數據安全不能只關注數據本身，網絡安全應擴展到全息網絡空間

　　網絡系統安全、數據安全的防護重點在軟件和軟件供應鏈安全上，掌控軟件和供應鏈安全才是未來網絡安全、數據安全的核心和瓶頸。

　　——李京春

　　2022年國家網絡安全宣傳周及廣東網絡安全宣傳周昨日結束，南方都市報專訪了長期從事網絡安全工作的國家信息技術安全研究中心總師組專家李京春。他認為，現在最為緊缺的數據安全人才是既懂網絡安全也懂數據應用等信息化的復合型人才。另外，在基礎軟件工具領域和軟件與供應鏈安全等方面亟須加快填補空白，數據安全不能只關注數據本身，軟件和供應鏈安全是數據安全、網絡安全的基礎和前提。據了解，今年廣東省網絡安全宣傳周由省委網信辦牽頭會同省委宣傳部、省委編辦、省教育廳、省公安廳、省國資委、省廣電局、省政務服務數據管理局、省總工會、團省委、省婦聯、省通信管理局、人民銀行廣州分行主辦，廣東省互聯網業聯合會、南方都市報、N視頻聯合承辦。

　　A

　　網絡安全應擴展到全息網絡空間

　　南都：《網絡安全法》已施行五周年，你認為當前我國面臨最重要的網絡安全挑戰是什么？

　　李京春：挑戰非常多。我先說一個比較關鍵的問題：《網絡安全法》中的“網絡”這一概念和定義的范圍問題?，F在《網絡安全法》中的“網絡”實際上是Network（網絡）的概念，是一個小概念，并非Cyberspace（網絡空間）的概念，所以說“網絡”安全的范圍窄了、小了——我們不能只關注和應對Network“網絡”安全風險與挑戰，而忽視了Cyberspace“網電光磁”全息的“網絡空間”安全威脅。

　　具體來說，“網”是指互聯網等IP網絡的安全與對抗，“電”是動力電和電力載波通信中的安全與對抗，“光”是激光等各類光波通信的安全與對抗，“磁”是衛星、載波、短波、毫米波等通信和電磁頻譜信號安全與對抗。隨著互聯網、物聯網、星聯網等互聯范圍的不斷擴大，伴隨“元宇宙”概念的“網絡空間”安全問題也會進一步擴大，Cyberspace“網絡”安全將是最大、最重要的挑戰。

　　從俄烏戰爭中可以看出，未來的安全與對抗是全方位、多領域的混合型安全與對抗，這種小概念的“網絡”安全已經無法應對全方位、立體化的“網絡空間”威脅，無法應對“網電光磁”的協同式攻擊。因此，在法律層面也需要不斷地補充完善，與時俱進。

　　另外，《網絡安全法》也規定，關鍵信息基礎設施要“在網絡安全等級保護制度的基礎上，實行重點保護”。我認為，重點保護要結合行業實際。電力工控系統、石油石化的工控系統、軍工企業的工控系統都是不一樣的，所以重點保護要結合實際、結合行業特點因地施策。安全意識和保護技術提高了，我們的策略和重點保護才能更有效，如何做好關鍵信息基礎設施重點保護也是各保護部門面臨的重要挑戰。

　　B

　　網絡安全方面容易忽視基礎軟件產業

　　南都：你曾說過，全國數據安全人才缺口在百萬級以上。你建議如何解決數據安全人才匱乏的問題？存在哪些瓶頸？

　　李京春：現在我國需要的數據安全、網絡安全人才十分匱乏，既懂IP“網絡”安全又懂“網絡空間”安全還懂數據應用等信息化的復合型人才更是匱乏。

　　雖然我國在數字化轉型等方面走在了國際前列，但是我們在很多基礎研究、基礎產業等方面落后于發達國家，比如高端數字處理工具、高端數字自動控制、集成電路和CAD輔助設計的工具、科學計算仿真工具、軟件開發工具等方面，需要盡快填補空白，減少“卡脖子”的情況。

　　我國在網絡安全方面還容易忽視基礎軟件產業，“軟件不值錢”“軟件必須和硬件捆綁才值錢”“軟件可以盜版”“開源軟件隨便用”等錯誤認識和亂象嚴重影響我國軟件產業健康發展；基礎軟件、關鍵軟件不單是“卡脖子”，還一直被國外“牽鼻子”走。

　　從互聯網（自動化辦公）、移動互聯網（智能終端）、工業互聯網（智能制造）到元宇宙（虛擬現實）可以看出，軟件定義一切。因此，網絡系統安全、數據安全的防護重點在軟件和軟件供應鏈安全上，掌控軟件和供應鏈安全才是未來網絡安全、數據安全的核心和瓶頸。

　　還要改變安全人員只會安全不懂數字化、信息化的局面，只會簡單堆疊各種安全產品，羅列各種安全措施，這種傳統靜態安全防護理念只會加重網絡系統負擔，影響系統運行性能和效率。

　　尤其要重視基礎軟件、關鍵軟件和軟件安全，加快創新，防止“卡脖子”“牽鼻子”問題進一步加劇，防止更大程度地受制于人。

　　C

　　數據在社會流通層面建議匿名、脫敏

　　南都：去年11月，《廣東省公共數據管理辦法》正式施行，其中提及要求各單位做好公共數據安全的管理工作。對于公共數據的安全保障，你有哪些建議？

　　李京春：首先，各單位需要加快制定公共數據治理相關技術標準和細則，提高《辦法》的可操作性。比如疫情管控用的健康碼數據就屬于公共數據，防止公共數據濫用，造成個人隱私泄露。廣東省出臺《公共數據管理辦法》非常必要，但是各單位怎么按照相關的部門規章、地方法規去做好公共數據的安全管理值得關注，這件事必須要有一把尺子，這把尺子就是要執行相關數據安全標準。國家已經出臺多個數據安全和個人信息保護相關的技術標準，對解決公共數據利用和安全管理方面的問題提供指導和參考。

　　其次，是在國家層面確保實名可追溯，在社會流通層面實現匿名、數據脫敏，充分保護個人信息主體權益。早期我國在推廣實名制的時候，希望制度能遏制犯罪，威懾違法，一旦犯罪，立刻就溯源到人。但是當時的實名制也帶來一個問題，在居民身份證廣泛使用的同時，身份證號、姓名、住址等個人敏感信息都會在社會流通層面被采集、被存儲、被處理，甚至被泄露，給不法分子販賣數據帶來了機會，引發的數據安全問題不可小視。針對這一問題國家有關部門也在抓緊數字身份證（網絡身份證）的技術研發和試點示范，讓數字身份證和居民身份證有同等的法律效力，這種數字身份證可能是一種特殊二維碼或其他編碼，能保證個人信息的安全。

　　所以，我希望在社會數據流通和數據處理層面，充分利用匿名化處理、脫敏處理的數據，參與大數據、云計算、區塊鏈等智慧應用，而保證無法追溯到個人信息主體。這樣既保護了個人信息，又可以使數據更有效地流通利用。另外，在公共數據開放利用中，各個數據處理的各環節都要堅持合法、必要、正當的原則，保護個人信息，防止一刀切，要加強監管，及時解決公眾反映的熱點問題。

　　D

　　希望自動駕駛“數據不出車”

　　南都：近兩年，國家層面和地方政府紛紛出臺智能網聯汽車的數據安全相關的規范文件，你也一直非常關注。你認為目前有哪些需要改進的地方？

　　李京春：在自動駕駛的數據采集、模型算法、數據訓練等方面還是有比較多的問題。首先，我認為自動駕駛的數據采集需要進一步納入監管。比如某汽車外商企業每天采集的數據量非常大，可能達到幾TB或幾十TB，而且長期存在數據出境的問題。我國多個法律都對數據存儲、數據出境提出了明確要求。自動駕駛地圖數據采集國家有關部門也早有明確規定，國家多個部門制定相關技術標準，規范“地理位置數據、攝像頭和雷達數據、個人信息數據”等采集和處理行為。

　　第二是在自動駕駛車端方面，我希望在社會層面上盡可能做到“數據不出車”。一些個人數據、敏感的地理位置、周邊的環境數據，尤其是采集到的路人的人臉數據，盡可能不出車。當然，像是保障車輛安全的協議數據是可以出車的，國家制定相關標準規范出車數據使用和保存期限。

　　第三個方面就是要加強自動駕駛后臺存儲服務器（或云平臺）數據安全管理?，F在各個車企還是各自為政的狀態比較多，后臺數據安全保護強度能力存在差別，個人數據、地理環境、汽車周邊環境數據都在后臺存儲，很容易造成數據泄露或安全事件，亟待規范和加強這些出車數據的安全管理。

　　出品：南方都市報 南都大數據研究院 京滬新聞中心

　　策劃：戎明昌 劉江濤

　　統籌：鄒瑩 凌慧珊

　　采寫：南都記者 孫朝