“数据安全”高端对话—— 构建数字安全生态 助力数字经济发展

5月26日，“数据安全”高端对话在贵阳国际生态会议中心举行，与会嘉宾围绕“构建数字安全生态 助力数字经济发展”主题，围绕大数据的价值发挥、数据产业的健康发展，以及大数据应用与个人信息保护等话题展开深入交流，共同探索数据安全发展之路。

据了解，2017年，《中华人民共和国网络安全法》正式实施，2018年5月，欧盟《通用数据保护条例》（简称GDPR）出台，越来越多的与数据信息安全相关的条例、法规落地施行。随着大数据时代的到来，数据已经成为与物质资产和人力资本同样重要的基础生产要素，大数据正在重塑世界新格局。数据的价值能否长远发挥，数据产业能否健康发展，很大程度依赖于全行业的数据安全保障水平。聚焦行业前沿，洞悉交流全球数据安全最新发展趋势，推动我国数据安全保障体系建设，探讨数据安全发展之路势在必行。

在主旨演讲环节，中国工程院院士、中国互联网协会理事长邬贺铨，2015年图灵奖获得者、美国国家工程院院士、加密实验室首席科学家惠特菲尔德·迪菲，中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云，阿里巴巴集团技术副总裁、阿里巴巴首席安全专家杜跃进，励讯集团全球高级副总裁及首席信息安全官菲拉维欧·维拉纳斯特，天融信科技集团CEO李雪莹，分别以“大数据——信息安全的机遇与挑战”“大数据和信息保障”“密码技术与数字经济高质量发展”“数据安全的六大误解”“大数据时代的身份安全保护”“数据安全防护体系”为题发表主旨演讲，共话数据安全。

在论坛上的对话环节，北京互联网法院党组书记、院长张雯，北京师范大学网络法治国际中心执行主任吴沈括，中国消费者协会商品服务监督部主任皮小林，普华永道中国风险及控制服务合伙人许森渠，全知科技（杭州）有限责任公司CEO方兴就“大数据应用与个人信息保护”主题进行了讨论对话。

论坛还发布了《贵州大数据安全产业蓝皮书》。（金毛毛 梁婧）

中国工程院院士、中国互联网协会理事长邬贺铨：

大数据对于信息安全来说 既是机遇也是挑战

“大数据对于信息安全来说，既是机遇也是挑战。”中国工程院院士、中国互联网协会理事长邬贺铨在对话上发表题为“大数据——信息安全的机遇与挑战”主旨演讲时表示，大数据应用本身既是安全防御的重点，也是保障网络与信息安全的有力手段。

邬贺铨说，从挑战方面来说，为了防止数据被盗，我们把数据分布式存储，然后加密，这样数据不容易被盗，即便被盗，也打不开。但是，实际上黑客木马有些攻击不完全是要解析数据，而是希望用数据进行勒索。所以，不仅仅是怕别人盗窃数据，还得防止数据被锁死。

邬贺铨说，在机遇方面，利用大数据可以将威胁发现范围扩展到包括数据资产、软件资产、实物资产、人员资产、服务资产和其他为产业提供支持的无形资产。通过对海量日志大数据的分析，可以发现大量新的网站攻击特征、网站漏洞、溯源定位攻击源。大数据工具还特别适合用高级持续性威胁的检测和取证，通过大数据分析，把进来的APT的风险一步步找到，找到它潜伏的地方，甚至是攻击的来源。与此同时，在大数据场景下，采用角色挖掘技术可根据用户的访问记录自动生成角色，可以判断这个用户，以及发现这个用户的异常行为，对于异常用户还可以及时跟踪，判断他什么时候可能会发生攻击，会从哪个地方发生攻击，找出这种攻击意图，可以提前报警。

“人工智能可以对网络流量、各种数据、以及成千上万的关联点进行分析并发现异常，可以将企业的预计数据以及外部关联数据关联起来，找出网络风险，对伪装的恶意文件包括僵尸网络可以通过人工智能技术分辨出来。利用大数据与人工智能结合，可以制定数据风险模型和恶意内容库，通过外部的舆情采集并关联用户行为信息及时更新调整。”邬贺铨说。

2015年图灵奖获得者、美国国家工程院院士、加密实验室首席科学家惠特菲尔德·迪菲：

信息保障是一个全新的挑战

2015年图灵奖获得者、美国国家工程院院士、加密实验室首席科学家惠特菲尔德·迪菲发表题为“大数据和信息保障”的主旨演讲时说，对于当今社会来说，信息保障是一个全新的挑战。

惠特菲尔德·迪菲说，信息社会，信息保障关乎于两方面融合，第一个是文件性，第二是信息安全。要保证哪怕是受到攻击的情况下，这个信息系统也能够正常工作。所以，这也带来另一个话题，也就是质量保障。信息安全有三大关键要素，第一是可利用性，需要让这个系统能在线做好它该做的工作，特别是自动驾驶的汽车控制系统，要确保可利用性一直存在。第二点是完整性，要确定信息的来源是所期望的那个来源，而且过程当中没有被人篡改过。第三是在特别重要的一些系统，比如银行的保密性，要确保别人不能够知道你不想让他们知道的信息。这三者当中，前两者的重要性比第三者更重要一些。

惠特菲尔德·迪菲说，截至目前，大家公认解决信息安全问题的办法就是密码学，把数据进行一定程度的混淆，使得只有拥有密码、拥有密钥的人才能够解锁，解开这种混淆，了解它原本的信息。在信息安全和密码学的关系当中，密码学是信息安全的核心，没有一个真正的分布式的安全系统不用密码学的。但绝对不是说光有密码学就可以保证信息安全，没有密码学，就绝对不会有信息安全。

“在解决安全保障问题方面，人工智能和大数据将起到非常重要的作用。因为针对编程和编程的方法，高级语言与低级语言之间需要花很多时间进行编译，编译器经过详细检查可以避免其中一些错误，这将是一件非常好的事情。所以信息保障是非常值得的，必须要去做，同时数据量越大，安全保障的重要性就越大。”惠特菲尔德·迪菲说。

中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云：

数字经济高质量发展离不开密码技术

中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云在发表题为“密码技术与数字经济高质量发展”的演讲时说，数字经济高质量发展离不开密码技术。安全是发展的前提，发展是安全的保障。

王小云说，在信息技术高度发展的今天，万物互联极大地改变了人们的生活和思维方式，激发出创造的无限可能。同时，信息技术极大地推动着世界向更高效、智能、环保等方向前进，但在通往智能社会的道路上，信息安全问题不容忽视。

王小云说，在信息化世界里，如何既保障隐私过程无痕，又实现事后审计与司法鉴定取证，在保护隐私的同时又不能让犯罪泛滥？目前，我国《电子签名法》《网络安全法》《电子商务法》等法律法规的制定和实施，将为大数据安全提供有力的法律保障。

“海量数据存储、传输、处理和利用，特别需要大型计算机，云计算的不可信任也带来了新的问题。这就需要对密文进行一些处理，特别是新型密码技术，比如有密文检索技术、密文计算、同态加密，还有函数加密等各种手段。”王小云说，信息与网络安全保障体系需要完善一些技术，比如云服务的远程身份鉴别、隐私保护问题、大数据的安全治理问题、支付的安全问题、生物特征的保全问题、万物互联的审计溯源取证问题、以及芯片的安全问题等。

王小云说，数字经济高质量发展离不开密码技术。密码技术将深度融合到5G、区块链、人工智能、卫星通信、物联网、智慧城市等众多数字经济领域。密码系统既要抵抗现有计算机能力攻击，也要抵抗未来量子计算机的攻击，网络技术发展的安全保障，需要培养高水平的解决密码安全的学科交叉型人才。

阿里巴巴集团技术副总裁、阿里巴巴首席安全专家杜跃进：

让数据安全和数据流动正向促进

阿里巴巴集团技术副总裁、阿里巴巴首席安全专家杜跃进发表题为“数据安全的六大误解”主旨演讲。他认为，当下对数据安全存在六大误解：

第一大误解，限制数据采集就能保护数据安全。目前法律界将更多精力放在限制数据采集，这有一定效果，但特别需要加强的应该是数据的保护和使用。

第二个误解，精准营销就等于隐私侵犯。精准营销是第四次工业革命的一个基本特点，如果它等于隐私侵犯的话，那第四次工业革命则无法进行。所以本质问题在于，企业在提供个性化服务、精准营销时，有没有能力做到不侵犯隐私。

第三个误解，大数据安全能防止数据被偷。今天，数据安全不能仅仅盯着大数据平台，而是要解决全链条数据安全问题。

第四个误解，DT时代和IT时代一样，先有应用后有数据。

第五个误解，过去的思路和方法，能够解决今天的数据安全。其实，传统的以系统为中心的安全观念，已不能满足今天数据的安全。今天数据安全是全新问题，需要新的方法，需要重新定义。

第六个误解，数据是石油，所以应该像保护石油一样保护数据。数字经济或者第四次工业革命要想更健康的发展，要有更多数据产生，而不是像石油那样用了就越来越少。所以，如何鼓励数据更多产生，如何鼓励数据更好流动，是更加重要的。

“处于第四次工业革命中，过去的经验越来越没有用。在这样的挑战下，需要非常开放、非常创新的思维，同时要有更大的视野和格局才能适应未来。要确保数据安全，还应建立多方配合参与的治理模式，让数据安全和数据流动能正向促进，把安全变成内在动力。”杜跃进说。

励讯集团全球高级副总裁及首席信息安全官菲拉维欧·维拉纳斯特：

运用大数据建立身份的唯一标示符

励讯集团全球高级副总裁及首席信息安全官菲拉维欧·维拉纳斯特发表题为“大数据时代的身份安全保护”的主旨演讲。他表示，解决合成身份欺诈，要基于大数据建立身份的唯一标示符。

菲拉维欧·维拉纳斯特说， 身份认证过去一般通过人们在数字世界当中的数字指纹和数字足迹实现，这些身份是实体的可观测的数据点，比如账户密码组合、生物特征、安全设备等。但是真正理解身份的一种方法，就是把所有具体数据点连接起来，从而可以覆盖到更大的数据面上。在这个过程当中，可以去构建一个以身份为中心，能够体现其属性与其他身份之间关系的网络图。在网络图当中，各个身份以及他们之间的关系都能够明显体现出来。

“如今，合成身份欺诈已经占到身份欺诈的85%份额，这也导致了80%的信用卡损失。如通过一连串的工具或者密钥，窃取第二个身份验证的要素，来实现移动设备的远程操控。这对于网络电子商务来看，是非常严重的问题。”菲拉维欧·维拉纳斯特说，要解决这些问题，首先，要拿到数据并把它联系起来，然后建立一个非常大的数据图，通过独特不变的唯一标识符，准确定位各个数据源中同一身份的相关数据，并将此基本事实用于身份验证、基于知识的身份确认、以及为行为分析提供背景信息。利用这样一种唯一标识符的身份识别来进行验证，也可以组合多个认证要素加强认证。

菲拉维欧·维拉纳斯特说，从安全角度上来看，防范合成身份欺诈问题，必须通过不同算法、密码算法作为基石来进行监测，同时关注新的方式、新的技术来解决，包括哈希函数算法，必须随时关注包括防御方和攻击方之间的攻防效果，而且不断改进防御效率。

天融信科技集团CEO李雪莹：

以保障关键数据为核心 实现对数据全生命周期保护

“构建数据安全防护体系，要以网络安全通用防护为基础，以保障关键数据为核心，最后目标是实现对数据全生命周期保护。”天融信科技集团CEO李雪莹发表题为“数据安全防护体系”的主旨演讲时说。

李雪莹说，数据安全是网络安全的重要组成部分，网络安全不仅包括网络信息系统，还包括其中的数据。过去，一直关注网络安全、平台安全、应用安全等，现在更为重要的是如何确保网络数据的完整性、保密性、可用性。

李雪莹说，数据流动和多状态特点，给数据安全防护体系建设带来很大挑战。构建数据安全防护体系，首先要以网络安全通用防护为基础，以保障关键数据为核心，最后目标是实现对数据全生命周期保护，这是建立数据安全防护体系中的总体思路。

“基于这样的思路，首先是数据安全防护范围要做到两个全覆盖。第一覆盖全场景，在整个信息系统链条当中，每一点上的数据都要做覆盖，计算环境、边界上、网络传输中，这些数据都要做到全覆盖。第二是对于要管理的关键数据覆盖全生命周期，从它的产生到销毁。”李雪莹说，在数据安全防护当中，要考虑数据环境安全。在数据安全防护体系的建设当中，应该运用可信计算技术，加强整个数据安全防护的强度。

“在数据安全防护体系具体建设中，要同步规划、同步建设和同步运行。要以数据安全为视角，来牵引防护体系的同步规划；要以治理评估手段推动同步建设；要以能力支撑服务来保障整个体系同步运行。”李雪莹说。

(原标题：“数据安全”高端对话——构建数字安全生态 助力数字经济发展)