8月22-23日，2023 DEMO WORLD企業(yè)開放式創(chuàng)新大會(huì)在長(zhǎng)三角G60科創(chuàng)走廊策源地松江隆重舉行。本屆大會(huì)由創(chuàng)業(yè)邦主辦，松江區(qū)經(jīng)濟(jì)委員會(huì)、松江區(qū)投資促進(jìn)服務(wù)中心、國(guó)家級(jí)上海松江經(jīng)濟(jì)技術(shù)開發(fā)區(qū)、松江區(qū)泗涇鎮(zhèn)人民政府、松江區(qū)佘山鎮(zhèn)人民政府協(xié)辦。

大會(huì)以“擁抱開放”為主題，邀請(qǐng)200+跨國(guó)公司及本土企業(yè)創(chuàng)新領(lǐng)袖，聚焦開放式創(chuàng)新，通過演講分享、報(bào)告發(fā)布、榜單評(píng)選、案例展示、需求對(duì)接等多種方式，推動(dòng)全球創(chuàng)新資源在行業(yè)中的流動(dòng)，加速世界各地的企業(yè)在中國(guó)成長(zhǎng)。

在8月22日下午，數(shù)據(jù)安全專場(chǎng)，安全狗創(chuàng)始人、CEO 陳奮，泥藕資本創(chuàng)始合伙人、溫致科技董事長(zhǎng)杜欣，知道創(chuàng)宇技術(shù)副總裁 李偉辰，進(jìn)行了一場(chǎng)名為《AI時(shí)代，數(shù)據(jù)安全的矛與盾》的圓桌對(duì)話，對(duì)話由上海聯(lián)創(chuàng)管理合伙人朱一凡主持。其中精彩觀點(diǎn)如下：

陳奮：數(shù)據(jù)安全需要建立在傳統(tǒng)網(wǎng)絡(luò)安全基礎(chǔ)之上，若沒有打好基礎(chǔ)，數(shù)據(jù)安全問題會(huì)很容易出現(xiàn)。杜欣：數(shù)據(jù)安全就像人體的免疫系統(tǒng)一樣，對(duì)于科技公司來(lái)說(shuō)是必不可少的防護(hù)組成部分。

李偉辰：安全本質(zhì)上是人與人之間的對(duì)抗，雙方的行動(dòng)目標(biāo)是獲取所需信息，阻止對(duì)方獲取超越權(quán)限的信息。

朱一凡：數(shù)據(jù)的所有權(quán)、共享方式以及政府的角色也在動(dòng)態(tài)變化。如何協(xié)調(diào)這三者的關(guān)系，構(gòu)建一個(gè)平衡的框架，在保障信息安全的基礎(chǔ)上實(shí)現(xiàn)可持續(xù)運(yùn)營(yíng)，是一個(gè)持續(xù)演化的過程。

以下為對(duì)話內(nèi)容，由創(chuàng)業(yè)邦整理：

朱一凡：數(shù)據(jù)已被譽(yù)為數(shù)字經(jīng)濟(jì)時(shí)代的石油，甚至被列為繼勞動(dòng)力、土地、技術(shù)、資本之后的第五大生產(chǎn)要素。數(shù)據(jù)的流通不僅催生新動(dòng)能，創(chuàng)造商業(yè)價(jià)值，還推動(dòng)資金、人才、技術(shù)、物質(zhì)的流動(dòng)。然而，數(shù)據(jù)的流通也帶來(lái)新風(fēng)險(xiǎn)，特別是數(shù)據(jù)泄露。這就要求我們有必要進(jìn)行有效監(jiān)管。今天，我們有幸邀請(qǐng)了業(yè)界的重要人物和投資者，共同就數(shù)據(jù)安全、監(jiān)管及合規(guī)等話題展開討論。

01 數(shù)據(jù)安全 常聊常新

幾位嘉賓能不能大家從自己切身的案例或者接觸到的行業(yè)的信息，給大家選一個(gè)例子重點(diǎn)介紹一下最近幾年涉及企業(yè)安全方面的漏洞，信息泄露之類的，大家可以籠統(tǒng)發(fā)散地分享一下，重點(diǎn)介紹一下安全信息方面的問題，以及如何應(yīng)對(duì)?

李偉辰：安全本質(zhì)上是人與人之間的對(duì)抗，雙方的行動(dòng)目標(biāo)是獲取所需信息，阻止對(duì)方獲取超越權(quán)限的信息。對(duì)抗中應(yīng)用的各種手段與技術(shù)都可以作用于數(shù)據(jù)安全保護(hù)，如加解密、數(shù)據(jù)流控制等。

我們是專注于實(shí)戰(zhàn)的安全公司，我們的客戶需要在安全事件發(fā)生時(shí)找到可以真正挽回?fù)p失、防止未來(lái)事件的供應(yīng)商。很多政府、企事業(yè)單位業(yè)客戶都是因?yàn)樵庥隽税踩录艁?lái)找我們。數(shù)據(jù)安全范疇很大，最終解決問題還是需要傳統(tǒng)的安全手段，再結(jié)合新技術(shù)，比如隱私計(jì)算。

杜欣：多年來(lái)我們投資了許多項(xiàng)目，數(shù)據(jù)安全一直是個(gè)關(guān)鍵議題。我們的視角可能與前面兩位產(chǎn)業(yè)專家稍有不同。

在互聯(lián)網(wǎng)金融盛行的時(shí)代，大量基于個(gè)人用戶數(shù)據(jù)的分析用于信用評(píng)分等，這個(gè)行業(yè)也出現(xiàn)了諸多問題，很多公司甚至不復(fù)存在，歸根結(jié)底是數(shù)據(jù)安全和隱私泄露的問題。

回過頭來(lái)看企業(yè)級(jí)安全，現(xiàn)在許多安全防護(hù)型公司都服務(wù)于大型國(guó)企、央企、金融機(jī)構(gòu)等有資金的領(lǐng)域。然而，在廣泛的業(yè)務(wù)領(lǐng)域中，一些快速發(fā)展的科技公司也面臨風(fēng)險(xiǎn)。由于很多公司集中部署在云上，使用各種SaaS和在線工具，疫情時(shí)期更是加速了一切的聯(lián)網(wǎng)。我知道有競(jìng)爭(zhēng)對(duì)手之間使用黑客手段互相攻擊的情況也非常普遍。

這包括一些技術(shù)上的泄密，也包括內(nèi)部人員造成的問題。有時(shí)候因?yàn)閯谫Y糾紛或合伙人間的紛爭(zhēng)，導(dǎo)致源代碼、重要客戶、核心資源、技術(shù)秘密等遭到不可逆轉(zhuǎn)的損害。

我希望云安全和數(shù)據(jù)安全廠商能夠考慮為這些快速發(fā)展的科技公司提供數(shù)據(jù)安全防護(hù)。甚至我認(rèn)為他們可以考慮用自己的股權(quán)進(jìn)行交換。雖然這些公司在現(xiàn)金支付方面可能不如國(guó)企、央企和軍隊(duì)有能力，但是對(duì)于他們來(lái)說(shuō)，出現(xiàn)問題將導(dǎo)致巨大的損失。我認(rèn)為數(shù)據(jù)安全就像人體的免疫系統(tǒng)一樣，對(duì)于科技公司來(lái)說(shuō)是必不可少的防護(hù)組成部分。

陳奮：數(shù)據(jù)安全在過去兩年確實(shí)受到了高度的關(guān)注。前面有專家提到數(shù)據(jù)是一個(gè)全生命周期的動(dòng)態(tài)過程，數(shù)據(jù)涉及到很多應(yīng)用系統(tǒng)和存儲(chǔ)，因此，數(shù)據(jù)安全需要建立在傳統(tǒng)網(wǎng)絡(luò)安全基礎(chǔ)之上，若沒有打好基礎(chǔ)，數(shù)據(jù)安全問題會(huì)很容易出現(xiàn)。

比如，去年上海公安數(shù)據(jù)泄露事件。這個(gè)問題的本質(zhì)在于網(wǎng)絡(luò)安全和云安全配置的不當(dāng)，導(dǎo)致外部可以訪問數(shù)據(jù)。這個(gè)案例凸顯了在數(shù)據(jù)生命周期中，尤其是存儲(chǔ)環(huán)節(jié)，必須正確設(shè)置基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，否則會(huì)導(dǎo)致數(shù)據(jù)泄露。類似的云上數(shù)據(jù)泄露案例很多，例如國(guó)外的AWS等。我們進(jìn)行了云安全檢查，發(fā)現(xiàn)很多用戶的身份密鑰都沒有得到妥善存儲(chǔ)，這是基礎(chǔ)的網(wǎng)絡(luò)安全問題，這導(dǎo)致大量數(shù)據(jù)泄露。

關(guān)于最近的案例，是一個(gè)云上客戶在數(shù)據(jù)使用過程中出現(xiàn)的安全問題。這個(gè)客戶是政府部門的大客戶，他們的應(yīng)用開發(fā)商是一個(gè)備受信任的大型開發(fā)商，他們提供了系統(tǒng)和基礎(chǔ)設(shè)施。然而，項(xiàng)目經(jīng)理在開發(fā)過程中植入了一個(gè)漏洞代碼，使得實(shí)時(shí)數(shù)據(jù)可以傳輸?shù)酵獠?。這些實(shí)時(shí)數(shù)據(jù)具有商業(yè)價(jià)值，甚至項(xiàng)目經(jīng)理以幾億的價(jià)格賣出了這些數(shù)據(jù)。這個(gè)案例揭示了在數(shù)據(jù)使用過程中可能出現(xiàn)的問題，而這些問題很難被傳統(tǒng)的網(wǎng)絡(luò)安全手段所識(shí)別，因?yàn)檫@些行為在訪問過程中看起來(lái)是正常的。這就需要新的方法來(lái)防范，如零信任技術(shù)，全面管控訪問過程，以防止內(nèi)部泄密事件。

朱一凡：接著四位的分享我想談一下我的感受。我們關(guān)注安防領(lǐng)域已經(jīng)很多年了，我注意到數(shù)據(jù)和信息安全并不是一個(gè)新話題，它早在十年甚至二十年前就已經(jīng)存在，只是隨著應(yīng)用的發(fā)展，安全需求變得更加突出。這也意味著隨著應(yīng)用的不斷演進(jìn)，安全措施也需要不斷更新。

舉個(gè)例子，證券公司內(nèi)部有不同部門，包括前臺(tái)、中臺(tái)、后臺(tái)等。過去幾年中，為了防止交易員濫用內(nèi)部信息進(jìn)行不當(dāng)交易，許多證券公司采取了一系列安全措施，比如在交易員辦公區(qū)域設(shè)置攝像頭，特別關(guān)注他們?cè)诮灰讜r(shí)的表情、手勢(shì)等。雖然這些措施在防止交易員不當(dāng)交易方面取得了一些效果，但問題是，這些措施無(wú)法防止公司后臺(tái)的IT人員偷窺交易員的交易活動(dòng)，進(jìn)而濫用信息進(jìn)行操縱市場(chǎng)。這個(gè)例子展示了隨著商業(yè)模式的變化，安全需求也需要不斷更新，以應(yīng)對(duì)新的風(fēng)險(xiǎn)。

數(shù)據(jù)安全并不是單一的概念，而是在不同的領(lǐng)域和應(yīng)用中體現(xiàn)出不同的需求和挑戰(zhàn)。以信息安全為例，保密部門的高級(jí)領(lǐng)導(dǎo)可能會(huì)發(fā)現(xiàn)，雖然門衛(wèi)和保安有查看攝像頭的權(quán)限，但他們可能會(huì)被利用，暴露出領(lǐng)導(dǎo)的行蹤等敏感信息。這種情況下，即便沒有高超的技術(shù)，信息的泄露仍然可能帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)。

02 AI如何賦能信息安全

接下來(lái)，我想請(qǐng)幾位企業(yè)創(chuàng)始人分享一下，現(xiàn)在各位所處的細(xì)分領(lǐng)域，關(guān)于信息技術(shù)安全方面的趨勢(shì)，以及最熱的人工智能在各位所處的細(xì)分領(lǐng)域當(dāng)中有沒有賦能的價(jià)？當(dāng)中可以包括兩方面的內(nèi)容，一方面AI怎么賦能信息安全，另外一方面AI本身是需要大量的數(shù)據(jù)做反復(fù)的演算，做培訓(xùn)和學(xué)習(xí)，本身持續(xù)需要大量的數(shù)據(jù)做培訓(xùn)，作為創(chuàng)業(yè)公司如何保證這些信息來(lái)源的安全性、可靠性，以及信息存儲(chǔ)的安全性。

李偉辰：在人工智能方面，我們利用大數(shù)據(jù)分析技術(shù)來(lái)識(shí)別攻擊行為。我們的云防御平臺(tái)每天可以捕獲十億次以上的攻擊事件，其中不少是利用的0day漏洞，每年發(fā)現(xiàn)的在野0day利用超過上百個(gè)，這是通過我們的數(shù)據(jù)獲取及數(shù)據(jù)分析能力實(shí)現(xiàn)的。此外，我們看到運(yùn)維自動(dòng)化領(lǐng)域，像SOAR這樣的技術(shù)需要大量分析網(wǎng)絡(luò)和安全設(shè)備的日志。我們相信，大型語(yǔ)言模型時(shí)代將會(huì)為日志分析帶來(lái)積極的影響。

總的來(lái)說(shuō)，我們關(guān)注立體縱深的防御，以及威脅情報(bào)在安全領(lǐng)域中的廣泛應(yīng)用。我們通過大數(shù)據(jù)和人工智能技術(shù)實(shí)現(xiàn)了攻擊行為的分類和識(shí)別，并有效地應(yīng)用精準(zhǔn)威脅情報(bào)提升防御效果。

朱一凡：兩個(gè)技術(shù)名詞，除了大模型還有沒有其他的？

李偉辰：傳統(tǒng)的人工智能算法我們也在使用。

陳奮：在過去幾年中，AI技術(shù)已經(jīng)在安全領(lǐng)域得到了引入和應(yīng)用。然而，關(guān)鍵在于根據(jù)不同的場(chǎng)景選擇最適合的算法，找到與特定場(chǎng)景最匹配的方法。過去幾年，我們已經(jīng)引入了諸如時(shí)序分析、機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)等算法。例如，對(duì)于病毒分析，傳統(tǒng)的機(jī)器學(xué)習(xí)算法基本足夠，而不一定需要運(yùn)用到當(dāng)前大型模型的算法。因此，算法的選擇與應(yīng)用場(chǎng)景密切相關(guān)。

最近大型語(yǔ)言模型的興起，網(wǎng)絡(luò)安全公司也開始探索其在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。在某些場(chǎng)景下，大型語(yǔ)言模型的應(yīng)用是有益的，比如在代碼安全性分析中，因?yàn)榇a本身是非結(jié)構(gòu)化文本數(shù)據(jù)。同時(shí)，安全事件分析中的安全知識(shí)也常常是非結(jié)構(gòu)化文本數(shù)據(jù)，可以用來(lái)訓(xùn)練安全助手或安全智能機(jī)器人。一些廠商已經(jīng)在朝這個(gè)方向發(fā)展。我們還在特定場(chǎng)景中應(yīng)用AI算法，比如在數(shù)據(jù)分類和分級(jí)時(shí)使用AI算法有助于不同行業(yè)數(shù)據(jù)的分類。

我認(rèn)為選擇適合的AI算法是非常重要的，不是所有情況都需要大型語(yǔ)言模型。去年開始研究AI安全可能不是我們的主業(yè)，但是我們也關(guān)注到一些重要的領(lǐng)域。例如，人臉識(shí)別可能被替代，同時(shí)我們?cè)谔剿魅绾卫肁I防止AI算法的漏洞被繞過，這是一個(gè)具有一定難度的挑戰(zhàn)。我們還在進(jìn)行AI鑒幀的研究，以判斷視頻中的人臉是由生成式算法生成還是真實(shí)存在的，監(jiān)管部門也對(duì)此非常關(guān)注。當(dāng)一些領(lǐng)導(dǎo)人的視頻被替換時(shí)，這可能引發(fā)政治事件，因此我們也在關(guān)注新的AI鑒幀技術(shù)的發(fā)展。

朱一凡：人臉這個(gè)東西畢竟跟其他不一樣，銀行密碼丟了可以重置，人臉的數(shù)據(jù)一旦丟失的整容也不行，依賴于人臉做安全防控，特別是金融防控，一旦人臉信息丟失了之后怎么解決這個(gè)問題，我也一直很感興趣。

接下來(lái)請(qǐng)杜總分享一下未來(lái)在整個(gè)信息安全領(lǐng)域投資的趨勢(shì)

杜欣：其實(shí)這不算是新話題了，十幾二十年前大家都特別關(guān)注這個(gè)領(lǐng)域，對(duì)信息安全的重視應(yīng)該說(shuō)是越來(lái)越重視，不管是國(guó)有的，to G的，包括這種中小企業(yè)，創(chuàng)新型企業(yè)都會(huì)越來(lái)越重視，所以我們更多的還是把它看成是一個(gè)常規(guī)的這種企業(yè)級(jí)服務(wù)的賽道。

同時(shí)，真正具有突出技術(shù)的企業(yè)會(huì)有更多機(jī)會(huì)，比如今天探索很多的隱私計(jì)算，包括很多如何在不告訴你具體數(shù)據(jù)內(nèi)容，但又能夠?qū)崿F(xiàn)數(shù)據(jù)交易、數(shù)據(jù)資產(chǎn)的共享方面發(fā)揮特別大的價(jià)值。

數(shù)據(jù)的趨勢(shì)是未來(lái)會(huì)在交易端產(chǎn)生特別大的可能性，過去為什么數(shù)據(jù)交易一直沒起來(lái)，要么就是灰產(chǎn)，要么變得無(wú)法交易。如何做到？其實(shí)就是很多的數(shù)據(jù)安全技術(shù)，可以成為交易的基礎(chǔ)平臺(tái)級(jí)的應(yīng)用，我們還蠻期待這個(gè)領(lǐng)域能出現(xiàn)一些好的技術(shù)，好的公司，好的模式，包括今天是一個(gè)特別的日子。

如何去確認(rèn)企業(yè)數(shù)據(jù)資產(chǎn)？財(cái)政部的一系列配套的文件已經(jīng)出來(lái)了，未來(lái)從會(huì)計(jì)師的角度來(lái)講，就可以把很多的數(shù)據(jù)落實(shí)為資產(chǎn)。技術(shù)上如何真正的讓數(shù)據(jù)實(shí)現(xiàn)可流動(dòng)、可變現(xiàn)，可能就是下一個(gè)階段非常重要的目標(biāo)。這個(gè)會(huì)涌現(xiàn)一個(gè)非常龐大的數(shù)據(jù)交易的市場(chǎng)，圍繞它的數(shù)據(jù)資產(chǎn)的生成、交易、安全、防護(hù)，會(huì)產(chǎn)生非常多的機(jī)會(huì)，這屬于過去沒有未來(lái)會(huì)有新的東西。

其他領(lǐng)域to B、to G，我們?nèi)绾畏雷o(hù)的更好，攻的更強(qiáng)，這是一個(gè)常聊常新的話題，這里面最終殺出來(lái)的會(huì)是一些商業(yè)化能力跟技術(shù)能力比較平衡的一些團(tuán)隊(duì)。

03 產(chǎn)業(yè)與安全 相輔相成

朱一凡：數(shù)據(jù)交易與安全之間存在著一種辯證關(guān)系。早些年，由于數(shù)據(jù)相對(duì)缺乏管控，大量數(shù)據(jù)外泄催生了中國(guó)特有的大數(shù)據(jù)市場(chǎng)。隨著大數(shù)據(jù)的興起，安全漏洞也日益顯現(xiàn)，從而促使信息安全投資領(lǐng)域的崛起。投資機(jī)會(huì)、市場(chǎng)風(fēng)險(xiǎn)和市場(chǎng)應(yīng)用在這個(gè)過程中是相輔相成的。

數(shù)據(jù)與第一產(chǎn)業(yè)的種地類似，生產(chǎn)靠農(nóng)民，管理靠農(nóng)場(chǎng)主，最終稅收由政府收取，構(gòu)建了穩(wěn)定的生產(chǎn)模式。然而，不同歷史階段會(huì)有不同的歷史使命，類似家庭聯(lián)產(chǎn)承包責(zé)任制或國(guó)有農(nóng)場(chǎng)。對(duì)數(shù)據(jù)而言，數(shù)據(jù)的所有權(quán)、共享方式以及政府的角色也在動(dòng)態(tài)變化。如何協(xié)調(diào)這三者的關(guān)系，構(gòu)建一個(gè)平衡的框架，在保障信息安全的基礎(chǔ)上實(shí)現(xiàn)可持續(xù)運(yùn)營(yíng)，是一個(gè)持續(xù)演化的過程。

嘉賓們能否用簡(jiǎn)潔的話語(yǔ)表達(dá)一下這三者之間的關(guān)系，以及如何建立平衡，確保信息安全并實(shí)現(xiàn)可持續(xù)發(fā)展？

陳奮：在這三者之間，每個(gè)角色都有自己的定位。政府在其中是規(guī)則的制定者、監(jiān)管者、數(shù)據(jù)的擁有者，同時(shí)也是向外提供服務(wù)的角色。政府在整個(gè)數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展中扮演著至關(guān)重要的角色。作為網(wǎng)絡(luò)安全從業(yè)者，我們更多地致力于保護(hù)角色，為規(guī)則制定者提供數(shù)據(jù)安全監(jiān)管、保護(hù)和交換交易的手段。數(shù)據(jù)安全公司在這個(gè)過程中也能夠承擔(dān)重要的職責(zé)。

杜欣：如何活躍交易，就跟現(xiàn)在的股票市場(chǎng)是一樣的。有多層次資本市場(chǎng)，但是缺買方跟賣方，缺資產(chǎn)的供給跟愿意在市場(chǎng)里交易的伙伴，還是希望能夠把整個(gè)的流程，包括這里面的前置條件變得不要這么復(fù)雜。否則的話不利于一個(gè)交易雙方的市場(chǎng)的形成，所有市場(chǎng)的形成先有交易，讓它在一定有可控風(fēng)險(xiǎn)的情況下，出現(xiàn)一些亂象甚至過熱的形象，慢慢地規(guī)范，從街邊的菜市場(chǎng)變成一個(gè)比較好的大超市，數(shù)據(jù)的交易可能這樣的一個(gè)過程，所以相對(duì)而言，其實(shí)比我們現(xiàn)在的交易規(guī)則，包括這里面的技術(shù)規(guī)則更重要的可能是我覺得是一個(gè)良好的生態(tài)的搭建。

李偉辰：我非常同意杜總的觀點(diǎn)。實(shí)際上，新加坡已經(jīng)在這方面進(jìn)行了嘗試,建立了金融科技監(jiān)管沙盒制度，以便觀察新事物的發(fā)展。數(shù)據(jù)安全和數(shù)據(jù)作為資產(chǎn)的概念對(duì)社會(huì)來(lái)說(shuō)都是新事物，我們還在不斷探索中。例如，昨天財(cái)政部發(fā)布了《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》，其中關(guān)于數(shù)據(jù)作為存貨的問題，我還沒搞清楚如何將數(shù)據(jù)資產(chǎn)結(jié)轉(zhuǎn)，因?yàn)閿?shù)據(jù)是可復(fù)制的。還有許多問題還沒有明確答案。希望監(jiān)管機(jī)構(gòu)能夠允許企業(yè)和個(gè)人先行先試，但是必須進(jìn)行嚴(yán)格監(jiān)督，一旦發(fā)現(xiàn)問題要及時(shí)終止。我們希望能夠鼓勵(lì)大家不斷嘗試和思考，這將有助于數(shù)字經(jīng)濟(jì)的繁榮。