本刊记者 王 超

数字经济被誉为第四次工业革命的“钥匙”，已经成为全球经济复苏的新引擎，成为国家发展新征程的助推器和国家级战略。数字经济将与农业经济、工业经济这两大曾经的支柱经济一起成为未来的主要经济形态。未来数字经济不只是经济体的一个分支，而是经济本身。数字经济必定会对各行各业产生深远的影响。

数字经济的发展一方面拉动了经济增长，另一方面也带来了新的安全隐患和风险。安全问题不处理好，数字经济发展就成了无本之木。数字经济安全风险一旦被引爆，如果得不到有效处置和化解，将会导致数字经济产业链的停摆或瘫痪，甚至影响社会稳定，进而危及国家安全。如果缺乏科学有效的数字经济安全风险防控机制，就很难确保我国数字经济持续高质量发展，也就谈不上保障经济安全和国家安全。

近日，记者与北京万里红科技有限公司（以下简称“万里红”）高级副总裁兼CTO张小亮博士围绕数字安全与保密领域的机遇与挑战、我国政府及企业用户在数字安全和保密方面存在的威胁与难点等内容进行了详细沟通和探讨。

记者：目前我国在数字安全和保密领域面临着怎样的机遇和挑战？

张小亮：数字经济的核心在于信息化，其安全与发展的相互依赖性更加突出。习近平总书记强调，“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。随着数字经济发展步伐加快，数字化、网络化、智能化趋势显著，呈现出安全风险更泛化、安全需求更细化、安全要求更强化的特点，数字经济的安全问题也变得更加重要。可以说，没有安全稳定可靠的数字环境，就没有平稳健康的数字经济，也就谈不上数字经济社会的高质量发展，甚至在某些情况下，国家的主权、安全和利益也会受到损害。

从国家层面来看，近几年陆续颁布的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规，规范了数据经济高速发展背景下的安全要求。可以看出，国家对面向未来的数字安全已经在顶层设计上做了全方位的布局。安全是一项体系化的工作，包含以下几个层面：一是要有顶层法律的指引；二是要配套标准政策的推广；三是要有产业侧的支撑；四是要将整体的安全能力落地。

基于国家“十四五”规划，到2025年数字经济核心产业增加值将达到13.8万亿元，比2020年增长将近6万亿元。按照工信部要求，重点行业的安全投资规模在行业经济规模中的占比要逐年提高，按照国际平均标准要达到10%。伴随着云计算、大数据、物联网、移动互联网、工业互联网、车联网、卫星网络等新技术和新场景的不断涌现，国家新基建和信创工程的持续推进，安全与保密的一体化融合，数字安全市场发展空间巨大，是面向未来的星辰大海。

随着数字经济政策的不断推出与落地，各地纷纷加快落实规划部署，推动传统产业的数字化转型和智能化升级。云计算、大数据、物联网、人工智能等数字技术得到广泛应用，智慧城市、智慧医疗、车联网、工业互联网等应用不断丰富和完善，这同时引发了更多的安全问题，主要体现在以下几个方面：

一是供应链安全问题。当前，我国基础软硬件产业发展迅速，正在从“可用”向“好用”阶段迈进，但是我国基础软硬件生态仍然存在不少问题，如各生态之间兼容性较差、产品成熟度不高等问题，亟待解决。

二是数据安全问题。随着云计算、大数据等技术的普及和应用场景的逐渐成熟，面向行业的应用都部署在云平台上，各类应用生成的数据量快速增长，数据结构和类型愈发复杂，这使得控制数据访问权限、防止数据滥用和数据泄露变得更加困难。在数据采集、存储、传输、共享和应用等数据全生命周期的各个环节，都存在着数据泄露风险。从近期爆发的数据安全事件来看，我们既需要让数据产生价值，又要保障数据在全生命周期的安全，这是在数字化应用场景中必须要解决的问题。

三是保密和数字化融合问题。针对党政和特殊行业用户，一方面要在严格遵守《中华人民共和国保守国家秘密法》的前提下开展工作，另一方面要满足业务数字化和数据业务化的应用场景需求。针对业务数字化转型中提出的保密要求，要从理念与实战结合的角度去解决问题，从系统架构设计与系统管理方面探索新的解决方案。

记者：我国政府及企业用户在数字安全和保密方面存在哪些威胁与难点？

张小亮：在数字化转型趋势下，政企业务模式正在发生变化，简单安全正在升级为复杂安全，网络安全正在升级为数字安全。随着大量数字化新技术、新应用的产生，我国政府及企业用户在数字安全和保密方面也面临着威胁和风险。首先，数字化催生了关键基础设施、工业互联网、车联网、数字政府等新场景，这些新场景也面临着如大数据安全、云安全、物联网安全等新的安全挑战。其次，随着数字化建设的加速推进，大量数据归集整合、共享流通，使数据的流动在带来巨大价值的同时，也带来了极大的安全保密风险。最后，随着5G、大数据、云计算和人工智能等技术快速发展和应用，原有的安全边界已被突破，传统安全防护理念正在被颠覆，传统安全防护措施也面临低效甚至失效的问题。加强对国家秘密、商业秘密及个人隐私的数据保护，推动数据安全有序流动，确保数据全生命周期安全，将成为数字经济建设过程中的核心问题。

数字安全和保密风险正呈现出多样化、复杂化、难预测化的趋势，传统防护手段难以抵御，传统安全产品布局方式逐渐无法满足安全需求，政企亟待构建与数字化业务融合的新型数字安全体系。我国政企用户的信息化水平正在不断提高，对安全保密的认知也在不断升级。从传统的防病毒，到网络安全边界防护，再到网络空间整体纵深防御，当前已经进化到认知安全的时代。2021年国家颁布了四部安全立法，视角开始从“安全主体”转向“安全对象”；从“免责逻辑”转向“负责逻辑”；从“要求过程”转向“要求效果”；从“静态建设”转向“动态建设”。用户开启了“甲方觉醒”模式，使得用户需求正转向安全体系化建设。安全建设从IT架构向应用架构和业务架构迁移的趋势越来越明显，难度也越来越大。

从政企用户角度来看，面对复杂的威胁手段和威胁态势，仅依靠安全产品的能力堆砌，带来的效果是有限的。需要安全服务商从顶层角度进行规划设计，构建体系化的安全解决方案，同时需要具备方案落地实施及后期运营的能力。安全服务商要理解用户、理解场景，并充分考虑适用性，将安全情报、威胁感知和溯源、自动化编排与响应、应急处置等各个环节打通，提供一体化解决方案。要具备行业技能和行业智慧，熟悉行业特点，实现安全保密与行业业务的深度融合。这些都是数字化转型中，安全企业从服务角度破局的要素。

此外，随着新技术的应用，IT系统底层环境日趋复杂化，政企用户的数字化业务应用日益复杂，设备种类繁多且生产厂商各异，这都对数字业务的安全运维和运营提出了更高的要求。用户希望基于新兴技术实现数字化、自动化和智能化，同时也希望整体安全建设具有可用性、易用性和高效性，实现持续运营、持续改进、持续增效。

记者：未来数字安全和保密防护技术将延伸出哪些新的发展特点？

张小亮：随着新技术、新场景不断涌现，数字安全和保密防护技术将延伸出以下几方面的特点。一是数字安全和保密防护体系建设需要与行业信息化建设同步，同步规划设计、同步建设、同步运营。二是随着安全攻防模型和威胁检测方法不断涌现，结合对网络威胁实体和行为的感知和识别，对安全服务商提出了新的要求。安全服务商需要具备威胁框架支撑和威胁战术情报运营的能力，从而提升安全产品防御能力，牵引防御框架的迭代和演进，全面推动全生命周期安全运营的落地。三是随着网络流量加密、资产云化等技术成为新常态，传统边界安全设备防护能力逐渐下降，对应用系统及数据层面的安全防护要求越来越高。从桌面终端、服务器、虚拟机，到移动终端、IoT设备，均需在底层构建防御能力，并实现统一管理和安全运营。四是云网端一体化、存算一体化、密码应用一体化、安全保密一体化融合趋势越来越明显。

针对政企数字化转型面临的安全需求，应该从多个维度去布局，构建科学合理的数字化安全能力体系，围绕数字应用场景，结合数字安全核心技术，应对安全挑战。

一是采用新型安全威胁检测与防御技术。采用海量日志采集与分析技术，结合网络攻击链分析框架，进行攻击检测与溯源；采用全流量分析技术和加密流量特征分析技术，针对恶意加密流量进行溯源、分析取证和威胁防御。

二是建设数据安全能力。政企要形成自己的数据安全治理框架，包括数据安全组织架构建设、数据安全管理体系建设、数据安全技术体系建设及数据安全运营体系建设。从组织架构角度，要明确单位内部的职能架构，定岗定员。从管理体系角度，要从战略、制度、规范及操作文件等层次做好制度规划和建设。从技术体系角度，要围绕数据全生命周期属性，从识别、防护、检测、响应和集中管控等方面开展工具和平台建设。从安全运营角度，制定安全规划，落实安全防护策略，开展安全风险监测与评估，最后进行持续优化和迭代。

三是构建平台化的智能分析和数据处理能力。基于人工智能安全分析技术，对异常流量和攻击行为进行建模，将安全分析能力自动化和智能化。基于大数据架构提供响应快、性能高、扩展强、灵活度高的分布式数据分析引擎，满足不同数据规模和应用场景的数据处理需求。

四是建设体系化的运营机制。面向未来场景化的数字安全防护需求，要具备安全风险评估和响应能力，以场景为牵引，以安全运营为中心，基于检测、响应、迭代的模式对风险进行实时监测和控制，将人员、技术、管理流程相结合，形成细化的运营机制和能力。

记者：面对新形势，万里红如何利用自身优势，打造数字安全国家队？

张小亮：中国科学院是国家战略科技力量，万里红作为中科院国科控股体系下公司，将持续聚焦主责主业，努力成为中科院相关科研院所的科技成果转移转化平台、原创技术战略孵化器及市场需求对接平台，做好创新链、产业链、资本链三链结合的抓手。万里红作为数字安全“国家队”，做好“国家人”，心系“国家事”，肩扛“国家责”，以已有的优势产品和自主可控的技术体系为基石，面向“卡脖子”难题，从专用操作系统、信息安全保密、基于大数据与AI的智慧政务应用、生物特征识别和系统集成综合服务等多个层面为用户提供面向实战的整体解决方案。

万里红定位于中国数字安全和保密领域技术赋能者和综合服务商，作为数字安全“国家队”，以保障国家数字安全为使命，秉承“家国情怀、市场导向、全力拼搏、永不放弃”的价值观，立志成为中国数字和保密领域的领导者。

万里红将在技术研究和产品研发方面重点投入，同时引入中科院国家级安全技术资源和科技成果，打造具有战略先进性、自主可控、安全可靠的数字安全产品，为国家信息化建设保驾护航。

一是加强核心技术和产品研发能力建设，在数据安全、终端安全、网络安全、云安全、密码应用、移动业务安全等方面继续深耕拓展，将安全能力平台化和服务化。二是紧密结合重点行业用户需求，打造面向重点行业应用场景的综合安全解决方案，提升对用户的快速响应能力和持续服务能力。三是基于公司的市场拓展战略，重点围绕垂直行业进一步拓展行业用户群体。四是充分利用中国科学院的科技力量和资本力量，基于公司未来战略，通过科技成果转化、科研项目合作及投资并购等手段建立生态联盟，增强产品能力和服务能力。

记者：请您谈谈，万里红在数字安全和保密 领域的创新研究与成果。

张小亮：经过20多年的创新研究与实践，万里红在信息安全保密、专用操作系统、基于大数据与AI的智慧政务应用、生物特征识别及信创综合服务等领域具有深厚的积淀。

在信息安全保密领域，万里红建立起覆盖“终端、网络、数据、移动通信、应用、电磁泄漏防护、商用密码”等方面的安全保密产品技术体系，为党政机关和重点行业用户提供“安全保密监测、感知、防护、监管、溯源、处置”全流程的智能化立体解决方案，涉及安全保密防护、安全保密检查与检测、安全保密风险态势感知与处置、安全保密监管、攻击与数据溯源及保密数字化应用等全系列的安全保密产品，对不同场景下的数据泄露、网络入侵、电磁泄漏、数据窃取等事件进行全流程监控、追溯与处置。针对已发生的信息、数据、文档外泄事件，万里红采用隐写溯源技术和屏幕防拍技术，实现对文档复印及拍照、屏幕拍照等造成的泄密事件的追踪溯源，快速查处并定位责任人，有效威慑违规行为，降低泄密风险，提升保密监管能力。

在专用操作系统领域，万里红具有20年国产操作系统研发经验。2021年，万里红加入了开放原子开源基金会开源鸿蒙项目组，致力于下一代万物互联的全场景分布式操作系统研发，已经向开源鸿蒙提交100万行代码，并负责维护开源鸿蒙安全模块，成为开源鸿蒙首个完整的系统安全模块。

在大数据及智慧政务领域，万里红于2014年启动实施公司大数据战略，打造数据中台、业务中台和安全中台，赋能各行业业务应用场景。中台以业务核心为主线，通过自助模式实现业务需求的自我响应，用业务思维洞察潜在规律，回溯经验，沉淀知识，坚持以数据为主导，提供多维度、多视角、多决策的智能服务平台。万里红基于中台技术开发的情指勤舆智能辅助决策系统已经在全国范围内得到广泛应用。

在生物特征识别领域，万里红率先将虹膜识别技术用于重要信息系统的安全保密防护，对进入重点涉密场所的人员身份进行精准识别和管控。经过近二十年的发展积淀，万里红已成为国内虹膜识别领域的领军者。万里红在行业内开创性地推出了虹膜生物特征识别能力中台，将多年积累的高精度虹膜识别算法和成熟的业务逻辑SaaS化，对行业伙伴赋能，规范行业虹膜设备接口，兼容其他厂商标准，打造共同发展的行业生态。2021年，万里红成立多模态事业部，专注虹膜识别技术研究和产品开发，打造解决方案，赋能合作伙伴，建立产业生态，为全国用户提供全线产品及覆盖多行业的完整解决方案。万里红依托高端研究人员和国际先进的光学实验室，不断优化自有算法和设备，在虹膜成像质量和识别距离方面实现了突破，稳居国内领先水平。

在信创综合服务领域，公司响应国家信息化建设重大需求，在大力研制适配国产化平台的信息安全保密产品及智慧政务应用产品的同时，利用产品技术及人才优势，积极承担重要机关单位的信创工程建设，为用户提供规划设计、工程建设及安全运营等全栈式服务，为促进提升党政机关信息技术应用创新工作做出积极贡献。