，很有可能因為這條線對整個公司或組織帶來嚴(yán)重的影響。因此企業(yè)的數(shù)據(jù)安全建設(shè)一定要符合國內(nèi)外數(shù)據(jù)安全相關(guān)法律法規(guī)標(biāo)準(zhǔn)要求。

數(shù)據(jù)流通、共享和交易方面的挑戰(zhàn)——數(shù)據(jù)流動的價值和風(fēng)險越來越凸顯，因此這方面的問題已經(jīng)成為進一步推進數(shù)據(jù)治理，護航數(shù)字經(jīng)濟亟需解決的問題。數(shù)據(jù)做為新的生產(chǎn)資料只有流動起來才能產(chǎn)生價值，但是無論是個人還是社會和國家，都意識到數(shù)據(jù)安全的重要性，也通過立法來保護本土的重要數(shù)據(jù)。企業(yè)應(yīng)如何有效甄別數(shù)據(jù)敏感程度，如何對不同敏感數(shù)據(jù)實施差異保護，如何在符合國內(nèi)法法律規(guī)定、隱私合規(guī)、不損害個人、公司、國家利益的情況下進行數(shù)據(jù)流通、共享和交易。

未來的大數(shù)據(jù)業(yè)務(wù)環(huán)境將更加開放，業(yè)務(wù)生態(tài)將更加復(fù)雜，參與數(shù)據(jù)處理的角色將更加多元，而系統(tǒng)、業(yè)務(wù)、組織的邊界也將進一步模糊化，數(shù)據(jù)的產(chǎn)生、流動、處理等過程都會不同以往。如何在數(shù)據(jù)全生命周期內(nèi)，尤其是流通、共享和交易的動態(tài)過程中防竊取、防濫用、防誤用。

防網(wǎng)絡(luò)攻擊竊取的挑戰(zhàn)——各企業(yè)具有大量客戶，各類型數(shù)據(jù)漸漸得到灰色產(chǎn)業(yè)鏈的覬覦;安全事件造成的損失以及數(shù)據(jù)和信息系統(tǒng)恢復(fù)的成本激增;缺乏安全技術(shù)人員以及安全管理制度;面對外部的安全威脅，企業(yè)某些信息化發(fā)展的裹足不前;對信息共享、互聯(lián)網(wǎng)化、云服務(wù)和AI等高新技術(shù)的追求延伸出新的數(shù)據(jù)安全風(fēng)險;來自內(nèi)部的人為失誤或蓄意破壞和信息竊取;僵尸木馬蠕蟲等問題嚴(yán)峻，勒索病毒威脅嚴(yán)重，如何在不降低工作效率的前提下控制訪問權(quán)限，如何保證數(shù)據(jù)訪問和操作具備可審計性。

趙偉：我認(rèn)為主要有以下兩方面問題。第一，大部分企業(yè)沒有足夠重視數(shù)據(jù)安全問題。對數(shù)據(jù)安全來說，比外部威脅更致命的是內(nèi)部的監(jiān)管不力。內(nèi)部員工因為疏忽意外導(dǎo)致的數(shù)據(jù)泄露、員工的堅守自盜、員工受賄出賣數(shù)據(jù)以及過于寬松的數(shù)據(jù)訪問政策，都是當(dāng)前企業(yè)數(shù)據(jù)泄露的首要原因。第二，網(wǎng)絡(luò)攻擊的手段越發(fā)的高級且影響巨大。就從近段時間的全球網(wǎng)絡(luò)安全態(tài)勢來看，以SolarWinds為代表的供應(yīng)鏈攻擊事件愈發(fā)的嚴(yán)重。據(jù)調(diào)查顯示，大企業(yè)和中小型企業(yè)涉及第三方供應(yīng)商（服務(wù)和產(chǎn)品）的數(shù)據(jù)泄露事件發(fā)生率分別為43%和38%，這是非常高的比例。供應(yīng)鏈攻擊意味著攻擊者僅需對一個供應(yīng)商進行攻擊，將會讓成千上萬的企業(yè)同時受到攻擊的風(fēng)險。然而，除了供應(yīng)鏈攻擊外，當(dāng)下網(wǎng)絡(luò)釣魚、魚叉攻擊、ATP攻擊、勒索軟件等攻擊手段也是層出不窮，在如此高危的網(wǎng)絡(luò)安全形勢下，企業(yè)只要稍有不慎便會成為攻擊者的目標(biāo)。

葉曉虎：首先，企業(yè)和機構(gòu)在數(shù)據(jù)安全防護體系建設(shè)上需要經(jīng)過合規(guī)驅(qū)動到風(fēng)險管控的歷程，并且需要考慮加快這一進程，在技術(shù)防護體系落地以后通過運營不斷完善和改進。

其次，從安全本質(zhì)來看，數(shù)據(jù)安全防護應(yīng)回歸到對抗的本質(zhì)。企業(yè)和機構(gòu)需要將數(shù)據(jù)安全防護的重心從外部攻擊者防護轉(zhuǎn)向?qū)ν夥雷o對內(nèi)審計。從2020年內(nèi)發(fā)生的數(shù)據(jù)安全相關(guān)事件來看，有幾類典型事件需要我們關(guān)注，一是某醫(yī)院內(nèi)部人員泄露就診人員信息，引起疫情相關(guān)謠傳;二是某銀行泄露個人賬戶交易信息;三是某離職員工為泄私憤刪除公司核心數(shù)據(jù)。這幾類事件都不是傳統(tǒng)意義上的外部攻擊事件，都是內(nèi)部人員濫用、誤用造成的數(shù)據(jù)泄露事件。

最后，數(shù)據(jù)安全防護體系其實是個雙循環(huán)的體系，應(yīng)采用同步規(guī)劃、同步建設(shè)、同步使用的“三同步”原則做好數(shù)據(jù)安全的防護。不僅要建設(shè)安全防護與保障體系，也要加強數(shù)據(jù)與業(yè)務(wù)系統(tǒng)安全屬性。

《數(shù)字經(jīng)濟》雜志：企業(yè)在數(shù)據(jù)應(yīng)用過程中，該如何保護數(shù)據(jù)安全？個人又該怎樣保護自身隱私？

趙偉：對企業(yè)來說，保護數(shù)據(jù)安全是一個體系化的工作，并非是用幾個安全產(chǎn)品就能將問題解決。網(wǎng)絡(luò)空間隨時都在動態(tài)變化，那么數(shù)據(jù)安全保護的方案也應(yīng)是動態(tài)化的。但是整體的思路可以說是萬變不離其宗，如確保數(shù)據(jù)訪問安全、身份認(rèn)證、數(shù)據(jù)分離、數(shù)據(jù)加密、數(shù)據(jù)部署的安全、內(nèi)部網(wǎng)絡(luò)安全、完善的備份體系等。這些思路，對所有企業(yè)都適用，只是落地到具體操作上，會有針對性的加強。

對個人而言自身的隱私保護也有很多工作要做。第一步，我認(rèn)為也是最重要的一步，就是明確個人隱私的重要性。你可能會說，現(xiàn)如今誰還不重視個人的隱私呢？但事情恰恰相反，大部分的普通人對個人的隱私還停留在很淺的認(rèn)識上，這樣就導(dǎo)致有時候隱私已經(jīng)泄露了卻還不自知。其次，在遇到需要填寫個人姓名、電話、身份證以及錄入人臉或指紋等生物信息時，要再三確認(rèn)第三方的合法性和安全性。當(dāng)然，這一點更需要我們的監(jiān)管部門加以督促，讓擁有大量用戶隱私的公司謹(jǐn)言慎行。

杜躍進：企業(yè)根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求，采用相應(yīng)的技術(shù)手段和產(chǎn)品保護安全。以《數(shù)據(jù)安全法（草案）》規(guī)定的數(shù)據(jù)分類分級為基礎(chǔ)，強化內(nèi)部數(shù)據(jù)保護宣傳，加強特權(quán)賬號管理、核心操作審計。在高權(quán)限用戶的關(guān)鍵數(shù)據(jù)操作環(huán)節(jié)增加復(fù)核審批操作，以防人為誤操作，提升內(nèi)部用戶行為分析、回溯能力。從流量、終端、應(yīng)用各方面建立數(shù)據(jù)安全能力機制，并通過實網(wǎng)攻防演練以及安全應(yīng)急響應(yīng)，及時改進公司中存在的風(fēng)險并在一旦發(fā)生安全事件后，及時響應(yīng)，做出最合適的反應(yīng)措施，從而把損失降低到最小，而不會手足無措。

個人按照《個人信息保護法（草案）》和GB/T 35273-2020《個人信息》的相關(guān)內(nèi)容做好個人隱私保護。個人需要盡可能少地披露非必要信息，對個人敏感信息更應(yīng)該多加保護。個人在下載、安裝手機應(yīng)用時，要仔細閱讀用戶協(xié)議，了解自己擁有那些隱私權(quán)力。對自己的財產(chǎn)、健康生命、生物識別、身份等重要信息妥善保管。當(dāng)然，當(dāng)個人信息受到嚴(yán)重侵害時也要拿起法律武器維護權(quán)力。

葉曉虎：企業(yè)在數(shù)據(jù)應(yīng)用過程中的數(shù)據(jù)安全，需要有一個重度的轉(zhuǎn)變——要重點關(guān)注的是內(nèi)部風(fēng)險，除敏感數(shù)據(jù)的泄漏，還要保護數(shù)據(jù)不被篡改、不被誤用。在數(shù)據(jù)應(yīng)用過程中保護數(shù)據(jù)安全首要應(yīng)建立針對數(shù)據(jù)全生命周期的流轉(zhuǎn)監(jiān)控能力，要能夠識別訪問數(shù)據(jù)的人員異常行為和異常流轉(zhuǎn)趨勢，還要建立數(shù)據(jù)質(zhì)量監(jiān)控的手段。

對于個人隱私的保護，從個人角度來講，是一個安全意識、維權(quán)意識以及維權(quán)手段等多方面綜合素質(zhì)能力的體現(xiàn)。舉例來說，個人面對隱私信息被采集時，要有充分的安全意識，明確個人信息采集方的采集目的、用途、傳播范圍、留存時限等基本承諾，還應(yīng)深入關(guān)注個人信息采集方有哪些相應(yīng)的數(shù)據(jù)保護措施。并且在個人信息采集方無法公開或承諾相應(yīng)的安全職責(zé)時，應(yīng)能夠有效應(yīng)用合法合理的手段進行個人隱私保護，以及訴諸法律途徑以尋求解決。

《數(shù)字經(jīng)濟》雜志：一個科學(xué)合理的數(shù)據(jù)安全建設(shè)體系應(yīng)該是怎樣的？在這方面，貴企業(yè)是如何深耕布局的？

葉曉虎：我們認(rèn)為未來數(shù)據(jù)安全體系應(yīng)該是一個雙循環(huán)體系，第一個循環(huán)圍繞著系統(tǒng)建設(shè)和改進時期的幾個環(huán)節(jié)，主要是基于安全風(fēng)險對抗模型和數(shù)據(jù)分類分級制定安全防護策略、制定系統(tǒng)開發(fā)的安全規(guī)范與標(biāo)準(zhǔn)，基于數(shù)據(jù)安全測試用例進行黑白盒測試、上線前檢查等。第二個循環(huán)是建立IPDR安全保障體系，圍繞著數(shù)據(jù)使用，對數(shù)據(jù)資產(chǎn)變更、數(shù)據(jù)流轉(zhuǎn)和使用，識別異常行為和高風(fēng)險事件并進行研判及處置。我們認(rèn)為未來數(shù)據(jù)安全保障不能僅僅依賴于技術(shù)體系，還需要依賴于安全運營能力和系統(tǒng)的安全設(shè)計與實現(xiàn)能力。

2020年我們在布局上重點考慮兩方面內(nèi)容，一方面是技術(shù)體系，將現(xiàn)有的產(chǎn)品能力與安全管理平臺深度整合，適配各類環(huán)境，滿足合規(guī)、訪問與權(quán)限控制、分級分類管控、流轉(zhuǎn)監(jiān)控等場景與需求。另外一方面是服務(wù)體系布局，一是通過將安全開發(fā)服務(wù)、數(shù)據(jù)安全評估與分類分級服務(wù)標(biāo)準(zhǔn)化，滿足市場需求。二是通過安全運營與技術(shù)體系適配，確保技術(shù)體系發(fā)揮價值，幫助客戶實現(xiàn)數(shù)據(jù)安全事件閉環(huán)處置。

杜躍進：從政府視角，應(yīng)該構(gòu)建一個正向驅(qū)動的數(shù)據(jù)安全治理體系。當(dāng)數(shù)據(jù)成為生產(chǎn)要素，流通、共享和協(xié)同成為數(shù)據(jù)的重要特征時，需要根據(jù)其自身屬性進行分類分級時，對提供及獲取數(shù)據(jù)的企業(yè)或組織進行分級管理就變得十分關(guān)鍵。政府建立多部門數(shù)據(jù)共享流通促進大數(shù)據(jù)利用的機制時，可以通過組織的數(shù)據(jù)安全能力成熟度級別決定允許數(shù)據(jù)流動的方向，從而實現(xiàn)總體數(shù)據(jù)安全風(fēng)險可控。在數(shù)據(jù)共享、轉(zhuǎn)移、交易等過程中，法律可以規(guī)定數(shù)據(jù)擁有者有義務(wù)要求數(shù)據(jù)接受者提供自己足夠的數(shù)據(jù)安全能力成熟度水平，從而避免數(shù)據(jù)在流動過程中進入安全更差的組織，從而減少數(shù)據(jù)流動導(dǎo)致的安全失控。

基于數(shù)據(jù)安全能力成熟度模型（DSMM），從組織建設(shè)、制度流程、人員能力和技術(shù)工具四個方面對企業(yè)或組織進行數(shù)據(jù)安全能力成熟度等級劃分，從而在數(shù)據(jù)和數(shù)據(jù)處理者之間建立正相關(guān)關(guān)系，來整體推進業(yè)界的數(shù)據(jù)安全能力。在數(shù)據(jù)變成生產(chǎn)要素的當(dāng)今時代，一個組織擁有更高的數(shù)據(jù)安全能力成熟度等級，無疑將擁有獲得更多數(shù)據(jù)的機會，這使得做好數(shù)據(jù)安全不再是成本，而是成為組織發(fā)展的機會。

360參與大數(shù)據(jù)安全國家工程實驗室和貴州大數(shù)據(jù)安全工程研究中心的相關(guān)工作，依托這些多方共建的權(quán)威機構(gòu)，開展DSMM培訓(xùn)、測評、認(rèn)證業(yè)務(wù)，建立DSMM產(chǎn)業(yè)生態(tài)，與合作伙伴共同推進基于DSMM的數(shù)據(jù)安全治理體系建設(shè)。開展數(shù)據(jù)安全咨詢服務(wù)業(yè)務(wù)。開發(fā)數(shù)據(jù)安全相關(guān)產(chǎn)品。把不同階段從不同角度面臨的風(fēng)險放到一起進行綜合考慮，建立強調(diào)整體而不是某個環(huán)節(jié)安全能力。為客戶提供的是管理和產(chǎn)品相結(jié)合的一整套的數(shù)據(jù)安全服務(wù)。

趙偉：科學(xué)合理的數(shù)據(jù)安全建設(shè)體系，需要解決三大痛點問題：數(shù)據(jù)訪問風(fēng)險、數(shù)據(jù)流動風(fēng)險以及數(shù)據(jù)運維風(fēng)險。具體來說，數(shù)據(jù)訪問的風(fēng)險有：缺乏統(tǒng)一賬號管理、缺失身份認(rèn)證管理、數(shù)據(jù)授權(quán)能力弱;數(shù)據(jù)流動的風(fēng)險有：缺乏審計溯源能力和數(shù)據(jù)保護能力弱;數(shù)據(jù)運維風(fēng)險有：數(shù)據(jù)管理成本大、運維行為缺乏監(jiān)督、高危操作缺乏管控。

知道創(chuàng)宇作為國內(nèi)首批從事云防御的網(wǎng)絡(luò)安全企業(yè)之一，十年前就已經(jīng)確立了大數(shù)據(jù)安全防御的概念。立足網(wǎng)絡(luò)空間測繪和云防御SaaS服務(wù)，為客戶在線業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)邊界提供AI高級防御。

十年來，知道創(chuàng)宇一直致力于對安全大數(shù)據(jù)的實踐應(yīng)用研究，成立之初，我們就持續(xù)聚焦以大數(shù)據(jù)、人工智能為核心，來解決網(wǎng)絡(luò)安全問題。

《數(shù)字經(jīng)濟》雜志：工程交付是目前被業(yè)界普遍忽略的痛點問題，貴公司在這方面是如何布局的？

葉曉虎：目前綠盟科技在布局上主要包含以下幾方面：

一是加強校企合作，通過實踐課程聯(lián)合開發(fā)、實習(xí)基地、培訓(xùn)認(rèn)證、組織安全賽事等方式縮短安全工程人才從理論到實踐的培養(yǎng)周期。

二是為合作伙伴賦能，通過建設(shè)培訓(xùn)體系與認(rèn)證體系，擴大工程交付的覆蓋能力。

三是通過工程服務(wù)標(biāo)準(zhǔn)化和工具開發(fā)，降低工程人員的要求，提升交付質(zhì)量。

趙偉：交付涉及到的數(shù)據(jù)往往十分龐大且流程繁雜，中間容易暴露出安全問題。供應(yīng)商在進行工程交付的過程中，必然會深入業(yè)主的業(yè)務(wù)流程，同時開發(fā)交付過程中，也必然會接觸測試數(shù)據(jù)。軟件交付項目通常會涉及到使用開源軟件，而開源軟件需要不斷升級維護，客戶由于資源所限，通常無法完全跟蹤所有使用的開源軟件，交付后的維護工作存在大量隱患。此外，如果交付項目是一個集成項目，那么還會涉及多個供應(yīng)商，更增加了相關(guān)的數(shù)據(jù)安全風(fēng)險。

因此，交付項目需要在方案設(shè)計階段就從多方面考慮安全問題。第一，接入客戶的認(rèn)證系統(tǒng)。當(dāng)前企業(yè)軟件有數(shù)種身份認(rèn)證體系，例如微軟安全御、LDAP、OpenID等，交付項目應(yīng)該根據(jù)實際情況接入客戶原先的認(rèn)證系統(tǒng)，避免本地認(rèn)證，尤其是管理員賬號的本地認(rèn)證。同時，如果必要，還要加上多因子認(rèn)證，確保項目交付之后不遺留用戶身份認(rèn)證后門。第二，遵循安全開發(fā)流程SDL，同時根據(jù)業(yè)務(wù)實際情況，構(gòu)造測試數(shù)據(jù)而不是直接使用真實數(shù)據(jù)進行測試。第三對使用的開源軟件做好配置管理，并實時跟蹤相關(guān)軟件的漏洞與補丁信息，做好安全性漏洞應(yīng)急預(yù)案。第四，做好安全風(fēng)險計劃。針對項目的每個環(huán)節(jié)梳理安全風(fēng)險并制定應(yīng)對方案，確保安全事件發(fā)生時，能夠及時控制影響。第五，建立零信任網(wǎng)絡(luò)，確保每次數(shù)據(jù)訪問都是經(jīng)過合理授權(quán)的。第六，關(guān)注開源安全情報，除了之前提到的開源軟件漏洞之外，還需訂閱關(guān)于自身數(shù)據(jù)安全事件的情報，并及時處置。最后，選擇有安全集成資質(zhì)的集成商。

《數(shù)字經(jīng)濟》雜志：數(shù)字經(jīng)濟時代，數(shù)據(jù)已成為與勞動、資本、土地、知識、技術(shù)、管理等并列的生產(chǎn)要素，如何進行數(shù)據(jù)安全創(chuàng)新？

杜躍進：首先，要意識到數(shù)據(jù)安全是個全新的問題，不能照搬之前的經(jīng)驗。IT時代的安全主要是從信息系統(tǒng)和網(wǎng)絡(luò)的角度關(guān)注的，數(shù)字經(jīng)濟時代關(guān)注的是DT（數(shù)據(jù)技術(shù)）和數(shù)字化之后的OT（業(yè)務(wù)技術(shù)）的安全。數(shù)據(jù)的存在形態(tài)、流動方式和頻率、使用和交換方式、不同利益相關(guān)方關(guān)注的問題等等，都和過去完全不同。同時數(shù)字經(jīng)濟時代還在快速發(fā)展變化中，新技術(shù)新業(yè)務(wù)會不斷出現(xiàn)，新的威脅手段也會層出不窮。數(shù)據(jù)安全可以參考但是完全不能依賴原來的經(jīng)驗。

第二，要調(diào)動產(chǎn)業(yè)界積極性，從產(chǎn)業(yè)中來到產(chǎn)業(yè)中去。數(shù)字經(jīng)濟在很多方面還處在探索期，產(chǎn)業(yè)界對數(shù)據(jù)是如何使用的、數(shù)據(jù)安全究竟遇到哪些痛點其實是最了解的。只有充分調(diào)動產(chǎn)業(yè)界的積極性，才能制定出更加切合實際的法律政策或標(biāo)準(zhǔn)技術(shù)：只有從產(chǎn)業(yè)中來到產(chǎn)業(yè)中去，才能不斷調(diào)整和優(yōu)化數(shù)據(jù)安全的最終效果。

第三，要鼓勵開放創(chuàng)新平臺，發(fā)動社會智慧。鼓勵通過國家工程實驗室或其他形式的開放創(chuàng)新平臺，實現(xiàn)專家、問題、場景和資源等的匯聚，并調(diào)動廣大社會力量一起參與數(shù)據(jù)安全創(chuàng)新。不同行業(yè)和領(lǐng)域的數(shù)據(jù)安全問題有很大差異性，要鼓勵更多行業(yè)和領(lǐng)域參與到創(chuàng)新中。

第四，要加強國內(nèi)外和跨行業(yè)交流，不斷總結(jié)迭代。數(shù)據(jù)安全問題服務(wù)于數(shù)字經(jīng)濟的發(fā)展，非常復(fù)雜，涉及戰(zhàn)略政策、法律標(biāo)準(zhǔn)、技術(shù)產(chǎn)品、學(xué)術(shù)教育等多個方面。之前不同的領(lǐng)域相互之間交互比較少，互相并不理解，未來需要加大跨行業(yè)的交流，并且加強國內(nèi)外的交流，才能實現(xiàn)整體上更加科學(xué)合理的數(shù)據(jù)安全創(chuàng)新。

葉曉虎：我們認(rèn)為數(shù)據(jù)安全創(chuàng)新有幾個核心要素，一是數(shù)據(jù)安全頂層設(shè)計中對數(shù)據(jù)安全內(nèi)涵與外延的定義。二是數(shù)據(jù)安全攻防與對抗，數(shù)據(jù)安全對抗主體包括攻擊者、內(nèi)部違規(guī)違法人員、情報人員，整個數(shù)據(jù)安全體系建設(shè)和技術(shù)創(chuàng)新需要圍繞對抗主體和場景。三是技術(shù)革新，類似于同態(tài)加密、聯(lián)邦計算等數(shù)據(jù)可用不可見技術(shù)的革新和演進，對數(shù)據(jù)安全體系帶來顛覆式的影響。四是場景和環(huán)境，技術(shù)體系與運維體系實施需要適配數(shù)據(jù)所處的環(huán)境。

趙偉：數(shù)據(jù)作為生產(chǎn)要素的重要作用日益凸顯，以數(shù)字經(jīng)濟為代表的新經(jīng)濟成為經(jīng)濟增長新引擎。數(shù)據(jù)要素作為數(shù)字經(jīng)濟最核心的資源，具有可共享、可復(fù)制、可無限供給等特點，這些特點打破土地、資本等傳統(tǒng)生產(chǎn)要素有限供給對經(jīng)濟增長推動作用的制約。與土地、資本等傳統(tǒng)生產(chǎn)要素相比，數(shù)據(jù)要素對推動經(jīng)濟增長具有倍增效應(yīng)。

正如聯(lián)合國發(fā)布的數(shù)據(jù)創(chuàng)新議題所說：數(shù)據(jù)革命，包括開放的數(shù)據(jù)移動、眾包的興起、新數(shù)據(jù)收集信息通信技術(shù)的涌現(xiàn)、大數(shù)據(jù)可用性的爆炸式提高以及人工智能和物聯(lián)網(wǎng)的出現(xiàn)，正在改變社會。計算和數(shù)據(jù)科學(xué)的進步，使得實時處理和分析大數(shù)據(jù)變成了現(xiàn)實。

據(jù)調(diào)查顯示，國外數(shù)據(jù)安全保護的產(chǎn)品中，有一大類是針對用戶個人隱私訪問控制和合規(guī)處理的，而這類產(chǎn)品在國內(nèi)卻寥寥無幾。這和國內(nèi)外的立法進度差異息息相關(guān)。數(shù)據(jù)安全同樣會隨著數(shù)據(jù)基礎(chǔ)設(shè)施和數(shù)據(jù)安全法規(guī)逐步演進，參考國外我們現(xiàn)在有大量的創(chuàng)新機會。

《數(shù)字經(jīng)濟》雜志：請您談一談對目前數(shù)據(jù)安全行業(yè)的看法。有人認(rèn)為協(xié)同聯(lián)動是未來安全的方向，您認(rèn)為這個行業(yè)的未來趨勢是什么？

趙偉：安全是基礎(chǔ)技術(shù)，它在保護整個社會，尤其是未來的賽博空間社會，它需要的是真正的核心技術(shù)，比拼的就是核心技術(shù)的投入?，F(xiàn)目前，數(shù)據(jù)安全行業(yè)也在不斷涌現(xiàn)新的技術(shù)，例如同態(tài)加密、數(shù)據(jù)溯源、數(shù)據(jù)匿名化、數(shù)據(jù)訪問管理、量子加密、主動數(shù)據(jù)防御、數(shù)據(jù)托管、區(qū)塊鏈數(shù)據(jù)管理等。

人工智能、區(qū)塊鏈、加密技術(shù)是企業(yè)數(shù)據(jù)安全的未來。人工智能、區(qū)塊鏈和加密技術(shù)可能導(dǎo)致在企業(yè)網(wǎng)絡(luò)上發(fā)現(xiàn)、存儲、共享和偽裝敏感數(shù)據(jù)方面的安全進度，可以預(yù)見的是，采用這些技術(shù)并著眼于數(shù)據(jù)安全的企業(yè)，將在這場游戲中處于領(lǐng)先地位。

展望未來，全球企業(yè)對于數(shù)據(jù)安全保護的需求將持續(xù)攀升，越來越多的新興技術(shù)將催生新興安全市場，進一步驅(qū)動數(shù)據(jù)安全與網(wǎng)絡(luò)安全行業(yè)重構(gòu)，賦能安全行業(yè)新價值，為個人隱私保護和數(shù)據(jù)信息安全保駕護航。

杜躍進：數(shù)據(jù)安全行業(yè)目前還處于快速發(fā)展階段，有大量場景下的大量問題還有待解決。因此國內(nèi)外大家都很看好這個行業(yè)，但同時這個行業(yè)都還處于發(fā)展的早期，機會和挑戰(zhàn)都很大。

協(xié)同聯(lián)動并不是數(shù)據(jù)安全專門的方向，而是整個大安全的根本方向。這是因為，安全的本質(zhì)是人和人的對抗，隨著攻擊者越來越有組織有計劃有目標(biāo)、攻擊者擁有的資源等戰(zhàn)略優(yōu)勢日益突出、數(shù)字經(jīng)濟時代的業(yè)務(wù)和數(shù)據(jù)交融復(fù)雜度急劇上升等，防守方再也無法用原來的方法靠單打獨斗來應(yīng)對安全威脅了。協(xié)同聯(lián)動是唯一的出路。

但是，實現(xiàn)高效的協(xié)同聯(lián)動，需要克服很多困難。

一方面是數(shù)據(jù)安全問題。和所有其他的業(yè)務(wù)一樣，安全也需要數(shù)據(jù)驅(qū)動。協(xié)同聯(lián)動需要用到別人的數(shù)據(jù)，但是大家又擔(dān)心這個過程中自己的數(shù)據(jù)被泄露，這就是典型的大數(shù)據(jù)濫用和誤用問題。

另一方面是機制和利益的問題。現(xiàn)實中大家分工不同、利益不同，通過協(xié)同聯(lián)動的方式來應(yīng)對安全威脅，不可回避的問題是最后的價值如何計算和平衡的問題。

然而客戶會越來越明白，那些不能真正實現(xiàn)協(xié)同聯(lián)動的方案，最終是不能滿足客戶的安全需求的。安全行業(yè)最終還是會從產(chǎn)品導(dǎo)向轉(zhuǎn)向能力導(dǎo)向，從合規(guī)評估轉(zhuǎn)向最終對抗效果的評估。

葉曉虎：協(xié)同聯(lián)動是未來的方向之一，用大數(shù)據(jù)技術(shù)來支撐數(shù)據(jù)安全能力。這里的大數(shù)據(jù)既是海量的也是多源的——網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、服務(wù)等等這些對象產(chǎn)生的數(shù)據(jù)拉通聯(lián)動，通過大數(shù)據(jù)的建模分析來做安全風(fēng)險的挖掘，感知于未然，便是協(xié)同聯(lián)動的精髓之一。除此之外，數(shù)據(jù)安全會是多領(lǐng)域安全的融會貫通和深化升華，也可以認(rèn)為未來數(shù)據(jù)安全應(yīng)該是生態(tài)化的。其實現(xiàn)在我們就已經(jīng)看到這樣一個事實，不再有任何一種產(chǎn)品能夠解決各種場景下的數(shù)據(jù)安全問題，也很難有一家安全企業(yè)能夠生產(chǎn)出解決所有場景下數(shù)據(jù)安全問題的產(chǎn)品。

責(zé)任編輯：金燁