5月26日，數博會期間，中國工程院院士、光纖傳送網與寬帶信息網專家鄔賀銓在"構建數據安全新秩序"高端對話中從大數據支撐數字安全的新秩序、網絡安全構建數據安全的基礎、人工智能提升數據安全的能力、數據安全推動制度法規的建設四個方面探討了"從網絡安全到數據安全"的相關問題。

一、大數據支撐數字安全的新秩序

中國電子商務、互聯網金融、移動支付的發展非常的迅速，但往往伴隨着網絡詐騙，僞欺詐、個人信息泄露、金融風險和監管的挑戰等。黑客可以最大限度地從線上網絡、郵件、電子商務、家庭地址等蒐集用戶數據，只要瞭解你到過的四個位置，就可以識別出95%的個人信息。

數字業態的出現，給網絡安全帶來新的挑戰，現在可以利用大數據的技術幫助我們改進對這些風險的防範。實際上，加密是一種辦法，但不同的用戶防範等級不同，加密也不能完全一樣，因爲這些是有代價的。要分析用戶行爲，本來是有難度的，這麼多的用戶怎麼能一每個都知道?所以根據用戶上網的操作習慣，系統會檢測出這個用戶平時是怎麼走的，這一次怎麼會變?這異常的行爲，究竟是用戶被人家劫持了，還是別人冒充了用戶身份上網，可以判別用戶的異常，分析這種異常是通過哪種途徑進來的，意圖是什麼?可以提升報警的準確性。

此外，大數據技術可以用來打擊電信詐騙。以前很多電信詐騙是僞基站，是移動的，要定位它很困難。現在通過雲端機器學習，可以準確定位僞基站。另外可以建成一個防電信詐騙的防範系統。現在很多詐騙是仿冒公檢法，我們可以把公檢法電話號碼進行監控。這樣，詐騙的發生率就大大降低了。

另外基於大數據網絡安全防禦可以彌補數據中心不足。現有的數據中心主要是針對小數據，它的處理能力並沒有專門針對大數據，而且傳統的分析方法主要是基於規則和引擎。我們有規則庫，但沒有預先知道威脅，就建立不了規則。而且非結構化的數據，需要特別的數據庫，這種數據庫安全只是中間件，沒有太多的擴展能力，所以大數據安全需要利用更多的支持，更多的感知，我們叫情景要素、情景感知，包括資產、身份、位置等。

第二、網絡安全構建數據安全基礎

網絡地址現在轉到IPV6，IPsec不是IPv6的要求，並不會因爲它的使用對內容管理增加風險。另外IPV6海量地址可以實行實名制，通過IPV6的地址很多，可以規範地分配，可以從地址上準確看出用戶所在地域、用戶使用什麼業務，可以很好地按區域、按業務精準管理，而且海量地址空間可以有效防止被攻擊。

對於雲安全，雲本身有一些安全措施，並且後臺還有一大批專業人員做雲安全審查。總的來講，使用雲應該是有安全性的。但是因爲雲中存儲了大量用戶數據和客戶數據，雲計算會成爲黑客攻擊的重點。在硬件上要多層次保護，雲計算從數據備份，採用不同加密等保護處理。這裏要說明，很多工業互聯網和政府內網都是隔離的，本來以爲隔離網絡是很安全的，去年5月份發現，內網反而更容易受攻擊。因爲內網系統沒有在線，不小心外網木馬帶入內網，就很難得到補丁，也沒有及時響應。

工業互聯網也有同樣的問題，所以需要採取嚴格的安全防範技術。物聯網也會面臨嚴重的安全挑戰。物聯網裏面，2017年美國麻省理工評論裏，就把殭屍物聯網列爲十大突破技術之一。前年美國東海岸網絡都癱瘓了，由於大量攝像頭中了木馬，黑客組織在2016年發動了木馬攻擊，10萬個攝像頭，每個以8兆的速度，同時對每一個域名服務器進行訪問，導致服務器癱瘓，癱瘓後其他很大流量就轉到另一個域名服務器，其他的也都癱瘓了。未來區塊鏈物聯網，可以幫助解決對物聯網安全的防護。

就車聯網而言，一輛汽車就是一個巨型的物聯網和大型的移動智能終端，本身就是一個很大的電子系統，裏面有CPU，有複雜的軟件，加上無人駕駛車的出現，這裏面安全性就越來越嚴重了。如果說以前中東一些恐怖分子，是用汽車人肉炸彈來做恐怖活動，現在不需要人了，只要有汽車就可以做炸彈。那汽車的網絡安全可以通過區塊鏈技術幫助改進。

實際上，區塊鏈的每一個區塊裏面包含着交易信息，還有哈希值。哈希值是交易形式的摘要，根據一種算法算出來的摘要，不管有多長，哈希值都是156個比特。哈希值跟交易信息的關聯，可以發現這個區塊有沒有被更改。而且這個區塊還被複制到所有跟交易有關聯的節點。所有節點應該是一樣的，如果某一個節點發生變化，說明它是錯誤的，可以很容易把它更正過來。前一個區塊跟後一個區塊通過哈希值關聯，假設你有能力改變一個區塊，你不需要算到前面的時間，去更改前面的哈希值。所以區塊鏈在整個網絡安全上也會起到很好的作用。

第三、人工智能提升了數據安全能力

機器深度神經網絡學習，已經通過多層次的迭代。最次姿勢識別靜止的東西還是動物，是人還是動物，然後再區別是大動物還是小動物，區別小動物耳朵是什麼特徵，眼睛是什麼特徵，分類以後，人介入以後再告訴它這是貓。根據這個分類得到的經驗，同樣需要一層層識別，最後可以識別出這是什麼。

人工智能可以通過學習，不用再在機器手臂內置程序，而是通過模仿人的手臂就可以動作了。另外隨着概率論技術的進步，使得不確定的數據現在可以計算了，所以人工智能現在發展很快。我們知道AlphaGo，通過多臺設備，48個TPU，蒐集了所有圍棋棋譜，通過三個月的培訓就可以了。新的阿爾法PLUS只學習了圍棋規則，跟AlphaGo對弈是100:1，所以未來人工智能在安全領域也會發揮大量的作用。

人工智能本身是雙刃劍，利用人工智能發展漏洞，黑客也可以利用人工智能發現網絡的漏洞，人工智能降低了黑客的門檻，黑客不需要多少知識就可以變成黑客了。現在利用人工智能可以模仿熟人的聲音，可以變聲，可以實現釣魚工具。

所以說，人工智能本身就是把雙刃劍，可以要更好地利用人工智能。最重要的一點，人工智能可以幹很多需要大量人力去重複的工作。比如很多網站都需要大量安全分析師去審查是否存在黃色照片，而現在人工智能技術一分鐘就能完成一個安全分析師一年的工作量。人工智能可以大大提高工作效率，可以對流量進行異常監測，也可以識別很多僞文件。

第四、數據安全推動制度法規建設。

工信部出臺了《大數據產業發展的規劃》，2016年國家出臺了《網絡安全法》，這些都對大數據開發利用有了基本的規範，但還有待於基本化。各政府部門的數據是不是應該完全共享?不見得。監察部的數據不能跟其他部門完全共享，全國人大的數據不太可能跟國務院數據完全共享，所有共享都是不對稱的。中央政府對地方政府的數據共享也是不對稱的。政府數據共享到什麼層次;省級、市級共享到什麼程度，政府跟企業數據共享都是不對稱的。

政府提供給企業的數據，既能提供給企業，也能提供給公衆，所以企業不可能有特殊性。另外從國家安全出發，政府是有權調動企業數據的。但企業是不是有義務向政府提供數據?我認爲企業沒有義務把自己的所有數據都提供給政府。

政府從企業調用數據以後，誰來保證企業商業祕密不泄漏。誰調用誰就有責任，企、事業單位之間的數據是可以共享的，但企業單位之間的共享，本身利益平衡實際上是交易行爲。

一般來講，數據開放方面，除了國家機密、企業祕密和個人隱私，這些政府的數據原則上都是開放的。但開放本身是要進行過濾和脫敏，不是原封不動的，而且開放需要經過清洗。也需要有一定的規則。

目前我國數據開放做得不是很好，政府部門不知道哪些東西可以開放，哪些不能開放，也不知道怎麼過濾和脫敏。數據在進行交易之前，需要對數據進行確權，另外交易的數據必須要有質量評定與估價。政府的開放數據可以免費，隱私數據，給多少錢也不能賣。所以政府數據沒有交易的問題。我們有些交易中心拿政府數據來交易，這是不對的。

運營商和互聯網內容供應商所蒐集的用戶數據，原則上所有權不是他的，是用戶的。但運營商和互聯網企業擁有對數據脫敏和挖掘以後加工數據的所有權，可以挖掘以後提供諮詢報告給政府，交易平臺也不能截留數據。所以數據交易上，數據源的穩定性、更新頻率等方面還需要明確責任。

現在，歐盟開始實現GDPR，有人說，這個法律是有史以來對個人數據保護最嚴的。他規定個人數據是指歐盟內部的，但執行法律的對象不限於歐盟內部。歐盟之外，只要涉及到歐盟公民的數據，都受這個法律管制。如果你違反，罰款是一千萬歐元，或者企業上一財年全球營業總額的2%。哪個數字高就罰哪個。按照他的規則，他認爲嚴重就加倍，如果你的營業額是幾百美元，你就叫交4%。

另外一個問題，範圍太寬。個人數據是講什麼?跟個人隱私、個人數據有關的銀行帳戶、醫療信息、IP地址。目前看來，只要跟歐洲有關係的中國的互聯網企業，絕對已經觸犯這個法律了。在這點上，我認爲中國需要制定個人數據保護，但不能效仿歐盟GDPR。如果太嚴了，就不利於互聯網事業發展了。