酷应用

《数字经济》对话知道创宇赵伟安全保障数字经济

百家作者：知道创宇 2021-03-25 11:55:34

“加快数字化发展，打造数字经济新优势，协同推进数字产业化和产业数字化转型，加快数字社会建设步伐，提高数字政府建设水平，营造良好数字生态，建设数字中国。”3月5日，十三届全国人民代表大会第四次会议召开，李克强总理作政府工作报告时说。

今年是十四五规划的开局之年，加快数字化发展已是明确目标。迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。

当下数字经济已然成为了国家发展的重点方向，网络安全的重要性愈加凸显出来。在此背景下，知道创宇赵伟受邀参加了工信部旗下《数字经济》杂志创刊号的采访，在数据安全保护、个人隐私、数据安全体系建设等方向上给出了我们的思考。

《数字经济》杂志 & 知道创宇赵伟

对话数据安全

《数字经济》对话头条一：数据安全

《数字经济》杂志：

结合国内目前的市场环境，您认为中国企业在数据安全保护方面面临哪些问题？

赵伟：

我认为主要有以下两方面问题。

第一，大部分企业没有足够重视数据安全问题。对数据安全来说，比外部威胁更致命的是内部的监管不力。内部员工因为疏忽意外导致的数据泄露、员工的监守自盗、员工受贿出卖数据以及过于宽松的数据访问政策，都是当前企业数据泄露的首要原因。

第二，网络攻击的手段越发的高级且影响巨大。就从近段时间的全球网络安全态势来看，以SolarWinds为代表的供应链攻击事件愈发的严重。据调查显示，大企业和中小型企业涉及第三方供应商（服务和产品）的数据泄露事件发生率分别为43％和38％，这是非常高的比例。供应链攻击意味着攻击者仅需对一个供应商进行攻击，将会让成千上万的企业同时受到攻击的风险。然而，除了供应链攻击外，当下网络钓鱼、鱼叉攻击、ATP攻击、勒索软件等攻击手段也是层出不穷，在如此高危的网络安全形势下，企业只要稍有不慎便会成为攻击者的目标。

《数字经济》杂志：

企业在数据应用过程中，该如何保护数据安全？个人又该怎样保护自身隐私？

赵伟：

对企业来说，保护数据安全是一个体系化的工作，并非是用几个安全产品就能将问题解决。网络空间随时都在动态变化，那么数据安全保护的方案也应是动态化的。但是整体的思路可以说是万变不离其宗，如确保数据访问安全、身份认证、数据分离、数据加密、数据部署的安全、内部网络安全、完善的备份体系等。这些思路，对所有企业都适用，只是落地到具体操作上，会有针对性的加强。

对个人而言自身的隐私保护也有很多工作要做。第一步，我认为也是最重要的一步，就是明确个人隐私的重要性。你可能会说，现如今谁还不重视个人的隐私呢？但事情恰恰相反，大部分的普通人对个人的隐私还停留在很浅的认识上，这样就导致有时候隐私已经泄露了却还不自知。其次，在遇到需要填写个人姓名、电话、身份证以及录入人脸或指纹等生物信息时，要再三确认第三方的合法性和安全性。当然，这一点更需要我们的监管部门加以督促，让拥有大量用户隐私的公司谨言慎行。

《数字经济》杂志：

一个科学合理的数据安全建设体系应该是怎样的？在这方面，贵企业是如何深耕布局的？

赵伟：

科学合理的数据安全建设体系，需要解决三大痛点问题：数据访问风险、数据流动风险以及数据运维风险。具体来说，数据访问的风险有：缺乏统一账号管理、缺失身份认证管理、数据授权能力弱；数据流动的风险有：缺乏审计溯源能力和数据保护能力弱；数据运维风险有：数据管理成本大、运维行为缺乏监督、高危操作缺乏管控。

知道创宇作为国内首批从事云防御的网络安全企业之一，十年前就已经确立了大数据安全防御的概念。立足网络空间测绘和云防御SaaS服务，为客户在线业务系统和网络边界提供AI高级防御。

十年来，知道创宇一直致力于对安全大数据的实践应用研究，成立之初，我们就持续聚焦以大数据、人工智能为核心，来解决网络安全问题。

《数字经济》杂志：

工程交付是目前被业界普遍忽略的痛点问题，贵公司在这方面是如何布局的？

赵伟：

交付涉及到的数据往往十分庞大且流程繁杂，中间容易暴露出安全问题。供应商在进行工程交付的过程中，必然会深入业主的业务流程，同时开发交付过程中，也必然会接触测试数据。软件交付项目通常会涉及到使用开源软件，而开源软件需要不断升级维护，客户由于资源所限，通常无法完全跟踪所有使用的开源软件，交付后的维护工作存在大量隐患。此外，如果交付项目是一个集成项目，那么还会涉及多个供应商，更增加了相关的数据安全风险。

因此，交付项目需要在方案设计阶段就从多方面考虑安全问题。

第一，接入客户的认证系统。当前企业软件有数种身份认证体系，例如微软安全御、LDAP、OpenID等，交付项目应该根据实际情况接入客户原先的认证系统，避免本地认证，尤其是管理员账号的本地认证。同时，如果必要，还要加上多因子认证，确保项目交付之后不遗留用户身份认证后门。

第二，遵循安全开发流程SDL，同时根据业务实际情况，构造测试数据而不是直接使用真实数据进行测试。

第三，对使用的开源软件做好配置管理，并实时跟踪相关软件的漏洞与补丁信息，做好安全性漏洞应急预案。

第四，做好安全风险计划。针对项目的每个环节梳理安全风险并制定应对方案，确保安全事件发生时，能够及时控制影响。

第五，建立零信任网络，确保每次数据访问都是经过合理授权的。

第六，关注开源安全情报，除了之前提到的开源软件漏洞之外，还需订阅关于自身数据安全事件的情报，并及时处置。最后，选择有安全集成资质的集成商。

《数字经济》杂志：

数字经济时代，数据已成为与劳动、资本、土地、知识、技术、管理等并列的生产要素，如何进行数据安全创新？

赵伟：

数据作为生产要素的重要作用日益凸显，以数字经济为代表的新经济成为经济增长新引擎。数据要素作为数字经济最核心的资源，具有可共享、可复制、可无限供给等特点，这些特点打破土地、资本等传统生产要素有限供给对经济增长推动作用的制约。与土地、资本等传统生产要素相比，数据要素对推动经济增长具有倍增效应。

正如联合国发布的数据创新议题所说：数据革命，包括开放的数据移动、众包的兴起、新数据收集信息通信技术的涌现、大数据可用性的爆炸式提高以及人工智能和物联网的出现，正在改变社会。计算和数据科学的进步，使得实时处理和分析大数据变成了现实。

据调查显示，国外数据安全保护的产品中，有一大类是针对用户个人隐私访问控制和合规处理的，而这类产品在国内却寥寥无几。这和国内外的立法进度差异息息相关。数据安全同样会随着数据基础设施和数据安全法规逐步演进，参考国外我们现在有大量的创新机会。

《数字经济》杂志：

请您谈一谈对目前数据安全行业的看法。有人认为协同联动是未来安全的方向，您认为这个行业的未来趋势是什么？

赵伟：

安全是基础技术，它在保护整个社会，尤其是未来的赛博空间社会，它需要的是真正的核心技术，比拼的就是核心技术的投入。现目前，数据安全行业也在不断涌现新的技术，例如同态加密、数据溯源、数据匿名化、数据访问管理、量子加密、主动数据防御、数据托管、区块链数据管理等。

人工智能、区块链、加密技术是企业数据安全的未来。人工智能、区块链和加密技术可能导致在企业网络上发现、存储、共享和伪装敏感数据方面的安全进度，可以预见的是，采用这些技术并着眼于数据安全的企业，将在这场游戏中处于领先地位。

展望未来，全球企业对于数据安全保护的需求将持续攀升，越来越多的新兴技术将催生新兴安全市场，进一步驱动数据安全与网络安全行业重构，赋能安全行业新价值，为个人隐私保护和数据信息安全保驾护航。

关于《数字经济》

《数字经济》国内第一家聚焦于数字经济领域的期刊，由工业和信息化部主管、中国电子信息产业发展研究院及赛迪工业和信息化研究院（集团）有限公司主办，由北京赛迪出版传媒有限公司出版的科技类期刊。内容涵盖数字论坛、视野、数字治理、数字赛道、专题研究、人物、数字样板、数字转型、创客时代等多个版块，面向全国各级政府、企业级领袖、相关研究机构、产业投资人、数字经济相关行业人士和广大消费者公开发行。