掌握软件和软件供应链安全，才是网络系统、数据安全的防护重点

发布时间：2022-09-12 09:42:52 【来源：南方都市报】

　　网络系统安全、数据安全的防护重点在软件和软件供应链安全上，掌控软件和供应链安全才是未来网络安全、数据安全的核心和瓶颈。

　　——李京春

　　2022年国家网络安全宣传周及广东网络安全宣传周昨日结束，南方都市报专访了长期从事网络安全工作的国家信息技术安全研究中心总师组专家李京春。他认为，现在最为紧缺的数据安全人才是既懂网络安全也懂数据应用等信息化的复合型人才。另外，在基础软件工具领域和软件与供应链安全等方面亟须加快填补空白，数据安全不能只关注数据本身，软件和供应链安全是数据安全、网络安全的基础和前提。据了解，今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办，广东省互联网业联合会、南方都市报、N视频联合承办。

　　网络安全应扩展到全息网络空间

　　南都：《网络安全法》已施行五周年，你认为当前我国面临最重要的网络安全挑战是什么？

　　李京春：挑战非常多。我先说一个比较关键的问题：《网络安全法》中的“网络”这一概念和定义的范围问题。现在《网络安全法》中的“网络”实际上是Network（网络）的概念，是一个小概念，并非Cyberspace（网络空间）的概念，所以说“网络”安全的范围窄了、小了——我们不能只关注和应对Network“网络”安全风险与挑战，而忽视了Cyberspace“网电光磁”全息的“网络空间”安全威胁。

　　具体来说，“网”是指互联网等IP网络的安全与对抗，“电”是动力电和电力载波通信中的安全与对抗，“光”是激光等各类光波通信的安全与对抗，“磁”是卫星、载波、短波、毫米波等通信和电磁频谱信号安全与对抗。随着互联网、物联网、星联网等互联范围的不断扩大，伴随“元宇宙”概念的“网络空间”安全问题也会进一步扩大，Cyberspace“网络”安全将是最大、最重要的挑战。

　　从俄乌战争中可以看出，未来的安全与对抗是全方位、多领域的混合型安全与对抗，这种小概念的“网络”安全已经无法应对全方位、立体化的“网络空间”威胁，无法应对“网电光磁”的协同式攻击。因此，在法律层面也需要不断地补充完善，与时俱进。

　　另外，《网络安全法》也规定，关键信息基础设施要“在网络安全等级保护制度的基础上，实行重点保护”。我认为，重点保护要结合行业实际。电力工控系统、石油石化的工控系统、军工企业的工控系统都是不一样的，所以重点保护要结合实际、结合行业特点因地施策。安全意识和保护技术提高了，我们的策略和重点保护才能更有效，如何做好关键信息基础设施重点保护也是各保护部门面临的重要挑战。

　　网络安全方面容易忽视基础软件产业

　　南都：你曾说过，全国数据安全人才缺口在百万级以上。你建议如何解决数据安全人才匮乏的问题？存在哪些瓶颈？

　　李京春：现在我国需要的数据安全、网络安全人才十分匮乏，既懂IP“网络”安全又懂“网络空间”安全还懂数据应用等信息化的复合型人才更是匮乏。

　　虽然我国在数字化转型等方面走在了国际前列，但是我们在很多基础研究、基础产业等方面落后于发达国家，比如高端数字处理工具、高端数字自动控制、集成电路和CAD辅助设计的工具、科学计算仿真工具、软件开发工具等方面，需要尽快填补空白，减少“卡脖子”的情况。

　　我国在网络安全方面还容易忽视基础软件产业，“软件不值钱”“软件必须和硬件捆绑才值钱”“软件可以盗版”“开源软件随便用”等错误认识和乱象严重影响我国软件产业健康发展；基础软件、关键软件不单是“卡脖子”，还一直被国外“牵鼻子”走。

　　从互联网（自动化办公）、移动互联网（智能终端）、工业互联网（智能制造）到元宇宙（虚拟现实）可以看出，软件定义一切。因此，网络系统安全、数据安全的防护重点在软件和软件供应链安全上，掌控软件和供应链安全才是未来网络安全、数据安全的核心和瓶颈。

　　还要改变安全人员只会安全不懂数字化、信息化的局面，只会简单堆叠各种安全产品，罗列各种安全措施，这种传统静态安全防护理念只会加重网络系统负担，影响系统运行性能和效率。

　　尤其要重视基础软件、关键软件和软件安全，加快创新，防止“卡脖子”“牵鼻子”问题进一步加剧，防止更大程度地受制于人。

　　数据在社会流通层面建议匿名、脱敏

　　南都：去年11月，《广东省公共数据管理办法》正式施行，其中提及要求各单位做好公共数据安全的管理工作。对于公共数据的安全保障，你有哪些建议？

　　李京春：首先，各单位需要加快制定公共数据治理相关技术标准和细则，提高《办法》的可操作性。比如疫情管控用的健康码数据就属于公共数据，防止公共数据滥用，造成个人隐私泄露。广东省出台《公共数据管理办法》非常必要，但是各单位怎么按照相关的部门规章、地方法规去做好公共数据的安全管理值得关注，这件事必须要有一把尺子，这把尺子就是要执行相关数据安全标准。国家已经出台多个数据安全和个人信息保护相关的技术标准，对解决公共数据利用和安全管理方面的问题提供指导和参考。

　　其次，是在国家层面确保实名可追溯，在社会流通层面实现匿名、数据脱敏，充分保护个人信息主体权益。早期我国在推广实名制的时候，希望制度能遏制犯罪，威慑违法，一旦犯罪，立刻就溯源到人。但是当时的实名制也带来一个问题，在居民身份证广泛使用的同时，身份证号、姓名、住址等个人敏感信息都会在社会流通层面被采集、被存储、被处理，甚至被泄露，给不法分子贩卖数据带来了机会，引发的数据安全问题不可小视。针对这一问题国家有关部门也在抓紧数字身份证（网络身份证）的技术研发和试点示范，让数字身份证和居民身份证有同等的法律效力，这种数字身份证可能是一种特殊二维码或其他编码，能保证个人信息的安全。

　　所以，我希望在社会数据流通和数据处理层面，充分利用匿名化处理、脱敏处理的数据，参与大数据、云计算、区块链等智慧应用，而保证无法追溯到个人信息主体。这样既保护了个人信息，又可以使数据更有效地流通利用。另外，在公共数据开放利用中，各个数据处理的各环节都要坚持合法、必要、正当的原则，保护个人信息，防止一刀切，要加强监管，及时解决公众反映的热点问题。

　　希望自动驾驶“数据不出车”

　　南都：近两年，国家层面和地方政府纷纷出台智能网联汽车的数据安全相关的规范文件，你也一直非常关注。你认为目前有哪些需要改进的地方？

　　李京春：在自动驾驶的数据采集、模型算法、数据训练等方面还是有比较多的问题。首先，我认为自动驾驶的数据采集需要进一步纳入监管。比如某汽车外商企业每天采集的数据量非常大，可能达到几TB或几十TB，而且长期存在数据出境的问题。我国多个法律都对数据存储、数据出境提出了明确要求。自动驾驶地图数据采集国家有关部门也早有明确规定，国家多个部门制定相关技术标准，规范“地理位置数据、摄像头和雷达数据、个人信息数据”等采集和处理行为。

　　第二是在自动驾驶车端方面，我希望在社会层面上尽可能做到“数据不出车”。一些个人数据、敏感的地理位置、周边的环境数据，尤其是采集到的路人的人脸数据，尽可能不出车。当然，像是保障车辆安全的协议数据是可以出车的，国家制定相关标准规范出车数据使用和保存期限。

　　第三个方面就是要加强自动驾驶后台存储服务器（或云平台）数据安全管理。现在各个车企还是各自为政的状态比较多，后台数据安全保护强度能力存在差别，个人数据、地理环境、汽车周边环境数据都在后台存储，很容易造成数据泄露或安全事件，亟待规范和加强这些出车数据的安全管理。

　　出品：南方都市报南都大数据研究院京沪新闻中心

　　策划：戎明昌刘江涛

　　统筹：邹莹凌慧珊

　　采写：南都记者孙朝

上一篇：发挥国家智慧教育平台作用推进教育数字化转型
下一篇：最后一页