6月1日，《中國人民共和國網(wǎng)絡(luò)安全法》正式實施，這是我國第一部關(guān)于網(wǎng)絡(luò)安全工作的基本大法，對網(wǎng)絡(luò)運營者以及關(guān)鍵信息基礎(chǔ)設(shè)施的運營者提出了規(guī)范要求。

　　時值大數(shù)據(jù)爆發(fā)期，人工智能和物聯(lián)網(wǎng)等新興技術(shù)成為明日之星，《網(wǎng)絡(luò)安全法》會對互聯(lián)網(wǎng)創(chuàng)業(yè)者造成什么樣的影響?如何應(yīng)對其可能帶來的數(shù)據(jù)孤島問題?如何加強物聯(lián)網(wǎng)工業(yè)的安全防護?如何在實施初期/緩沖期即時調(diào)整業(yè)務(wù)框架，明確責(zé)任歸屬?如何抓住網(wǎng)絡(luò)安全產(chǎn)業(yè)機遇?

　　本期的智能內(nèi)參，我們推薦來自麥肯錫和艾媒咨詢的網(wǎng)絡(luò)安全產(chǎn)業(yè)報告，結(jié)合智東西的市場觀察，分析網(wǎng)絡(luò)安全準(zhǔn)則下的互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等企業(yè)的市場機遇與挑戰(zhàn)。

　　以下為智能內(nèi)參整理呈現(xiàn)的干貨：

　　隨著互聯(lián)網(wǎng)應(yīng)用的深化，網(wǎng)上交易頻繁，電子銀行、第三方支付、互聯(lián)網(wǎng)理財?shù)犬a(chǎn)品的發(fā)展為人們帶來便利的同時也帶來了隱患，技術(shù)的發(fā)展使傳統(tǒng)密碼防護性能下降，個人、企業(yè)，甚至國家的信息安全受到威脅。2017上半年互聯(lián)網(wǎng)安全事件頻發(fā)，網(wǎng)絡(luò)安全形勢嚴(yán)峻。

　　數(shù)據(jù)顯示，2017年上半年，中國境內(nèi)被篡改的網(wǎng)站數(shù)量在3500至6500個之間，被植入后門網(wǎng)站數(shù)量在3000至5500個之間，被篡改和被植入后門網(wǎng)站主要為商業(yè)類網(wǎng)站。

　　為此，美國戰(zhàn)略與國際問題研究中心(CSIS)的網(wǎng)絡(luò)政策專責(zé)小組發(fā)布了《從認(rèn)知到行動——第45任美國總統(tǒng)安全議程》，為特朗普政府提供未來5年網(wǎng)絡(luò)安全戰(zhàn)略建議。國內(nèi)方面，自6月1日《網(wǎng)絡(luò)安全法》正式實施以來國家網(wǎng)信辦、工信部、公安部、新聞出版廣電總局、最高人民法院、最高人民檢察院陸續(xù)推出了34項相關(guān)配套新政。

　　*CSIS網(wǎng)絡(luò)安全戰(zhàn)略建議要點示意

　　* 《網(wǎng)絡(luò)安全法》分章節(jié)核心要點與解讀(援引信達證券)

　　正如安永事務(wù)所指出的，《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運營者幾乎涵蓋了所有企業(yè)，也不僅僅局限于IT部門，而是需要從管理層往下推動，各業(yè)務(wù)部門充分配合。企業(yè)應(yīng)該利用好目前的“緩沖期”，提早作出應(yīng)對，回顧自身各項業(yè)務(wù)以及IT環(huán)境是否滿足法律規(guī)定，識別差距，針對未能滿足法律要求的細(xì)節(jié)，尤其是業(yè)務(wù)環(huán)節(jié)，制定應(yīng)對方案，比如業(yè)務(wù)優(yōu)化、修改合同與協(xié)議條款、向執(zhí)法部門報備等風(fēng)險降低方案或者是風(fēng)險接受方案。

　　數(shù)據(jù)生態(tài)建設(shè)初期：不破不立

　　*大數(shù)據(jù)產(chǎn)業(yè)地圖(援引BIME Analytics)

　　數(shù)據(jù)是未來的貨幣。數(shù)字經(jīng)濟時代，數(shù)據(jù)成為企業(yè)的核心競爭力，也成為政府監(jiān)管的依托。網(wǎng)絡(luò)安全實質(zhì)上是在數(shù)據(jù)的發(fā)展與安全之下尋求平衡。

　　盡管中國的科技巨頭能夠通過其專有平臺獲得海量數(shù)據(jù)(603138)，但在創(chuàng)建一個標(biāo)準(zhǔn)統(tǒng)一、跨平臺分享的數(shù)據(jù)友好型生態(tài)系統(tǒng)方面，以及立法基礎(chǔ)和行政監(jiān)管經(jīng)驗方面，中國仍落后于美國。第140期智能內(nèi)參指出，中國可以通過建立并落實數(shù)據(jù)規(guī)范、向私營領(lǐng)域開放公共數(shù)據(jù)、鼓勵跨國數(shù)據(jù)交流來構(gòu)建一個更為完善的數(shù)據(jù)生態(tài)系統(tǒng)。

　　*各國對網(wǎng)絡(luò)空間和信息安全的關(guān)注度顯著上升(援引信達證券)

　　規(guī)范，在短期內(nèi)的某些層面上，意味著限制。先是6月初，阿里巴巴的菜鳥網(wǎng)絡(luò)與順豐快遞之間出現(xiàn)數(shù)據(jù)斷接;再是8月，華為與騰訊的用戶隱私數(shù)據(jù)爭奪戰(zhàn)，以及各大內(nèi)容平臺的糾葛等等。數(shù)據(jù)/信息的所有權(quán)歸屬問題擴大了數(shù)字鴻溝，進一步形成了數(shù)據(jù)孤島，整個數(shù)據(jù)交易市場卻迅速顯現(xiàn)休克狀態(tài)，資本市場對大數(shù)據(jù)企業(yè)的熱情有所冷卻。

　　數(shù)據(jù)孤島，可以直接導(dǎo)致各個獨立的部門之間，特別是執(zhí)行端和決策段之間斷接。簡單說就是數(shù)據(jù)間缺乏關(guān)聯(lián)性，數(shù)據(jù)庫彼此無法兼容。不同于IBM、谷歌、蘋果等巨頭，大多數(shù)中小型企業(yè)的獲取數(shù)據(jù)的主要途徑是各類數(shù)據(jù)采集平臺。

　　但這種短時間內(nèi)的不適應(yīng)性又是通往更完善、更合理的數(shù)據(jù)生態(tài)建設(shè)的必經(jīng)之路。

　　因此，對于特定行業(yè)數(shù)據(jù)，政府可要求現(xiàn)有的監(jiān)管機構(gòu)制定必要規(guī)則;提高公共數(shù)據(jù)/事件的透明度 ，并帶頭建設(shè)行業(yè)數(shù)據(jù)庫，充分利用云技術(shù)為中小型企業(yè)提供數(shù)據(jù)平臺，為數(shù)據(jù)鴻溝提供隧穿通道，以應(yīng)對數(shù)字化/智能化轉(zhuǎn)型需求;對于涉及到個人隱私的數(shù)據(jù)，進行脫敏處理，或者參考蘋果的差分隱私技術(shù)(在數(shù)據(jù)若干片段加入數(shù)學(xué)噪音，讓個人身份無法識別)來進行數(shù)據(jù)安全保護。

　　面向物聯(lián)網(wǎng)的安全對策

　　麥肯錫認(rèn)為，2025年，物聯(lián)網(wǎng)的經(jīng)濟影響價值將達到每年3.9萬億美元至11.1萬億美元;其中，工業(yè)物聯(lián)網(wǎng)的經(jīng)濟價值每年最高可達3.7萬億美元。工業(yè)物聯(lián)網(wǎng)的爆發(fā)，原因包括快速變化的現(xiàn)代商業(yè)環(huán)境，不斷提高的數(shù)據(jù)的可用性和越來越多的傳感器的使用。

　　*物聯(lián)網(wǎng)安全事件舉例

　　在互聯(lián)互通的世界，從保護數(shù)據(jù)到保護系統(tǒng)性能，企業(yè)面臨的信息安全壓力越來越大。這種壓力既來自企業(yè)內(nèi)部的系統(tǒng)運行安全，又來自可能的泄密風(fēng)險。如果被入侵者攻擊，企業(yè)不僅面臨操作系統(tǒng)無法正常使用和大量隱私信息如核心工藝參數(shù)被竊取的風(fēng)險，甚至關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)設(shè)備遭到入侵者控制或破壞，造成巨大的經(jīng)濟損失和人員傷亡。

　　*物聯(lián)網(wǎng)行業(yè)高管對于數(shù)據(jù)安全的警惕度調(diào)研

　　將數(shù)十億的電子設(shè)備相連，除了構(gòu)建統(tǒng)一的物聯(lián)網(wǎng)標(biāo)準(zhǔn)與系統(tǒng)框架，形成一個良好的商業(yè)運作模式至關(guān)重要。對此，麥肯錫對于物聯(lián)網(wǎng)行業(yè)的CEO們提出了以下六點建議：

　　1、理解物聯(lián)網(wǎng)安全對于自身行業(yè)特性及商業(yè)模式的重要性。

　　不僅僅是一個簡單的IT管理補丁問題，還要注意物聯(lián)網(wǎng)安全問題造成的客戶滿意度、支付意愿等連鎖效應(yīng)。更加有效的物聯(lián)網(wǎng)安全解決方案(包括主要弱點預(yù)測、預(yù)防、檢測、反應(yīng)的行動鏈等)可能提供更少的停機時間，特別是對能源企業(yè)(物聯(lián)網(wǎng)安全重災(zāi)區(qū))、自動化的設(shè)備制造商而言。

　　2、明確供應(yīng)鏈中的物聯(lián)網(wǎng)安全責(zé)任機制。

　　*物聯(lián)網(wǎng)安全需要特定于層的和跨層解決方案

　　也就是上游和下游的業(yè)務(wù)合作方之間的戰(zhàn)略對話，建立薄弱環(huán)節(jié)的安全分析模型，從合作方的能力和盈利模式考慮明確相關(guān)責(zé)任機制。如設(shè)備和半導(dǎo)體制造商負(fù)責(zé)軟硬件底層安全性、網(wǎng)絡(luò)設(shè)備制造商負(fù)責(zé)傳輸層、應(yīng)用程序設(shè)計人員復(fù)雜的客戶信息層……

　　3、對話相關(guān)機構(gòu)，尋求戰(zhàn)略合作。

　　監(jiān)管機構(gòu)必然會接入(工業(yè))物聯(lián)網(wǎng)，從設(shè)計、研發(fā)到生產(chǎn)、銷售等各個環(huán)節(jié)，企業(yè)之間需要建立共識，與同行之間尋求互利的資源共享，遵循社會發(fā)展原則，定下物聯(lián)網(wǎng)安全準(zhǔn)則的基調(diào)。

　　4、將網(wǎng)絡(luò)安全融入產(chǎn)品生命周期，并列為優(yōu)先之一。

　　工業(yè)物聯(lián)網(wǎng)的價值來源不僅限于產(chǎn)品和設(shè)備的管理，而是延伸到產(chǎn)品和客戶生命周期管理。延長產(chǎn)品生命周期和客戶的生命周期的關(guān)鍵在于，工業(yè)企業(yè)需要尋找將產(chǎn)品的一次性交易轉(zhuǎn)化為持續(xù)收入來源的方法。產(chǎn)品安全的基礎(chǔ)是產(chǎn)品開發(fā)階段“設(shè)計中的安全” 。

　　5、改變管理思維和部門技能固化。

　　由于對業(yè)務(wù)的認(rèn)知與法律法規(guī)的解讀有一定局限，IT部門難以識別具體業(yè)務(wù)開展過程中是否違反規(guī)定。網(wǎng)絡(luò)安全需要全員工安全意識的提高，為了達到這個目的，一些公司已經(jīng)開始獎勵那些識別安全漏洞的員工。開發(fā)這些新跨行業(yè)的跨界技能，公司應(yīng)可以考慮與業(yè)內(nèi)其他公司、大學(xué)或者培訓(xùn)機構(gòu)合作。

　　6、為外部安全研究人員創(chuàng)建一個點接觸系統(tǒng)。

　　也就是為自家可能的安全檢測、預(yù)防和修復(fù)找到解決和負(fù)責(zé)的對接方，也就是提供一定的業(yè)務(wù)透明度。公司需要針對不同的攻擊場景制定相應(yīng)的應(yīng)對計劃。在物聯(lián)網(wǎng)世界，網(wǎng)絡(luò)安全事件可能會影響到作為一家公司運營的核心，因此需要計劃業(yè)務(wù)連續(xù)性管理和災(zāi)難恢復(fù)。

　　亦正亦邪的人工智能

　　人工智能可以成為網(wǎng)絡(luò)安全的維護手段，能夠利用已有的黑白名單技術(shù)識別可能的網(wǎng)絡(luò)威脅，甚至進一步監(jiān)督其運行過程，判斷正邪。

　　亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長童寧指出：監(jiān)督學(xué)習(xí)適用于惡意程序、勒索病毒以及垃圾郵件的防治;反欺詐、態(tài)勢感知、用戶行為分析等則更適合無監(jiān)督學(xué)習(xí)。機器學(xué)習(xí)技術(shù)的優(yōu)勢是它的多維識別能力，然而機器學(xué)習(xí)技術(shù)再強大也需要與其他手段綜合起來利用，效果才更好。

　　好吧，事實上，安全人員可以使用人工智能技術(shù)阻擋黑客攻擊，反過來，黑客也可以使用人工智能技術(shù)發(fā)起更復(fù)雜的攻擊。隨著大量人工智能模型開源，黑客入侵的工具也愈發(fā)多樣化。

　　在網(wǎng)絡(luò)釣魚電子郵件中已有這樣的案例，黑客通過模仿人類的說話習(xí)慣和內(nèi)容，使得企業(yè)或個人被入侵時更加難以識別。與此同時，自動駕駛等人工智能的應(yīng)用安全風(fēng)險的可能來自車輛系統(tǒng)自身出現(xiàn)錯誤導(dǎo)致系統(tǒng)故障或崩潰，或者是網(wǎng)絡(luò)惡意襲擊和恐怖主義事件。

　　機遇：千億美元的安全市場

　　艾媒咨詢數(shù)據(jù)顯示，2016年全球IT市場45980.0億美元，其中，安全市場增長至7356.8億美元，占16.0%。隨著企業(yè)對信息安全的重視加強，預(yù)計將在2017年達到9104.0億美元。而根據(jù)ABIResearch，中國網(wǎng)絡(luò)安全市場當(dāng)前的規(guī)模為49億美元，預(yù)計到2017年將翻一番至98億美元。

　　按產(chǎn)品維度劃分，安全市場可分為安全硬件、安全軟件和安全服務(wù)三大領(lǐng)域。數(shù)據(jù)顯示，我國安全產(chǎn)品(硬件與軟件)產(chǎn)業(yè)規(guī)模占比70.6%，安全服務(wù)產(chǎn)業(yè)規(guī)模占比29.4%，艾媒咨詢分析師認(rèn)為，網(wǎng)絡(luò)攻擊隨著移動支付、互聯(lián)網(wǎng)金融的發(fā)展更加嚴(yán)重，網(wǎng)絡(luò)安全市場發(fā)展速度將進一步加快，市場體量有望擴大，安全產(chǎn)品市場規(guī)模仍大于安全服務(wù)市場規(guī)模。此外，目前手機安全的行業(yè)價值尚未被完全發(fā)掘，在信息安全被重新重點關(guān)注及政策傾斜的情況下，市場價值潛力有望得到釋放。

　　智東西認(rèn)為：網(wǎng)絡(luò)安全在目前的產(chǎn)業(yè)環(huán)境下，對傳統(tǒng)互聯(lián)網(wǎng)，以及新生代大數(shù)據(jù)、云、人工智能、物聯(lián)網(wǎng)公司都有著重要影響。一方面，各大公司之間的數(shù)據(jù)存在著碎片化的問題導(dǎo)致信息鏈路阻塞，我們需要開放數(shù)據(jù)自由度;另一方面，數(shù)據(jù)系統(tǒng)的安全問題直接影響企業(yè)運作和商業(yè)模式，我們需要建立相關(guān)框架來規(guī)避大數(shù)據(jù)亂象。如何在打通數(shù)據(jù)鏈路的同時保證網(wǎng)絡(luò)安全，是國內(nèi)，乃至全球數(shù)據(jù)生態(tài)的主要命題。對此，政策導(dǎo)向、行業(yè)共識就顯得尤為重要，基于網(wǎng)絡(luò)安全準(zhǔn)則的，面向中小型企業(yè)數(shù)字化轉(zhuǎn)型的，專業(yè)化的數(shù)據(jù)平臺茲待建立。

=