一場遠超以往的數字安全和治理危機，正朝我們撲面而來。

【1】

5月27日，美國國土安全部發布了該國針對管道部門的首個網絡安全規定。該規定要求，管道公司對當前的安全措施進行審查，并在30天內向相關部門匯報審查結果。

在此之前，美國最大的燃油燃氣管道運營商之一：科洛尼爾管道運輸公司，5月7日遭遇黑客組織入侵，并被勒索贖金，不得不關閉了一條關鍵運輸管道，影響了美國東海岸45％的燃油供應，甚至全美17個州和華盛頓特區都因此進入緊急狀態。

5天后，美國總統拜登簽署《關于加強國家網絡安全的行政命令》，要求以強制推行零信任架構、加強供應鏈安全、成立網絡安全審查委員會等“大膽的舉措”，來提升美國政府面對網絡威脅的整體抵御能力。

這一事件背后，是網絡安全領域一個新的風向標：

隨著工業互聯網、大數據、云和人工智能的廣泛普及，從政府到企業，從經濟到民生，都正在全面轉向數字化、網絡化，數據也已成為全新的戰略性基礎資源和新型生產要素。

如果說，過去的網絡安全，風險主要集中在信息本身；那么，未來的網絡安全問題，已經越來越多地對現實世界產生巨大威脅。

2009年，美國通過“震網”病毒，對伊朗核設施發動網絡攻擊。作為全世界第一起國家級的網絡攻擊，震網事件讓外界意識到，“數字炸彈”同樣可以摧毀工業實體。

此后，這一邏輯已得到越來越多的證實。

比如，2015年，由于黑客的入侵與破壞，烏克蘭電力系統主控電腦被癱瘓，導致烏克蘭約1／4的變電站停止供電長達6個小時。

這為黑客們指明了一條全新的劫掠道路。

從2017年的WannaCry，到2021年的incaseformat，從宏碁、臺積電、富士康被勒索，到此次美國的管道運輸中斷，網絡勒索越來越產業化，并且越來越有針對性。

與通過復雜的地下黑產鏈條洗劫網民相比，對數字化產業實體的攻擊，更加簡單、粗暴、高效。

《2020數據泄露調查報告》也顯示，全球去年數據泄露事件多達3950起，同比增長96％，在受影響行業中，醫療、金融保險和制造業排名前三。

面對新的威脅，我們的網絡數字安全體系必須有所變革。

那么，我們面臨的網絡安全威脅有哪些變化？我們已經做了哪些工作？下一步應該如何應對？

最近，參加了第四屆中國數據安全治理高峰論壇等多場與網絡安全有關的會議，并與一些業內專家有進行交流�，F在，將一些主要的觀點，做了一個簡單的加工整理：

【2】

先看一下當前的形勢，以及我們面臨的一些主要問題。

中國保密協會副會長 紀清陽：

這些年來，我們在保密領域始終處于戰略被動：計算機的出現，我們如臨大敵；移動存儲的出現，我們如臨大敵；網絡的廣泛應用，我們同樣如臨大敵．．．此外，大數據、人工智能、云計算也都給保密工作帶來了深深的焦慮。未來，伴隨更多新的信息技術出現，肯定還會給我們帶來更多新的困惑。

戰略被動的原因在于，我們的信息在“裸奔”。

中國現在有最好的密碼專家，我們有最新的編碼技術和思想，但是我們對密碼的應用還相對較弱，缺少強大的產業，應用始終跟不上。這是當前中國數據安全的一個重大短板。

中國計算機學會抗惡劣環境計算機專委會榮譽主任 劉愛民：

要立足長遠，建立一個數據安全的護城河，不能僅停留在各行業數據應用企業的內部，更要上升到國家安全的維度。

當前，包括操作系統、數據庫、信息化終端設備產品的核心硬件，絕大多數都是由外國廠商提供的，并且在國內主要或重大行業都有所應用，解決關鍵技術“卡脖子”的問題迫在眉睫。

大數據安全協同技術國家工程實驗室副主任 鐘力：

在數字經濟時代，數據成為驅動一切的基礎，這為數據安全帶來了很多新挑戰：

過去的很多數據安全解決方案，都局限在一個系統、一個數據庫，或是一個網站里，在數據流動的今天，這種解決方案已經力不從心。

比如，一組數據經過了脫敏，可能就被認為是安全的；但通過大數據分析以后，卻能夠把敏感的內容再恢復出來。

此外，數據被竊取、加密勒索、內鬼泄露、合規挑戰，包括針對大數據分析的數據投毒、數據污染等情況，都是典型的數據安全威脅。

安華金和科技有限公司創始人＆CEO 劉曉韜：

數據安全治理可以分為國家、行業和企業三個層面。

國家層面，法規制度建設已經在推進中；行業層面，金融、運營商和政府側跑的速度比較快；但在企業的落地層面，目前困擾是最大的。

一方面，企業要促進數據共享，另一方面，他們又要去滿足合規性，這是巨大挑戰。

尤其是數據安全體系怎么建，大家都普遍還處于迷茫狀態：

一，數據分類分級非常復雜，既跟數據多樣性有很大關系，也跟數據規模有很大關聯。某些用戶數據庫一萬多個，能達到幾千萬個表，十幾億個字段，如何把分類分級的標簽打到具體的字段上，通過什么方式實現？落地的服務和技術手段都還存在挑戰。

二，隨著網絡安全與數據安全等概念的普及，各行業客戶大多配置了一些應對單一場景化的數據安全產品，包括防火墻、脫敏、審計、加密等數據安全等。但目前還缺乏統一化、平臺化的應用能力，尤其是多家公司的數據之間如何交互、流通、共享，實際上非常困難。

三，要做好整體性的數據安全運營，也還存在人才培養梯度上的挑戰。

四，隨著數據的共享流動，數據安全也需要在技術方面有所突破。比如隱私計算、多方計算、聯邦計算、聯邦學習等技術，現在都還處于技術發展的初期，真正實用化、產業化的程度還不是很高。

國家工業信息安全發展研究中心保障技術所研究總監 楊帥鋒：

工業互聯網數據貫穿其各個層面，是當前驅動整個智能化生產的重要引擎，是實現智能化運營的動力，也是工業互聯網創新發展的血液。

但從形勢上來看，針對工業互聯網領域的數據安全形勢卻非常嚴峻，從能源行業、交通行業，包括智能工廠，近年來都有安全事件發生。特別是勒索攻擊近年來非常猖獗，對工業數據的勒索攻擊已經成為當前一個重大威脅。

在大規模工業互聯網場景下，數據流量大，攻擊者的路徑多，可以從網絡端滲透到生產端，去竊取以往沒有暴露在互聯網中的工業數據；有的工業生產受限于網絡資源或計算資源，高強度加密措施難以適用，數據傳輸也可能會面臨泄露或遭竊聽。

同時，攻擊難度降低。不管是在工業主機還是工業數據庫、工業App上，只要任何一個環節存在漏洞或者后門，被攻擊者利用，都將讓黑客有機可乘。由于數據流動路徑和流轉方式更為多樣，對網絡攻擊的追蹤溯源難度也會變得更大。

此外，人工智能、大數據等新一代信息技術的應用也帶來了新的安全風險——工業數據集中匯聚到云端，會加大數據泄露的風險；攻擊者還可利用人工智能技術，結合更多關聯信息，通過數據挖掘技術，來獲取到敏感信息等等。

【3】

再來看看我們在頂層設計方面的思考與進展。

公安部網絡安全保衛局原局長 顧建國：

目前，已經發布和正在制定中的網絡安全相關標準，已有將近30部。

其中，包括以國標35273、個人信息安全規范為代表的一批個人信息保護和數據安全方面的標準，全面覆蓋了個人信息保護、生物特征識別技術、數據安全等要求，以及網上購物、即時通訊、網絡支付、網約車、音視頻服務、快遞物流服務等各個業務領域。

但是我們也應該承認，在數據安全技術方面，我們還存在著不少短板和差距。比如較為時髦的差分隱私保護、多方計算、同態加密等等，這還都是人家的東西，我們不能老是跟在別人后面，邯鄲學步，亦步亦趨，必須下大決心，加快自主創新的步伐，力爭在關鍵核心領域取得重要突破。

中國計算機學會計算機安全專委會榮譽主任，公安部第一、第三研究所原所長 嚴明：

我們的等級保護發展到現在，已經形成了四大有力的支撐支柱：

第一是法治定位�！毒W絡安全法》以法律形式明確了等級保護制度，并且規定了關鍵信息基礎設施保護，在等級保護的基礎上實行重點保護。

第二是技術標準。這些年來我們形成了相對完整且嚴謹的技術標準，支撐等級保護2．0一步步向前推進。

第三是隊伍建設。從網監到網絡安全保衛、網安，已經形成了一個相對成熟且具有管理和執法能力的專業警察隊伍。

四是技術服務。目前，全國已有200多個等級保護評測機構，下一步還將引進關鍵信息基礎設施保護的第三方技術服務隊伍。

下一步，數據治理如何與我們現有的信息化安全體制結合起來，是必須重點考慮并嚴格落實的一大問題。

北師大網絡法治國際中心執行主任、博導，中國互聯網協會研究中心副主任 吳沈括：

從歐盟GDPR，到美國云法案，再到2021年日、韓、印、新、南非等地區的新一代數據立法，數據安全的規則博弈一直在不斷升級。

我們可以從實際的案例中看到，不管是在美國，還是在歐洲，與數據相關的資產投資、出口管制，都已不再是一個假想，而是我們中國企業已經感受到的業務現狀。

在中國，從2015年的大數據綱要，到2020年關于“十四五”和2035年愿景目標的建議，數字化轉型已經成為一個不可逆的國家戰略部署。在不同層面，數據都已經成為我們工作的核心節點。

尤其是側重于數據安全的《數據安全法》，和側重于數據保護的《個人信息保護法》，都讓我們看到了很多立法者和國家層面的考慮：

第一，數據作為國家基礎性戰略資源，關系到國內發展，也關系到國際話語權。

第二，數據活動的全方位融合拓展和復雜的數據處理結構，給我們帶來新的機遇，同時伴生更高風險。

第三，以創新為主要引領和支撐的數字經濟，需要完善的數據治理體系予以保障。

第四，數字政府／電子政務的升級過程中，也亟待政務數據管理制度和開放利用規則的支撐。

在《數據安全法》二審稿當中，我們看到了五項重要的制度：

一，分級分類制度，包括未來各地區、各部門重要數據目錄的制定出臺。

二、數據安全風險管理制度和數據安全應急處理制度，為單個企業的風控合規提供了一個有效的指引

三，數據安全審查制度。

四，管制物項數據出口管制制度。從目前來說，數據出口管制其實已經不是一個假想，已經成為在目前的業務實際當中所要面對的問題。

五，數據安全國際對等制度。我們現在能看到企業在國內經營以及在海外擴展的過程當中，如何來預判不同的制度之間可能產生的沖突和協調，以及可能的解決方案，比如關于數據跨境流動領域的標準合同問題。在這方面，中國的立法設計和歐盟以及其他國家的立法設計之間已經產生了互動。

中國工程院院士 沈昌祥：

在數字化條件下，網絡安全已經從網絡空間擴展到物理空間。網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間。

面向未來，我們必須調整理念，從系統工程角度來解決數據安全問題，要構建一個主動免疫的網絡安全保障系統。

這個系統的目標，是實現“六不”防護效果：攻擊者進不去，非授權者重要信息拿不到，竊取保密信息看不懂，系統和信息改不了，系統工程癱不成，攻擊行為賴不掉。

工信部網絡安全產業發展中心副主任 李新社：

數據治理的根本的目的，不是治理，而是通過治理發展產業，推動經濟。

在2014年，工信部用的詞是信息安全，2018年，變為了網絡安全。未來，網絡安全一定要突破“網絡”兩個字的本意，把它看成一個空間、社會，從整體的安全角度來考慮這個問題，從產業大局面來考慮這個問題。

要進行數據治理，不能只談技術。數據安全的問題，歸根結底是個法律問題、管理問題，是經濟社會過去沒有碰到過的新問題，是全球所有國家在數據治理過程中同時要面對的問題。

在新型的社會構建過程中，從生產要素、構成環節、治理過程、治理方法、法律法規、人的要求，都在發生巨大的改變！接下來，所有現實社會的場景，都可能反映到信息數據治理之中。

【4】

最后看一下，在網絡安全落地過程中的一些實踐與思考：

中科院信息工程研究所大數據安全研究室主任、信息安全共性技術國家工程研究中心主任、研究員 王偉平：

大數據在提升國家治理能力和產業能力的同時，也給我們帶來了新的數據安全風險。零散的低價值數據經過聚合和挖掘，可能會產生新的數據價值。

與傳統的資產不同，數據從產生到銷毀是一個動態的生命周期。我們對整個生命周期的安全過程域進行了定義，從產生、傳輸、存儲、交換、處理和銷毀，以及一些通用的安全需求，定義了30個技術點，都有安全的問題需要考慮。

從數據資產的角度來看，整個數據安全治理體系還需要從數據資產的識別、分級分類以及數據的安全防護和安全監管三個方面，來構建完整的數據安全治理體系。

騰訊安全總經理王宇：

根據第三方數據，2020年的網絡犯罪數量，較2019年增長了300％，同時，有80％的公司和85％的遠程辦公用戶反映，受到了更多的網絡攻擊。

而從騰訊內部的監控數據來看，2020年受到的攻擊數量，是2019年的5．8倍；而個人設備的失陷率，是內網設備的18．6倍。

在遠程辦公場景中，個人設備已經成為一個薄弱環節，遠程辦公需求給企業帶來的安全問題，也已經成為企業網絡安全的一個新常態。

傳統的網絡架構也是我們說的邊界防御，它主要是以封堵圍的方式進行企業邊界保護，是一種護城河式的防御體系，但是一旦突破邊界，內部所有流量都是完全信任的，對于內部的訪問不會做任何的控制。

相比傳統的防護理念，零信任強調的是持續驗證和永不信任。它以身份安全為基礎，在這個過程當中融合多因子的持續校驗，做到最小化的授權。

這個體系的構建，是假設我們在一個被攻陷的網絡環境下，如何用多維度的數據去進行這樣的一個校驗，結合端到端的網絡加密。這是一個更加符合未來安全趨勢的理念。

安華金和聯合創始人兼副總裁 楊海峰：

過去兩年以來，我們在數據安全治理實踐落地的主要經驗是：數據需要全生命周期的、覆蓋各種業務場景的、體系化的防護。

我們所做的核心工作，是幫助客戶從管理、技術、運營等多個方面，建立一個完整的數據安全治理體系，實現對數據流動性的保護和監控。

針對數據的生產、采集、存儲、使用等各個環節，從數據庫側的訪問，到業務側的數據訪問，一直到終端側的訪問，我們建立起了一個完整的、聯動式的追蹤體系。從而幫助各行業客戶清楚知道數據的流向，實現對數據安全的持續保護，即使出現泄露，也知道數據泄露到哪里去了，知道應該如何追蹤、如何定責等等。

在這個過程中，最重要的不是提供基礎能力，而是通過我們持續的運營策略監督，來實現對數據安全治理專業、規范、易操作、可持續的落地。