2021网络安全创新发展高峰论坛—数据安全分论坛在京圆满举行

12月16日下午，由国家信息中心《信息安全研究》杂志社主办的2021网络安全创新发展高峰论坛—数据安全分论坛在北京召开，在会上，来自中科院计算机网络信息中心、国家计算机网络应急技术处理协调中心（CNCERT）、中科院信息工程研究所、国家信息中心以及多家网络安全企业的安全专家围绕数据安全的话题展开了研讨与交流，并分享了自身单位和企业在相关领域的实践探索。

 

 

中科院计算机网络信息中心安全部主任龙春从“人工智能数据安全”的角度首先展开了分享。他表示，当前人工智能发展已经与数据安全问题紧密的交织在了一起，一方面数据资源成为了人工智能发展的重要基础和引擎，另一方面，人工智能的发展也为数据安全问题治理带来了新的挑战。

 

龙春指出，人工智能在使用数据、产生数据以及应用过程中带来了如隐私数据泄露、模型萃取、数据过度采集、大数据杀熟等新型数据安全问题。当前虽然国内人工智能数据安全法规政策和研究报告不断出台，但缺乏针对人工智能数据安全流转的风险分析及技术建议，人工智能发展与数据安全问题相互交织、不可分割，有必要开展人工智能数据安全技术体系研究，加快人工智能数据安全风险研判，在引导人工智能健康发展的同时，积极加强数据安全监管与治理。

 

 

国家计算机网络应急技术处理协调中心（CNCERT）处长严寒冰在演讲中提到，数据安全与网络安全息息相关，做好网络安全防护体系建设是防护数据泄露的重要途径。严寒冰分析了当前我国漏洞管理模式主要存在三大问题和挑战：

 

其一是漏洞多发但漏洞传播控制困难。当前国内漏洞研究十分活跃，往往一个漏洞刚刚爆发，业内安全研究人员就已经通过各种各样的途径得知了相关消息和研究样本，给漏洞传播管控工作带来了很大的困难，而一旦高危漏洞流入黑市或者境外，将会给企业安全和国家安全带来极大危害。

 

其二是企业应对漏洞压力巨大。如果企业相关的漏洞遭到曝光，可能会给企业的信誉、财产和品牌形象带来很大影响，但中小企业又没有充足的安全预算，很难内部维持一支高水平的漏洞挖掘的团队，聘用第三方的渗透测试团队也存在价格昂贵、漏洞测试性价比较低等问题。

 

其三是白帽子收入偏低，无法得到可靠的保障。一方面是中低级技术水平白帽子收获的漏洞赏金难以保证，无法将其作为全职工作；另一方面，在漏洞奖励金额不高的情况下，白帽子还可能受到黑产利益诱惑，导致漏洞流入地下黑市，带来更严峻的安全问题。

 

在演讲中，严寒冰还介绍了以众测为手段的网络安全新模式，建议企业用户以安全众包的模式开展安全众测，以分布式协作的方式提前发现漏洞、管理漏洞，来进一步提升产品和整体企业的安全性。

 

 

中科院信息工程研究所副研究员、中国密码学会密评联委会副主任委员马原，以“密码应用安全性评估保障数据安全”为题做了主题演讲，他认为密码是为了保护数据安全而生的一项技术，随着信息技术的发展，密码对数据安全的保护已不局限于机密性，需要采用密码技术保护数据资产全生命周期安全。

 

随后，马原对《密码法》中新确立的“密评”制度进行了解读和分享，并详细的介绍了密评工作相关的规定要求，并结合自身经验分享了具体的实施建议。

 

 

国家信息中心大数据发展部规划与应用处处长王建冬从政策角度出发，介绍了“东数西算”国土空间算力资源调度体系相关情况。他指出“东数西算”已成为构建双循环新发展格局的核心路径，对数字经济发展具有战略意义，将在京津冀、长三角、粤港澳大湾区、成渝，以及贵州、内蒙古、甘肃、宁夏等地布局建设全国一体化算力网络国家枢纽节点，发展数据中心集群，引导数据中心集约化、规模化、绿色化发展。应充分发挥地方和企业积极性，以应用为牵引，试点先行、梯次推进全国一体化大数据中心建设。

 

在会上，来自绿盟科技、明朝万达和恒安嘉新的三位安全专家也围绕《数据安全法》相关要求、数据分类分级管理以及数据安全治理思路等方面话题，分享了自身企业的数据安全实践经验。

 

 

绿盟科技数据安全专家施岭就如何构建数字政府时代大数据安全体系进行了分享，并结合《数据安全法》介绍了绿盟科技数据安全治理整体思路以及数据安全治理能力。

 

他指出，《数据安全法》明确了数据的分类分级保护制度和风险评估相关要求，实施数据安全风险评估是企业开始建立自身数据安全体系的前提条件，能够帮助组织发现自身的数据安全问题和短板。根据数据安全风险评估结果，针对每一个数据安全风险，结合被影响的数据资产重要程度，选择恰当的数据安全控制措施，实现数据分级分类管理与保护，为整体数据安全建设提供依据。

 

 

明朝万达助理总裁、研发中心总经理安鹏在主题为“AI技术在数据安全治理的应用与探索”的演讲，详细的介绍了AI技术对数据资产识别、数据分类分级、异常行为分析、数据指纹溯源、控制策略推荐方面的加持和增益。

 

他认为，安全铸就数据价值，数据安全治理并非仅由单一产品或平台所构建，而是围绕数据生命周期，结合企业或组织自身数据现状，建立与制度流程配套的技术和工具，进而持续提升企业或组织的数据安全防护能力。安鹏也分享了明朝万达的数据安全治理体系建设方法论以及在该领域的相关优势。

 

 

恒安嘉新解决方案产品设计院副院长李鹏超在演讲中指出，数据安全事件呈上升趋势，2020年，泄露的记录总数超过370亿，与2019年相比增加了141％。需要构建数据分类分级综合治理平台，实现数据梳理的统一管理，实现数据资产的分类分级、敏感数据分类信息多层级联,实现重点数据识别、图形化管理及安全策略管理等功能，为数仓建设、数据安全、数据治理提供支持。

 

 

值得一提的是，由中国软件评测中心、国家信息中心《信息安全研究》杂志与蚂蚁集团共同编写的《数据安全复合治理白皮书》也在会上正式发布。

 

白皮书内容涵盖数据安全治理理论技术研究、政策法规标准、框架体系构建等，从蚂蚁集团一线的角度出发，系统的整理和总结了蚂蚁集团在企业内部落地数据安全治理工作的相关实践经验和技术细节，为推动国家数据安全政策的落地起到了推动作用，也为行业数据安全治理工作提供了建设经验和参考。