数字安全新突围

数字经济时代，数据在成为重要生产要素和核心资产的同时，也面临着巨大安全风险，遍及数字化的各个应用场景。研究报告表明，2020年全球数据泄露数量已超过此前15年的总和，数据泄露事件平均成本逐年增长，目前已创下435万美元的历史新高。数字安全成为网络安全的核心挑战，万物互联之下，牵一发而动全身，做不到万无一失，就有可能一失万无，甚至危及国家安全。

摸清家底，提高核心“免疫力”

刚刚挂断电话，张涛便接到了北京反诈中心的来电提醒：不要轻信境外来电，不要给陌生人汇款，谨防电信网络诈骗。在此之前，他也多次收到短信提示：购物退款要联系官方客服，买卖游戏装备要在官方平台，凡是自称注销征信记录的都是诈骗。

相比之下，赵楠就没那么幸运。已经接近晚上12点，群里的消息还在不停地轰炸。自从家人因网购被骗后，她便加入到这个由受害人自发组织的群里，人数不断增加，诉说的故事却大同小异。

近年来，随着信息化建设和应用不断加快，小到个人信息泄露、网络诈骗，大到企业勒索攻击、供应链攻击、大流量网络攻击（DDoS）等问题层出不穷，日渐猖獗，给网络安全蒙上一层隐忧。据中央网信办举报中心统计，仅今年7月份，全国网信举报工作部门、主要网站平台受理举报就达1441.4万件，其中主要商业网站平台受理量占56.7%，达742.6万件。

“新基建下，万物互联，网络攻击将从数字空间延伸到物理空间，对网络安全提出严峻挑战。”中国工程院院士沈昌祥表示，网络空间已成为继陆、海、空、天之后的第五大主权领域空间，没有网络安全就没有国家安全。

隐形风险无处不在

“万物互联，一方面让我们的生产生活更为便利，同时也导致网络攻击可以通达所有连接的节点，换言之，安全问题将无处不在。”中国科学院信息工程研究所第五研究室主任徐震告诉《经济》杂志、经济网记者，传统网络空间安全，主要关注信息与系统的机密性、完整性和系统的可用性，进入万物互联时代，安全攻击则将危及现实世界的方方面面。

总的来看，网络安全威胁主体大致可以分为国家级、组织级和个体级三类。前者主要致力于完成自身战略和战术目标，会尽可能避免造成大的公共影响，很少留下线索。对于这些组织而言，金融、交通、医疗、能源等行业关系国计民生，涉及众多重要系统和关键基础设施，获取相关核心信息、控制关键系统，对国家级威胁主体有巨大吸引力。而对于专业组织及个体黑客来说，获取经济利益是其主要诉求。

然而，不管出于何种目的，攻击都是无形的，看不见就要挨打。去年5月9日，美国最大燃油运输管道商科洛尼尔因受勒索软件攻击，被迫关闭其在美国东部沿海各州的供油网络，导致美国17个州和华盛顿特区进入紧急状态。今年5月11日，意大利多个官方网站遭到黑客大规模DDoS攻击致服务器瘫痪，包括意大利参议院、机动车协会、国防部、国家卫生所等7家重要机构官网临时宕机，整整4个小时用户无法访问。

“因认知科学的局限性，设计IT系统不可能穷尽所有逻辑组合，必定会存在大量未经处理的逻辑缺陷，因此，利用缺陷脆弱点挖掘漏洞进行威胁攻击，是网络安全风险的永远命题。”沈昌祥解释道。

徐震也表示，于我国而言，首先要承认在网络信息技术和装备方面，与欧美发达国家还有明显差距，这意味着强大的对手可以对我们进行降维打击。再加上，大量核心系统和设施是构建在别人的基础之上，这其中漏洞不可避免，是否有后门也无从知晓，对手一旦以此进行高级攻击，我们的防控手段将非常有限，需要从法律法规、管理制度、产业能力、技术能力、人才队伍等方面综合发力，构建多层级可持续运营的安全防护与对抗体系。

主动免疫防患未然

IBM发布的《2022年数据泄露成本报告》显示，2021年3月至2022年3月期间，全球数据泄露事件平均成本为435万美元，比2020年报告数据增长12.7%，创历史新高。按其之前统计，花费超过200天识别和遏制数据泄露事件的平均成本为487万美元，200天内识别和遏制数据泄露事件的平均成本为361万美元。

发现得越早，损失就越少。

“安全问题是不可能被完全认知和发现的。举个例子，我们知道哪些地方隐匿着新冠肺炎病毒吗？实际上是看不到的。那么应该如何预防其带来的破坏，一方面要尽量不去人多的地方，出行戴口罩，勤洗手、勤消毒;另一方面，要增强自身免疫力和抵抗力，识别并降低病毒的侵害。”南开大学网络空间安全学院教授、中国网络空间安全协会副秘书长张健认为，不管是政府部门，还是企业、组织，都应该加强对自身网络风险的分析、排查和认知，摸清家底，建立全天候全方位感知网络安全态势，一旦发现或出现问题，可通过信息共享机制，起到预警和警示作用。

沈昌祥也表示，杀病毒、防火墙、入侵检测的传统“老三样”已经难以应对人为攻击，且容易被攻击者利用，找漏洞、打补丁的传统思路也不利于整体安全，构筑网络安全主动免疫保障体系迫在眉睫。“主动免疫可信计算是防御风险的新模式，可在运算的同时进行安全防护，并以密码为基因抗体实施身份识别、状态度量、保密存储等功能，及时识别‘自己’和‘非己’成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了‘免疫能力’。”据他介绍，目前可信计算已广泛应用于国家重要信息系统，如增值税防伪、彩票防伪、二代居民身份证安全系统、国家电网电力数字化调度系统安全防护建设等。其中，电力可信计算密码平台已覆盖几十个省级以上调度控制中心、上千套地级以上电网调度控制系统，涉及十几万个节点，约4万座变电站和1万座发电厂，有效抵御了各种风险攻击，保障电力调度系统安全运行。

“‘没有绝对的安全’，这是网络安全领域的公理。网络安全的核心是攻防对抗，没有攻就不存在防的必要，以攻击者角度全面感知威胁，是安全防御的基础。”在北京华顺信安科技有限公司创始人、CEO赵武看来，网络空间测绘本质上就是从攻击者视角寻找防御的薄弱点，即通过主动测绘标识设备的位置、归属和风险点，进而形成网络空间的高精地图，拉平攻防双方的不对等态势。当遭遇安全攻击时，“地图”可以快速定位风险设备或系统位置，分析并预判可能波及的重点行业和机构，评估受影响程度。同时，对于拥有庞大网络资产体系的企业、单位和组织，网络空间测绘还可以从硬件、操作系统、服务、支撑、应用等多个层面，对联网资产进行标识划分，精准识别长期未更新升级的“暗资产”，明确网络防护边界，做好资产防护。

产业规模有待提高

巨大风险，孕育着巨大的市场空间。

8月11日，IDC发布的网络安全市场数据显示，2021年全球网络安全IT总投资规模为1687.7亿美元，并有望在2026年增至2875.7亿美元，5年复合增长率（CAGR）为11.3%。聚焦中国市场，2026年中国网络安全IT支出规模将达到318.6亿美元，全球占比约为11.1%，5年CAGR约为21.2%，近全球两倍。工信部网络安全产业发展中心《2021中国网络安全产融创新发展报告（上半年）》也指出，2015年以来，国内网络安全产业投融资总额呈激增态势，总规模5年间增长近9倍，由2015年的19亿元增长为2020年的177亿元，推进网络安全产业发展已成为共识。

“近年来，《网络安全法》《数据安全法》《个人信息保护法》等法律法规的出台，极大推动了网络安全产业的发展，但与网络和信息系统建设相比，网络安全投入仍存在很大不足。当前，我国信息化产业规模约为2万亿元，而据有关统计，去年网络安全产业总体规模才突破2000亿元，差距巨大。”究其原因，张健认为在于安全企业比较分散，“没有寡头只有诸侯”，尚未形成对产业发展有牵引作用的大企业，“虽然部分企业已具备这种趋势，但整体规模仍然偏小，供给能力存在不足”。

对此，徐震也表示，虽然网络安全厂商开始出现集中化趋势，但在产品和服务方面，排头的企业多是“大而全”，即产品线长，这意味着单个产品、服务投入相对不足，产品的技术水平提升资源会面临困境。他认为，网络安全并非传统大行业，相对而言，“专”“精”比“全”更重要，如果各企业能够将精力聚焦在几个长项产品和服务中，产业能力将得到更大提升。

此外，需求不足也是制约安全市场发展的重要因素。据相关数据统计，92.3%的中小微企业长期被黑客攻击而不能独立应对数字安全威胁;81.6%的勒索攻击针对的是1000人以下的中小微企业，恶意软件、网络钓鱼、利用系统漏洞等原来针对大型企业的网络攻击手段开始对准中小微企业。然而，相比之下，只有一成左右的中小微企业网络安全年投资预算为10万元以上。

“这与中小企业自身技术能力、财力有关。安全有很强的专业性，如果企业自己搭建安全团队，未必能达到很高水平，这就需要第三方提供安全服务。”张健告诉《经济》杂志、经济网记者，中国网络安全市场与国外的区别在于，后者更强调软件和服务，而中国恰恰相反，硬件占比更高。“从某种意义上讲，大家觉得服务看不见摸不着，只有形成固定资产才能安心。”他表示，目前这种现象已经有了很大变化，购买服务已逐步被政府和企业所认可。按照工信部《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》部署，未来我国将建设网络安全运营服务中心，面向中小企业提供高质量、低成本、集约化的网络安全产品和服务;引导中小企业通过网络安全产品服务一站式购买、租赁、订阅、托管、云端交付等方式，灵活部署网络安全产品和解决方案，进而提升中小企业网络安全防护意识和能力。

数据安全成新蓝海

数字经济时代，数据成为核心资产，遍及生产生活的各个领域。根据《数字中国发展报告（2021年）》，2017年到2021年，我国数据产量从2.3ZB增长至6.6ZB，全球占比9.9%，位居世界第二;数字经济规模从27.2万亿元增至45.5万亿元，占GDP比重从32.9%提升至39.8%，成为推动经济增长的主要引擎之一。

“数字化在重新定义世界运行的方式，用传统网络安全定义今天数字化面临的安全挑战已经不够了。”2022全球数字经济大会数字安全峰会上，360集团创始人周鸿祎表示，数字化的内在脆弱性导致安全风险更大，同时外部威胁也在不断升级，在内外部双重安全挑战之下，风险遍布数字化的所有场景，倒逼网络安全升级为数字安全。

资本市场对这一领域甚是关注。从公开数据来看，2022年上半年我国网络安全行业投融资规模超过78亿元，预计全年投融资规模有望达到200亿元，其中，数据安全、工控安全和隐私计算成为近一年半来投资的前三方向。从企业来看，作为聚焦安全大数据的高科技企业，华顺信安在B轮融资仅一年后，又于今年4月完成C轮融资，规模高达数亿元，进一步印证了资本市场的青睐。

“数据安全已成为当前核心挑战。一方面，数据资产的利用需要高效访问与处理，为数据安全防护带来诸多挑战，利用与安全的矛盾亟待解决;另一方面，大量数据处理者持有海量个人隐私数据，数据的归属权存疑，采集、存储、处理、运用和消费中的个人隐私问题，需要从法律、管理、技术等多个层面综合施治。此外，近期多起大规模数据泄露事件也给我们敲响了警钟，事件背后暴露出的云平台与应用系统安全问题，同样需要我们长期关注。”徐震提醒道。

云安全同样也是张健反复强调的重点。“现在很多企业将数据迁移到云平台，这是大势所趋，但也存在一个问题，承载着大量数据和应用系统的公有云，安全如何保障？”他坦言，虽然我国对公有云等重要基础设施建设有等级保护要求，但在安全管理机制、技术防范体系方面仍有不足，多数公有云平台处于半封闭状态，即由云服务商的安全团队提供安全运维服务，主观上对网络安全行业供给开放不够，导致网络安全行业对其赋能不足，公有云安全存在一定风险。