深度關注|如何筑牢數字安全屏障

　　9月26日，2021年世界互聯網大會烏鎮峰會開幕。習近平總書記在賀信中強調，筑牢數字安全屏障，讓數字文明造福各國人民，推動構建人類命運共同體。

　　新一輪信息革命浪潮下，以5G、大數據、物聯網、人工智能等新技術為驅動，數字經濟成為國民經濟發展最快、競爭最激烈、創新最活躍的領域之一，信息化對經濟社會的引領作用更加明顯。

　　世界百年變局和世紀疫情交織疊加的新時代背景下，我國網絡安全面臨哪些新的風險？筑牢數字安全屏障有哪些有效手段？如何統籌好安全和發展的關系，持續釋放數據資源紅利？記者采訪了中國移動通信集團有限公司副總經理、首席網絡安全官李慧鏑，奇安信集團董事長齊向東，之江實驗室智能網絡研究院執行院長張汝云等多位2021年世界互聯網大會烏鎮峰會與會嘉賓。

　　網絡空間安全風險正加速向現實世界滲透，6G面臨的安全攻擊更加多樣性和智能化

　　隨著數字技術進入系統創新和智能引領的重大變革期，信息基礎設施加速向高速率、全覆蓋、智能化方向發展，相伴而生的非傳統安全問題愈發凸顯，網絡威脅與傳統威脅的融合交織對國家安全產生深刻影響，網絡空間安全風險正加速從虛擬空間向現實世界滲透擴散。

　　記者：世界百年變局和世紀疫情交織疊加的新時代背景下，我國網絡空間面臨哪些新的安全風險？

　　李慧鏑：大數據、物聯網、人工智能等新興技術助力數字化業務轉型升級的同時，也暴露出全新的安全風險。近年來，國內外已發生多起不法分子運用人工智能技術實施自動化網絡攻擊、利用海量物聯網終端實施DDoS（分布式拒絕服務）攻擊，造成大面積網絡癱瘓等嚴重安全事件。作為新一代移動通信技術演進的重要方向，6G網絡在新技術、新網絡、新業務等方面也面臨全新的安全風險。

　　張汝云：新冠肺炎疫情加劇了世界的不確定性，給芯片等關鍵元器件的產業鏈供應鏈安全帶來嚴峻挑戰。由于西方國家在網絡信息產業領域具有技術優勢，我國在網絡基礎設施產業鏈引入了大量西方技術和設備，很難做到全產業鏈自主可控。其次，技術的自主可控并不代表自主安全。由于人類技術發展和認知水平的階段性特征，即使實施自主技術，軟硬件自帶的漏洞和缺陷也可能會造成關鍵基礎設施安全問題。

　　隨著數據監管法律體系不斷完善，加強個人隱私保護需要數據處理者明確責任、創新技術、加強監管

　　9月1日，《中華人民共和國數據安全法》正式施行，連同已經實施的《中華人民共和國網絡安全法》和即將于11月1日實施的《中華人民共和國個人信息保護法》，共同構建起我國數據監管法律體系，三部法律明確了監督管理職責，特別是數據管理者、運營者以及個人信息處理者的數據保護責任。

　　記者: 相關法律法規出臺后，對原來已有的經濟運行規則、企業運營方式和理念帶來哪些變化？如何落實好這些制度規定？

　　李慧鏑：數據安全法的一個重要特征就是建立數據分類分級保護制度。中國移動建立了以數據安全管理辦法為核心，涵蓋數據分類分級、數據安全評估、大數據安全管理等在內的“1+N”制度體系，對用戶個人信息的收集使用范圍、使用原則以及收集使用的規范性進行明確要求，確保做到用戶“知情同意”，并符合“最小必要”原則。對涉及用戶個人信息等關鍵數據的系統平臺，實施“金庫模式”，使用客戶信息模糊化等管控技術。

　　齊向東：對于個人信息保護領域屢被詬病的APP過度索權問題，數據安全法、個人信息保護法均作出相關規定，應用提供商應充分掌握在什么場景下，調用哪些權限是合規的，哪些權限是不合規的。這也要求第三方安全公司依據政府部門頒布的法律文件和規范要求，對企業APP隱私數據保護合規情況進行檢測評估，形成隱私合規評估報告，提供整改建議，協助其通過相關認證。

　　區塊鏈、隱私計算技術有助于破解數據安全與數據流通難題

　　隨著相關法律制度的完善，我國數據要素市場全面進入“依法治理、有序發展”新階段，但在數據合規的強監管下，如果數據擁有方不敢、不愿、不能共享，數據要素價值便難以發揮出來。有效平衡數據安全與數據流通問題，離不開關鍵技術的應用與突破。

　　記者：數據安全防護領域目前有哪些技術？在加強網絡安全領域關鍵技術的自主創新方面，國內有哪些探索和成果？

　　張汝云：數據安全防護的難點在于如何在打破“數據孤島”的要求下，充分保護數據安全。數據作為生產要素，就必須要解決確權、流通和隱私保護問題。其中，確權問題是基礎。

　　區塊鏈技術為數據確權和數據流轉問題提供了解決方案。在數據確權方面，區塊鏈結合了數據暗水印等技術，將數據和數據憑證緊密結合后再“上鏈”，其可信度更高；在數據安全流轉方面，通過區塊鏈智能合約和屬性基加密等技術，能實現可監管的數據安全流轉和多種模式流轉，從而更加安全。

　　齊向東：隱私計算是破解數據利用和數據安全這對矛盾的重要途徑。我們基于方濱興院士提出的“數據不動程序動，數據可用不可見”的技術理念，推出“數據交易沙箱”，以安全分離學習技術為核心，具備開放式機器學習工作臺、數據操作追溯審計、數據置換、沙箱計算容器和反隱私隱藏等多種功能，此外，還能在嚴格管控數據訪問權限的基礎上，支持對接多種數據源，確保數據所有權和使用權分離，做到只分享數據價值而不分享數據本身。

　　統籌好數字安全和發展的關系，需做好紅線意識和安全流動兩篇文章

　　從近些年立法與監管進程不難看出，兼顧“既要保護又要開發”“既要安全又要發展”一直是數據安全治理的核心理念。筑牢數字安全屏障，必須要統籌好二者的關系。

　　記者：在我國數字化深入發展的趨勢下，應如何平衡好安全和發展的關系，讓數據資源的紅利持續釋放？

　　李慧鏑：首先，隨著數據挖掘、收集等行為的日益頻繁、深入，網絡中海量數據的存在形態也由散在變為高度集中，新技術的應用使網絡安全面臨新的挑戰，需不斷提升安全技術水平。其次，在各類新技術的推動下，工業、農業、金融等傳統行業正加速與網絡融合，會產生前所未有的新業態，要統籌好新業態與安全邊界拓展之間的關系，提升安全理論素養。再者，移動互聯網的快速發展延伸了人們的聽覺、視覺、觸覺，擴大了交流的廣度和深度，也需要提升安全應對能力。

　　齊向東：網絡安全是伴生性技術，網絡安全不會約束數字化和信息化，要平衡數據隱私安全與大數據產業發展，應做好紅線意識和安全流動兩篇文章。

　　第一篇文章是定制度，守好數據安全的三道紅線，即APP采集紅線、數據跨境流動紅線、數據儲存和保護紅線。今年，工信部、國家網信辦等相關部門已經通報、下架大量違規收集用戶數據的APP，取消數千家備案網站平臺。數據運營商作為數據活動的處理者，必須嚴格遵守相關法律，承擔保護數據安全的責任。

　　第二篇文章是建系統，守護數據安全流動。數字經濟發展需要數據安全流動，在這個過程中，一個單點失陷就可能導致重要數據泄露，帶來嚴峻威脅。應從及時預警和處理、特權賬號安全管理、郵件威脅檢測系統、審查供應鏈、防止勒索攻擊的內生安全框架等方面建立起完備體系，將數據安全流動和數據價值發揮相結合，真正助推大數據產業發展。（本報記者 侯顆 黃秋霞）