宜勇 秦灿辉

几年前，美国商务部以违背美国国家安全为由，禁止向中国四家国家超级计算机中心出售“至强”（XEON）芯片，美国一贯高举的“国家安全”大棒使中企在美投资屡屡受阻，最近华为事件和中美贸易战愈演愈烈。随着中国持续崛起和高速发展，美国对华的怀疑和敌意显著上升，认为中国是其霸权最根本、最严重的战略挑战。同时“棱镜门”使我们认识到，如果不掌握网络信息领域的核心技术，就很难防止其他国家通过合理或者不合理的手段获取信息，就很难有完善的对策防护类似“棱镜门”这样的监控项目，作为网络信息技术的发展中国家，我们面临的安全风险仍然严峻。

随着互联网技术的高速发展，云计算、人工智能、区块链等高新前沿技术的广泛应用，新的科技手段层出不穷，信息量迅猛增加，呈现爆炸性增长趋势。据统计近30年来，人类生产的信息已超过过去五千年信息生产的总和，当今世界已进入大数据时代前夕。大数据已经成为新发明和新服务的源泉，给世界各国经济、社会、民生、生态带来了重大深远的影响，可以说大数据安全直接关乎国家命脉，民族兴亡。目前，国内外各行各业频发的数据泄漏安全事件呈指数性增长，利用大数据开展对抗已经成为经济竞争甚至军事行动的一个必选手段，解决好数据安全问题已经刻不容缓，并提升到国家安全层面。为了应对大数據时代的新挑战，应该从顶层设计开始，加强统筹、集智攻关、同步展开，边研究、边试验、边部署，实现数据从产生到销毁全流程全寿命周期管控，建设数据可视可控可追溯的安全体系，塑造一个坚不可摧的数据安全堡垒。

网络自诞生之日起，网络信息安全问题就随之而来。我国虽然是网络大国但还不是网络强国，相比欧美等网络强国，我们在数据安全上还存在软硬件技术受制于人，网络本身安全性差，部分行业安全意识差等突出弱点，数据泄露事件时有发生，且频率呈上升趋势。数据一旦泄露，将对国家经济发展、社会稳定、国防安全造成不可估量的损失。特别是随着物联网、云和大数据等新一代信息技术的快速发展和深入应用，各行业数据综合集成、深度融合与汇聚，其数据安全问题将更加突出，如果处置不当将导致灾难性后果。

网络系统软硬件受制于人，难以真正掌控数据主权。当前，我国国产自主化还处于初级阶段，基础通信网络、信息安全防护、服务器、存储设备、操作系统、开发编译工具等核心信息技术产品缺乏自主可控，还依赖于国外进口。据统计，我国三大运营商、政府、军队、能源、金融等关系到国计民生行业所用到的核心信息技术产品中，国外厂商设备占到90%以上比例。这意味着我国在相当长一段时间内，小到各类终端，大到服务器、信息安全设备、数据存储设备等核心信息技术产品仍然受国外控制。国外产品的原生性后门、内置病毒和木马等隐患，一旦被远程激活，大量数据信息将完全曝光在敌对势力的视野下，随意窃取、篡改、破坏的安全风险极大。

新一代信息技术运用新模式，增加了数据泄漏风险系数。一是国计民生各行业大力加速云、物联网、大数据等新一代技术的应用，大量涉及个人隐私、军事情报信息，以及各种政府、公司行为的敏感数据大规模集中存储增加了泄露风险系数;二是大数据应用是人工智能、商业智能、信息技术等多个跨领域技术的集成，数据大规模频繁网际交换增加了泄露风险系数;三是大数据是网络中易攻难守的显著目标，攻击成本低，收获多，“性价比”好，无形中降低了黑客、国外敌对势力、商业竞争对手数据窃取成本，数据的易受攻击性增加了泄露风险系数;四是黑客可利用大数据挖掘和分析技术更加精准的发起攻击，叠加效应大大强化了网络攻击能力并增加了泄露风险系数;五是传统的安全防护措施，跟不上数据爆炸性增长的速度，安全防护能力弱增加了泄露风险系数。

网络强国利用技术不平衡优势，不断窥视大数据信息。美国作为全球最大的信息强国，与英国、加拿大、澳大利亚、新西兰组成了“五眼”情报联盟，利用其信息技术优势肆无忌惮的对全球互联网数据和他国涉及政治、军事、经济等数据进行搜集、存储、挖掘，从中刺探他国的各类情报，严重威胁主权国家的数据安全，引发全球信息安全危机，而且这种技术上的不平衡目前难以打破。

关键领域数据进一步共享开放，数据资产风险管控难度加大。随着未来大数据的广泛应用，政府和公共事业领域涉及国家安全的大量数据资源也将逐渐实现共享和进一步开放，但目前由于相关配套法律法规、数据安全防护体系和监管机制尚不健全，加大了国计民生关键数据资源流失风险程度。

缺乏数据安全防护体系顶层设计，易引发核心数据资产失控。我国尚未建立系统完善有效的数据安全防护体系，防数据窃取、破坏的安全防护能力还比较薄弱，其信息安全防护体系还停留在以边界安全防护为主的传统思维上，在现有的安全防护手段逐渐失去防护效果，传统的系统安全、边界安全无法有效及时发现、防御和处置像棱镜门监听、国外厂商设备原生性后门、APT攻击等深层次、高复杂、隐蔽性的安全威胁，极易导致涉及国家政治、国防、核心商业机密数据大规模泄露。

近年来，我国高度重视数据安全，在数据安全防护顶层设计上相继出台《中华人民共和国网络安全法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等多部涉及数据保护的法律法规和部门规章，发布国家的个人信息保护相关标准，在行业层面开展以数据安全为重点的安全防护检查，取得了很好的成效。但目前还缺少对应技术手段来支撑国家数据安全顶层设计的加速落地，“封门堵漏”的被动防御思想和安全防御手段，已逐渐丧失防护优势，无法有效应对多样化、智能化、自动化的网络攻击手段，传统意义上的网络防护长城正在崩塌，新型网络数据防护体系亟待建立。我们需要在体系构建和技术体制等方面不断推陈出新，要以先进的数据安全理论为引导，采用基于人工智能的主动防御技术、增强数据自身免疫的可信密码技术等数据安全防护新技术、新手段，构建能够覆盖数据采集、传输、访问、存储、销毁全生命周期，全面、先进、完善的数据安全防护体系。并通过采取以下安全保护措施维护数据安全：

建立数据资产安全态势感知系统，改变数据资产管理的混沌状态。有效的数据安全状况梳理、清晰的数据资产分布、明确的数据分类分级是保护数据资产安全的前提;

建立数据安全主动智能防御系统，精准识别和实时拦截数据攻击。智能大数据时代的到来，传统网络边界逐渐消失，传统的被动安全防护手段无法有效监视、发现、跟踪、阻止正在实施的攻击，业务数据将遭受日益未知、愈发复杂的网络安全威胁;

建立基于可信密码技术的数据安全存储环境，有效阻止非授权访问。存储在数据库的关系型数据或文件系统的非结构化数据，被网络上众多计算机和用户，通过多访问途径访问与共享，使得聚集数据的数据库管理系统和文件存储系统已成为外部攻击者和内部恶意人员的首选目标;

建立多因子身份认证系统，提升用户身份认证过程的灵活性安全性。用户身份认证作为访问系统和业务数据的钥匙，传统如用户名口令、手机短信、二维码等认证方式极易被钓鱼网站、木马程序窃取，或被暴力破解，导致用户身份被他人冒充;

建立高弹性的超融合架构，完善新技术应用下数据安全防护体系。基于传统的安全防护技术和被动防御模式已不能适应和解决云、大数据环境下不复存在的隔离安全域、业务多样性带来的防御复杂度和大规模攻击效应等安全问题。

（本文第一作者单位系军事科学院系统工程研究院后勤科学与技术研究所，第二作者任广东省信息安全工程技术研究中心副主任）