● 本刊記者/文

范淵：互聯(lián)網(wǎng)與傳統(tǒng)實(shí)業(yè)的融合過程中，數(shù)據(jù)安全與隱私保護(hù)面臨著新的挑戰(zhàn)。

新時(shí)代下，互聯(lián)網(wǎng)向傳統(tǒng)實(shí)業(yè)不斷滲透，傳統(tǒng)實(shí)業(yè)也在擁抱互聯(lián)網(wǎng)，融合成為非常重要的關(guān)鍵詞。而融合在帶來了新產(chǎn)業(yè)的同時(shí)，也對(duì)網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。“水善利萬物而不爭，劍領(lǐng)攻防而知平衡。”杭州安恒信息技術(shù)投份有限公司董事長范淵在“西湖論劍·網(wǎng)絡(luò)安全大會(huì)”上作主題演講時(shí)，一再強(qiáng)調(diào)，未來要求產(chǎn)品或服務(wù)的整個(gè)生命周期都貫穿隱私和數(shù)據(jù)保護(hù)，包括從最早的設(shè)計(jì)階段，到產(chǎn)品投放市場(chǎng)、使用直至最終停止使用，都將考慮數(shù)據(jù)保護(hù)合規(guī)因素。

無處不在的網(wǎng)絡(luò)安全威脅

當(dāng)今世界，信息技術(shù)革命日新月異，對(duì)國際政治、經(jīng)濟(jì)、文化、社會(huì)、軍事等領(lǐng)域的發(fā)展產(chǎn)生了深刻影響?；ヂ?lián)網(wǎng)已經(jīng)融入社會(huì)生活的方方面面，并深刻改變著人們的生產(chǎn)生活方式。據(jù)統(tǒng)計(jì)，截止到2017年底，我國網(wǎng)民規(guī)模達(dá)到7.72億，居全球第一。然而，我們也必須看到，在我國成為網(wǎng)絡(luò)大國的同時(shí)，卻并不是網(wǎng)絡(luò)強(qiáng)國。在自主創(chuàng)新方面我國還相對(duì)落后，核心技術(shù)受制于人的現(xiàn)象依然突出，網(wǎng)絡(luò)安全問題依然嚴(yán)峻。

范淵指出，隨著經(jīng)濟(jì)和科技的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)開始走入普通人的生活，導(dǎo)致網(wǎng)絡(luò)犯罪呈現(xiàn)出簡單化的趨勢(shì)。以往的網(wǎng)絡(luò)犯罪，要求行為人具有相當(dāng)程度的電腦編程、應(yīng)用能力，才能實(shí)施破壞活動(dòng)。而今卻不然，侵入并破壞計(jì)算機(jī)的安全系統(tǒng)成了一般網(wǎng)民就能辦到的事，因?yàn)樵诮裉?，打通或穿透整個(gè)系統(tǒng)的工具能在互聯(lián)網(wǎng)上輕易獲得，黑客們?cè)诨ヂ?lián)網(wǎng)上開設(shè)的教授“如何入侵計(jì)算機(jī)系統(tǒng)”的網(wǎng)站比比皆是，任何一名“上心”的網(wǎng)民均能在短時(shí)間內(nèi)自我“培訓(xùn)”成為一名黑客，只是普通人也可以利用現(xiàn)代科技帶來的便利走上網(wǎng)絡(luò)犯罪的道路，獲取非法利益，給社會(huì)環(huán)境的穩(wěn)定帶來危害。另一方面，網(wǎng)絡(luò)犯罪實(shí)施起來極為便利，只需要一臺(tái)可以接入互聯(lián)網(wǎng)的設(shè)備，犯罪嫌疑人就可以在家、辦公室、網(wǎng)吧等場(chǎng)所實(shí)施犯罪，甚至可以利用聯(lián)網(wǎng)的手機(jī)來實(shí)施犯罪。而且網(wǎng)絡(luò)犯罪從始至終行為人都可以不用直接接觸被害人，這使得大部分的網(wǎng)絡(luò)犯罪行為呈現(xiàn)隱蔽性強(qiáng)的特點(diǎn)，而一旦犯罪成功其收益卻巨大。比如通過網(wǎng)絡(luò)實(shí)施詐騙，行為人可以通過多種方法騙取受害人錢財(cái)，金額可高達(dá)幾千萬，甚至上億。因此，網(wǎng)絡(luò)犯罪可謂是典型的低投入、高產(chǎn)出犯罪；反之，遏制、打擊網(wǎng)絡(luò)犯罪，卻需要付出相對(duì)大得多的成本，這也是導(dǎo)致鋌而走險(xiǎn)的不法分子越來越多的原因之一。

這個(gè)新時(shí)代，安全和產(chǎn)業(yè)發(fā)生著非常重要的融合。同時(shí)可以看到一種趨勢(shì)，就是線上線下的融合。從城市的泛在感知中心，到城市的安全決策治理中心，線上線下的融合會(huì)變得非常明顯。包括政務(wù)、市政基礎(chǔ)設(shè)施、工業(yè)互聯(lián)網(wǎng)、市政交通、社會(huì)治安等等。并且，這樣的融合使網(wǎng)絡(luò)空間范疇發(fā)生了非常有意思的變化，包括城市級(jí)的網(wǎng)絡(luò)安全感知運(yùn)營中心、物聯(lián)網(wǎng)終端安全感知中心、工業(yè)互聯(lián)網(wǎng)感知中心和輿情的感知中心，以及線上線下整個(gè)決策系統(tǒng)。

除此之外，大數(shù)據(jù)時(shí)代背景下，新的技術(shù)、新的需求和新的應(yīng)用場(chǎng)景都給數(shù)據(jù)安全防護(hù)帶來了全新的挑戰(zhàn)。越來越多的城市基礎(chǔ)設(shè)施和工業(yè)控制系統(tǒng)也在嘗試網(wǎng)絡(luò)化，這就導(dǎo)致智慧城市所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，不僅是信息泄露、信息系統(tǒng)無法使用等“小”問題，更會(huì)對(duì)現(xiàn)實(shí)世界造成直接的、實(shí)質(zhì)性的影響，比如設(shè)備運(yùn)行異常（交通癱瘓、城市運(yùn)行停滯）、設(shè)備運(yùn)行停滯（停水、停電、停氣、停供暖）、設(shè)備損壞（零部件損壞甚至火災(zāi)事故）、環(huán)境污染甚至人員傷亡等。

而從小處來說，對(duì)于個(gè)人而言，數(shù)據(jù)安全與個(gè)人生活息息相關(guān)，直接關(guān)系到每位公民的合法權(quán)益。一方面，網(wǎng)上購物、聊天、支付等活動(dòng)，總會(huì)不經(jīng)意地“出賣”自己的姓名、身份證號(hào)、電話、住址等個(gè)人隱私信息，隨著居民生活對(duì)智能網(wǎng)絡(luò)依賴性的增長，個(gè)人、家庭的生活信息通過物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)全方位暴露，使得個(gè)人信息泄露風(fēng)險(xiǎn)加劇；另一方面，由于法律法規(guī)的缺乏，智慧城市應(yīng)用服務(wù)提供商在利益的驅(qū)使下可能存在非法的采集用戶的個(gè)人隱私信息，非法出賣和利用非常規(guī)采集的個(gè)人信息與隱私數(shù)據(jù)。一旦個(gè)人信息泄露，被不法分子利用個(gè)人信息與特定個(gè)人之間的緊密關(guān)系實(shí)施各種犯罪，輕則遭遇廣告推銷垃圾短信，重則遭遇金融電信的精準(zhǔn)詐騙，導(dǎo)致財(cái)產(chǎn)損失。

融合下的新安全

“在這個(gè)新時(shí)代，融合是非常重要的關(guān)鍵詞?！狈稖Y強(qiáng)調(diào)說，“這個(gè)新時(shí)代，安全和產(chǎn)業(yè)發(fā)生著非常重要的融合。同時(shí)可以看到一種趨勢(shì)，就是線上線下的融合。從城市的泛在感知中心，到城市的安全決策治理中心，線上線下的融合會(huì)變得非常明顯。包括政務(wù)、市政基礎(chǔ)設(shè)施、工業(yè)互聯(lián)網(wǎng)、市政交通、社會(huì)治安等等。并且，這樣的融合使網(wǎng)絡(luò)空間范疇發(fā)生了非常有意思的變化，包括城市級(jí)的網(wǎng)絡(luò)安全感知運(yùn)營中心、物聯(lián)網(wǎng)終端安全感知中心、工業(yè)互聯(lián)網(wǎng)感知中心和輿情的感知中心，以及線上線下整個(gè)決策系統(tǒng)?！?/p>

物聯(lián)網(wǎng)智能設(shè)備與網(wǎng)絡(luò)安全的融合

隨著網(wǎng)絡(luò)全球化，物聯(lián)網(wǎng)安全已不再僅僅局限于某座城市的輻射范圍內(nèi)，而是需要集合各方力量來共同面對(duì)的全球安全威脅。

從目前已有的物聯(lián)網(wǎng)安全威脅案例可以看出，黑客通過利用物聯(lián)網(wǎng)漏洞，可以遠(yuǎn)程控制或劫持設(shè)備、批量竊取大量用戶實(shí)時(shí)信息、監(jiān)聽設(shè)備間或設(shè)備與云端通信、仿冒真實(shí)設(shè)備或用戶、破壞真實(shí)網(wǎng)絡(luò)，并通過越權(quán)或過度使用等造成物理破壞，甚至可以對(duì)用戶造成生命威脅。

物聯(lián)網(wǎng)安全威脅主要可以分為硬件設(shè)備安全、通信安全、網(wǎng)絡(luò)接口安全、移動(dòng)應(yīng)用安全、云端安全和通用缺陷六大類。物聯(lián)網(wǎng)安全的建立不能再走以往互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全的“老路”，其治理理念和方法應(yīng)引入更為具體的實(shí)際應(yīng)用場(chǎng)景，其中智慧城市場(chǎng)景在物聯(lián)網(wǎng)應(yīng)用中是一個(gè)比較成熟且影響范圍較廣的場(chǎng)景。

在智慧城市物聯(lián)網(wǎng)安全管理領(lǐng)域，首先需要建立嚴(yán)格的全流程、全生命周期的網(wǎng)絡(luò)安全管理。城市運(yùn)營者在推進(jìn)智慧城市建設(shè)中要同步加強(qiáng)網(wǎng)絡(luò)安全保障工作。在智慧城市建設(shè)過程中，興建重要物聯(lián)網(wǎng)信息系統(tǒng)，首要考慮并合理確定安全保護(hù)等級(jí)，在系統(tǒng)軟件的起步設(shè)計(jì)階段，就要同步設(shè)計(jì)安全防護(hù)方案；在系統(tǒng)實(shí)施階段，要加強(qiáng)對(duì)技術(shù)、設(shè)備和服務(wù)提供商的安全審查，同步建設(shè)安全防護(hù)手段；系統(tǒng)建設(shè)完成后，平穩(wěn)運(yùn)行是每個(gè)系統(tǒng)都需要完成的使命；在運(yùn)行階段，更要加強(qiáng)各方面的安全管理，定期開展檢查、等級(jí)評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估工作，認(rèn)真排查安全風(fēng)險(xiǎn)隱患，增強(qiáng)日常監(jiān)測(cè)和應(yīng)急響應(yīng)處置恢復(fù)能力。

工業(yè)和互聯(lián)網(wǎng)的融合

工業(yè)和互聯(lián)網(wǎng)的融合，使網(wǎng)絡(luò)安全原來很多的隱患和攻擊可以直接觸及核心工業(yè)系統(tǒng)，尤其是工業(yè)的生產(chǎn)線。因此，安全是工業(yè)互聯(lián)網(wǎng)的三大核心內(nèi)容之一。在工業(yè)互聯(lián)網(wǎng)總體框架下，安全既是一套獨(dú)立功能體系，又滲透融合在網(wǎng)絡(luò)和平臺(tái)建設(shè)使用的全過程，為網(wǎng)絡(luò)、平臺(tái)提供安全保障。一方面工業(yè)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)和平臺(tái)設(shè)計(jì)建設(shè)、運(yùn)營管理須臾離不開安全作為保障，安全更是終端設(shè)備和系統(tǒng)接入及使用工業(yè)互聯(lián)網(wǎng)的雙向前提條件；另一方面，安全也脫離不了網(wǎng)絡(luò)、平臺(tái)以及終端獨(dú)立存在；此外，工業(yè)互聯(lián)網(wǎng)環(huán)境中產(chǎn)生的工業(yè)數(shù)據(jù)全生命周期也需要安全保護(hù)。因此，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系可從平臺(tái)、網(wǎng)絡(luò)、終端、數(shù)據(jù)等四個(gè)方面考慮，涉及工業(yè)控制系統(tǒng)安全、企業(yè)信息管理系統(tǒng)安全、企業(yè)控制網(wǎng)絡(luò)及管理網(wǎng)安全、互聯(lián)網(wǎng)寬帶網(wǎng)絡(luò)安全、工業(yè)云安全和工業(yè)大數(shù)據(jù)安全等內(nèi)容。

做好工業(yè)互聯(lián)網(wǎng)安全的整體保障，才能為工業(yè)互聯(lián)網(wǎng)提供一個(gè)安全可靠的發(fā)展環(huán)境。當(dāng)前，應(yīng)牢牢把握工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵窗口期，堅(jiān)持以“本質(zhì)安全、內(nèi)外兼顧、業(yè)務(wù)有限、隱私可控”為安全保障原則，以頂層設(shè)計(jì)為基礎(chǔ)，以政策標(biāo)準(zhǔn)為引導(dǎo)，以態(tài)勢(shì)感知為條件，以檢查評(píng)估為抓手，以通報(bào)應(yīng)急為重點(diǎn)，以公共服務(wù)為依托，以產(chǎn)業(yè)促進(jìn)為根本，從加強(qiáng)政策規(guī)劃指引、夯實(shí)基礎(chǔ)性工作、打造公共服務(wù)平臺(tái)、促進(jìn)產(chǎn)業(yè)發(fā)展等多方面入手，建立全面保障工業(yè)互聯(lián)網(wǎng)設(shè)備安全、網(wǎng)絡(luò)安全、平臺(tái)安全和數(shù)據(jù)安全的新型縱深防御安全架構(gòu)，從整體上強(qiáng)化我國工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平。

AI與安全的融合

從幾年前的AlphaGo 開始，到現(xiàn)在的網(wǎng)絡(luò)安全問題，都是人們關(guān)注的熱門話題。不同的是，AI是結(jié)構(gòu)化問題，而網(wǎng)絡(luò)安全是非結(jié)構(gòu)化問題。從目前的實(shí)踐中，我們發(fā)現(xiàn)AI和安全的融合在更大的意義上表現(xiàn)為通過大數(shù)據(jù)的學(xué)習(xí)，AI用于更加精準(zhǔn)的發(fā)現(xiàn)包括未知的異常和變化，預(yù)測(cè)趨勢(shì)，通過自我學(xué)習(xí)來降低誤報(bào)，對(duì)網(wǎng)絡(luò)安全起到非常大的作用。

但是，范淵認(rèn)為，AI與安全的結(jié)合，并不會(huì)消除安全崗位對(duì)人的需求。與之相反，通過觀察可以發(fā)現(xiàn)，大數(shù)據(jù)的分析人才、建模人才以后會(huì)變成非常熱門的需求人才。通過海量數(shù)據(jù)中篩選出線索，自動(dòng)解決結(jié)構(gòu)化問題，結(jié)合總結(jié)、利用安全專家經(jīng)驗(yàn)，關(guān)聯(lián)多源異構(gòu)數(shù)據(jù)聯(lián)想、推理和判斷看似不想管的信息和事件，這樣人工智能加安全人才的解決方案，將會(huì)是未來最佳的安全解決方案。

數(shù)據(jù)安全與隱私保護(hù)的新挑戰(zhàn)

在智慧城市環(huán)境下，數(shù)據(jù)已成為關(guān)系城市經(jīng)濟(jì)和社會(huì)發(fā)展的戰(zhàn)略性資源，對(duì)數(shù)據(jù)資源進(jìn)行綜合分析和利用，是實(shí)現(xiàn)智慧城市各種應(yīng)用場(chǎng)景的重要基礎(chǔ)，需要有效保護(hù)。但是智慧城市信息系統(tǒng)結(jié)構(gòu)復(fù)雜，數(shù)據(jù)分布廣泛，數(shù)據(jù)安全防護(hù)的難度和差異度非常大，需要度數(shù)據(jù)安全防護(hù)提出總體的原則和策略，即全面覆蓋、分級(jí)保護(hù)、審計(jì)追責(zé)、守法合規(guī)等四個(gè)方面的要求。數(shù)據(jù)安全防護(hù)思路方面可以從時(shí)間、空間、業(yè)務(wù)三個(gè)維度考慮，其中數(shù)據(jù)的生命周期是時(shí)間維度，數(shù)據(jù)在智慧城市信息系統(tǒng)架構(gòu)中所處的位置是空間維度，數(shù)據(jù)的狀態(tài)、類型及訪問需求是業(yè)務(wù)維度。具體的數(shù)據(jù)安全措施包括身份認(rèn)證、訪問控制、授權(quán)管理、操作審計(jì)、邊界防護(hù)和數(shù)據(jù)加密。

與數(shù)據(jù)安全伴隨而生的，則是隱私保護(hù)問題。近年來，我國政府高度重視數(shù)據(jù)在經(jīng)濟(jì)新常態(tài)中推動(dòng)國家現(xiàn)代化建設(shè)的基礎(chǔ)型作用，陸續(xù)頒布、實(shí)施了一系列法律法規(guī)。特別是2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)了中國境內(nèi)網(wǎng)絡(luò)運(yùn)營者對(duì)所收集到的個(gè)人信息所應(yīng)承擔(dān)的保護(hù)責(zé)任和違規(guī)處罰措施。但相較于國外而言，我國還應(yīng)立足國情，從實(shí)際情況出發(fā)，學(xué)習(xí)和借鑒國外立法與實(shí)踐經(jīng)驗(yàn)，制訂符合自身發(fā)展需要的法律體系。

雖然我國目前面臨的網(wǎng)絡(luò)安全問題日趨嚴(yán)峻，但我國面臨的問題也是世界面臨的挑戰(zhàn)。防范打擊日益復(fù)雜的網(wǎng)絡(luò)犯罪，需要不斷完善網(wǎng)絡(luò)立法，在應(yīng)對(duì)網(wǎng)絡(luò)犯罪過程中提供新的規(guī)范支持和更為有效的制度支撐；需要在更大范圍內(nèi)實(shí)現(xiàn)綜合協(xié)調(diào)、聯(lián)動(dòng)融合；需要深入推進(jìn)基礎(chǔ)信息化建設(shè)，充分運(yùn)用大數(shù)據(jù)技術(shù)和信息化手段提升防控智能化水平，打造國家級(jí)網(wǎng)絡(luò)安全中心，在推進(jìn)我國智慧城市建設(shè)的過程中，更需要同步完善網(wǎng)絡(luò)安全，提高城市應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范能力。