8月22-23日，2023 DEMO WORLD企業(yè)開放式創(chuàng)新大會在長三角G60科創(chuàng)走廊策源地松江隆重舉行。本屆大會由創(chuàng)業(yè)邦主辦，松江區(qū)經濟委員會、松江區(qū)投資促進服務中心、國家級上海松江經濟技術開發(fā)區(qū)、松江區(qū)泗涇鎮(zhèn)人民政府、松江區(qū)佘山鎮(zhèn)人民政府協(xié)辦。

大會以“擁抱開放”為主題，邀請200+跨國公司及本土企業(yè)創(chuàng)新領袖，聚焦開放式創(chuàng)新，通過演講分享、報告發(fā)布、榜單評選、案例展示、需求對接等多種方式，推動全球創(chuàng)新資源在行業(yè)中的流動，加速世界各地的企業(yè)在中國成長。

在8月22日下午，數(shù)據(jù)安全專場，安全狗創(chuàng)始人、CEO 陳奮，泥藕資本創(chuàng)始合伙人、溫致科技董事長杜欣，知道創(chuàng)宇技術副總裁 李偉辰，進行了一場名為《AI時代，數(shù)據(jù)安全的矛與盾》的圓桌對話，對話由上海聯(lián)創(chuàng)管理合伙人朱一凡主持。其中精彩觀點如下：

陳奮：數(shù)據(jù)安全需要建立在傳統(tǒng)網絡安全基礎之上，若沒有打好基礎，數(shù)據(jù)安全問題會很容易出現(xiàn)。杜欣：數(shù)據(jù)安全就像人體的免疫系統(tǒng)一樣，對于科技公司來說是必不可少的防護組成部分。

李偉辰：安全本質上是人與人之間的對抗，雙方的行動目標是獲取所需信息，阻止對方獲取超越權限的信息。

朱一凡：數(shù)據(jù)的所有權、共享方式以及政府的角色也在動態(tài)變化。如何協(xié)調這三者的關系，構建一個平衡的框架，在保障信息安全的基礎上實現(xiàn)可持續(xù)運營，是一個持續(xù)演化的過程。

以下為對話內容，由創(chuàng)業(yè)邦整理：

朱一凡：數(shù)據(jù)已被譽為數(shù)字經濟時代的石油，甚至被列為繼勞動力、土地、技術、資本之后的第五大生產要素。數(shù)據(jù)的流通不僅催生新動能，創(chuàng)造商業(yè)價值，還推動資金、人才、技術、物質的流動。然而，數(shù)據(jù)的流通也帶來新風險，特別是數(shù)據(jù)泄露。這就要求我們有必要進行有效監(jiān)管。今天，我們有幸邀請了業(yè)界的重要人物和投資者，共同就數(shù)據(jù)安全、監(jiān)管及合規(guī)等話題展開討論。

01 數(shù)據(jù)安全 常聊常新

幾位嘉賓能不能大家從自己切身的案例或者接觸到的行業(yè)的信息，給大家選一個例子重點介紹一下最近幾年涉及企業(yè)安全方面的漏洞，信息泄露之類的，大家可以籠統(tǒng)發(fā)散地分享一下，重點介紹一下安全信息方面的問題，以及如何應對?

李偉辰：安全本質上是人與人之間的對抗，雙方的行動目標是獲取所需信息，阻止對方獲取超越權限的信息。對抗中應用的各種手段與技術都可以作用于數(shù)據(jù)安全保護，如加解密、數(shù)據(jù)流控制等。

我們是專注于實戰(zhàn)的安全公司，我們的客戶需要在安全事件發(fā)生時找到可以真正挽回損失、防止未來事件的供應商。很多政府、企事業(yè)單位業(yè)客戶都是因為遭遇了安全事件才來找我們。數(shù)據(jù)安全范疇很大，最終解決問題還是需要傳統(tǒng)的安全手段，再結合新技術，比如隱私計算。

杜欣：多年來我們投資了許多項目，數(shù)據(jù)安全一直是個關鍵議題。我們的視角可能與前面兩位產業(yè)專家稍有不同。

在互聯(lián)網金融盛行的時代，大量基于個人用戶數(shù)據(jù)的分析用于信用評分等，這個行業(yè)也出現(xiàn)了諸多問題，很多公司甚至不復存在，歸根結底是數(shù)據(jù)安全和隱私泄露的問題。

回過頭來看企業(yè)級安全，現(xiàn)在許多安全防護型公司都服務于大型國企、央企、金融機構等有資金的領域。然而，在廣泛的業(yè)務領域中，一些快速發(fā)展的科技公司也面臨風險。由于很多公司集中部署在云上，使用各種SaaS和在線工具，疫情時期更是加速了一切的聯(lián)網。我知道有競爭對手之間使用黑客手段互相攻擊的情況也非常普遍。

這包括一些技術上的泄密，也包括內部人員造成的問題。有時候因為勞資糾紛或合伙人間的紛爭，導致源代碼、重要客戶、核心資源、技術秘密等遭到不可逆轉的損害。

我希望云安全和數(shù)據(jù)安全廠商能夠考慮為這些快速發(fā)展的科技公司提供數(shù)據(jù)安全防護。甚至我認為他們可以考慮用自己的股權進行交換。雖然這些公司在現(xiàn)金支付方面可能不如國企、央企和軍隊有能力，但是對于他們來說，出現(xiàn)問題將導致巨大的損失。我認為數(shù)據(jù)安全就像人體的免疫系統(tǒng)一樣，對于科技公司來說是必不可少的防護組成部分。

陳奮：數(shù)據(jù)安全在過去兩年確實受到了高度的關注。前面有專家提到數(shù)據(jù)是一個全生命周期的動態(tài)過程，數(shù)據(jù)涉及到很多應用系統(tǒng)和存儲，因此，數(shù)據(jù)安全需要建立在傳統(tǒng)網絡安全基礎之上，若沒有打好基礎，數(shù)據(jù)安全問題會很容易出現(xiàn)。

比如，去年上海公安數(shù)據(jù)泄露事件。這個問題的本質在于網絡安全和云安全配置的不當，導致外部可以訪問數(shù)據(jù)。這個案例凸顯了在數(shù)據(jù)生命周期中，尤其是存儲環(huán)節(jié)，必須正確設置基礎設施的網絡安全，否則會導致數(shù)據(jù)泄露。類似的云上數(shù)據(jù)泄露案例很多，例如國外的AWS等。我們進行了云安全檢查，發(fā)現(xiàn)很多用戶的身份密鑰都沒有得到妥善存儲，這是基礎的網絡安全問題，這導致大量數(shù)據(jù)泄露。

關于最近的案例，是一個云上客戶在數(shù)據(jù)使用過程中出現(xiàn)的安全問題。這個客戶是政府部門的大客戶，他們的應用開發(fā)商是一個備受信任的大型開發(fā)商，他們提供了系統(tǒng)和基礎設施。然而，項目經理在開發(fā)過程中植入了一個漏洞代碼，使得實時數(shù)據(jù)可以傳輸?shù)酵獠?。這些實時數(shù)據(jù)具有商業(yè)價值，甚至項目經理以幾億的價格賣出了這些數(shù)據(jù)。這個案例揭示了在數(shù)據(jù)使用過程中可能出現(xiàn)的問題，而這些問題很難被傳統(tǒng)的網絡安全手段所識別，因為這些行為在訪問過程中看起來是正常的。這就需要新的方法來防范，如零信任技術，全面管控訪問過程，以防止內部泄密事件。

朱一凡：接著四位的分享我想談一下我的感受。我們關注安防領域已經很多年了，我注意到數(shù)據(jù)和信息安全并不是一個新話題，它早在十年甚至二十年前就已經存在，只是隨著應用的發(fā)展，安全需求變得更加突出。這也意味著隨著應用的不斷演進，安全措施也需要不斷更新。

舉個例子，證券公司內部有不同部門，包括前臺、中臺、后臺等。過去幾年中，為了防止交易員濫用內部信息進行不當交易，許多證券公司采取了一系列安全措施，比如在交易員辦公區(qū)域設置攝像頭，特別關注他們在交易時的表情、手勢等。雖然這些措施在防止交易員不當交易方面取得了一些效果，但問題是，這些措施無法防止公司后臺的IT人員偷窺交易員的交易活動，進而濫用信息進行操縱市場。這個例子展示了隨著商業(yè)模式的變化，安全需求也需要不斷更新，以應對新的風險。

數(shù)據(jù)安全并不是單一的概念，而是在不同的領域和應用中體現(xiàn)出不同的需求和挑戰(zhàn)。以信息安全為例，保密部門的高級領導可能會發(fā)現(xiàn)，雖然門衛(wèi)和保安有查看攝像頭的權限，但他們可能會被利用，暴露出領導的行蹤等敏感信息。這種情況下，即便沒有高超的技術，信息的泄露仍然可能帶來嚴重的風險。

02 AI如何賦能信息安全

接下來，我想請幾位企業(yè)創(chuàng)始人分享一下，現(xiàn)在各位所處的細分領域，關于信息技術安全方面的趨勢，以及最熱的人工智能在各位所處的細分領域當中有沒有賦能的價？當中可以包括兩方面的內容，一方面AI怎么賦能信息安全，另外一方面AI本身是需要大量的數(shù)據(jù)做反復的演算，做培訓和學習，本身持續(xù)需要大量的數(shù)據(jù)做培訓，作為創(chuàng)業(yè)公司如何保證這些信息來源的安全性、可靠性，以及信息存儲的安全性。

李偉辰：在人工智能方面，我們利用大數(shù)據(jù)分析技術來識別攻擊行為。我們的云防御平臺每天可以捕獲十億次以上的攻擊事件，其中不少是利用的0day漏洞，每年發(fā)現(xiàn)的在野0day利用超過上百個，這是通過我們的數(shù)據(jù)獲取及數(shù)據(jù)分析能力實現(xiàn)的。此外，我們看到運維自動化領域，像SOAR這樣的技術需要大量分析網絡和安全設備的日志。我們相信，大型語言模型時代將會為日志分析帶來積極的影響。

總的來說，我們關注立體縱深的防御，以及威脅情報在安全領域中的廣泛應用。我們通過大數(shù)據(jù)和人工智能技術實現(xiàn)了攻擊行為的分類和識別，并有效地應用精準威脅情報提升防御效果。

朱一凡：兩個技術名詞，除了大模型還有沒有其他的？

李偉辰：傳統(tǒng)的人工智能算法我們也在使用。

陳奮：在過去幾年中，AI技術已經在安全領域得到了引入和應用。然而，關鍵在于根據(jù)不同的場景選擇最適合的算法，找到與特定場景最匹配的方法。過去幾年，我們已經引入了諸如時序分析、機器學習和神經網絡等算法。例如，對于病毒分析，傳統(tǒng)的機器學習算法基本足夠，而不一定需要運用到當前大型模型的算法。因此，算法的選擇與應用場景密切相關。

最近大型語言模型的興起，網絡安全公司也開始探索其在網絡安全領域的應用。在某些場景下，大型語言模型的應用是有益的，比如在代碼安全性分析中，因為代碼本身是非結構化文本數(shù)據(jù)。同時，安全事件分析中的安全知識也常常是非結構化文本數(shù)據(jù)，可以用來訓練安全助手或安全智能機器人。一些廠商已經在朝這個方向發(fā)展。我們還在特定場景中應用AI算法，比如在數(shù)據(jù)分類和分級時使用AI算法有助于不同行業(yè)數(shù)據(jù)的分類。

我認為選擇適合的AI算法是非常重要的，不是所有情況都需要大型語言模型。去年開始研究AI安全可能不是我們的主業(yè)，但是我們也關注到一些重要的領域。例如，人臉識別可能被替代，同時我們在探索如何利用AI防止AI算法的漏洞被繞過，這是一個具有一定難度的挑戰(zhàn)。我們還在進行AI鑒幀的研究，以判斷視頻中的人臉是由生成式算法生成還是真實存在的，監(jiān)管部門也對此非常關注。當一些領導人的視頻被替換時，這可能引發(fā)政治事件，因此我們也在關注新的AI鑒幀技術的發(fā)展。

朱一凡：人臉這個東西畢竟跟其他不一樣，銀行密碼丟了可以重置，人臉的數(shù)據(jù)一旦丟失的整容也不行，依賴于人臉做安全防控，特別是金融防控，一旦人臉信息丟失了之后怎么解決這個問題，我也一直很感興趣。

接下來請杜總分享一下未來在整個信息安全領域投資的趨勢

杜欣：其實這不算是新話題了，十幾二十年前大家都特別關注這個領域，對信息安全的重視應該說是越來越重視，不管是國有的，to G的，包括這種中小企業(yè)，創(chuàng)新型企業(yè)都會越來越重視，所以我們更多的還是把它看成是一個常規(guī)的這種企業(yè)級服務的賽道。

同時，真正具有突出技術的企業(yè)會有更多機會，比如今天探索很多的隱私計算，包括很多如何在不告訴你具體數(shù)據(jù)內容，但又能夠實現(xiàn)數(shù)據(jù)交易、數(shù)據(jù)資產的共享方面發(fā)揮特別大的價值。

數(shù)據(jù)的趨勢是未來會在交易端產生特別大的可能性，過去為什么數(shù)據(jù)交易一直沒起來，要么就是灰產，要么變得無法交易。如何做到？其實就是很多的數(shù)據(jù)安全技術，可以成為交易的基礎平臺級的應用，我們還蠻期待這個領域能出現(xiàn)一些好的技術，好的公司，好的模式，包括今天是一個特別的日子。

如何去確認企業(yè)數(shù)據(jù)資產？財政部的一系列配套的文件已經出來了，未來從會計師的角度來講，就可以把很多的數(shù)據(jù)落實為資產。技術上如何真正的讓數(shù)據(jù)實現(xiàn)可流動、可變現(xiàn)，可能就是下一個階段非常重要的目標。這個會涌現(xiàn)一個非常龐大的數(shù)據(jù)交易的市場，圍繞它的數(shù)據(jù)資產的生成、交易、安全、防護，會產生非常多的機會，這屬于過去沒有未來會有新的東西。

其他領域to B、to G，我們如何防護的更好，攻的更強，這是一個常聊常新的話題，這里面最終殺出來的會是一些商業(yè)化能力跟技術能力比較平衡的一些團隊。

03 產業(yè)與安全 相輔相成

朱一凡：數(shù)據(jù)交易與安全之間存在著一種辯證關系。早些年，由于數(shù)據(jù)相對缺乏管控，大量數(shù)據(jù)外泄催生了中國特有的大數(shù)據(jù)市場。隨著大數(shù)據(jù)的興起，安全漏洞也日益顯現(xiàn)，從而促使信息安全投資領域的崛起。投資機會、市場風險和市場應用在這個過程中是相輔相成的。

數(shù)據(jù)與第一產業(yè)的種地類似，生產靠農民，管理靠農場主，最終稅收由政府收取，構建了穩(wěn)定的生產模式。然而，不同歷史階段會有不同的歷史使命，類似家庭聯(lián)產承包責任制或國有農場。對數(shù)據(jù)而言，數(shù)據(jù)的所有權、共享方式以及政府的角色也在動態(tài)變化。如何協(xié)調這三者的關系，構建一個平衡的框架，在保障信息安全的基礎上實現(xiàn)可持續(xù)運營，是一個持續(xù)演化的過程。

嘉賓們能否用簡潔的話語表達一下這三者之間的關系，以及如何建立平衡，確保信息安全并實現(xiàn)可持續(xù)發(fā)展？

陳奮：在這三者之間，每個角色都有自己的定位。政府在其中是規(guī)則的制定者、監(jiān)管者、數(shù)據(jù)的擁有者，同時也是向外提供服務的角色。政府在整個數(shù)據(jù)安全產業(yè)的發(fā)展中扮演著至關重要的角色。作為網絡安全從業(yè)者，我們更多地致力于保護角色，為規(guī)則制定者提供數(shù)據(jù)安全監(jiān)管、保護和交換交易的手段。數(shù)據(jù)安全公司在這個過程中也能夠承擔重要的職責。

杜欣：如何活躍交易，就跟現(xiàn)在的股票市場是一樣的。有多層次資本市場，但是缺買方跟賣方，缺資產的供給跟愿意在市場里交易的伙伴，還是希望能夠把整個的流程，包括這里面的前置條件變得不要這么復雜。否則的話不利于一個交易雙方的市場的形成，所有市場的形成先有交易，讓它在一定有可控風險的情況下，出現(xiàn)一些亂象甚至過熱的形象，慢慢地規(guī)范，從街邊的菜市場變成一個比較好的大超市，數(shù)據(jù)的交易可能這樣的一個過程，所以相對而言，其實比我們現(xiàn)在的交易規(guī)則，包括這里面的技術規(guī)則更重要的可能是我覺得是一個良好的生態(tài)的搭建。

李偉辰：我非常同意杜總的觀點。實際上，新加坡已經在這方面進行了嘗試,建立了金融科技監(jiān)管沙盒制度，以便觀察新事物的發(fā)展。數(shù)據(jù)安全和數(shù)據(jù)作為資產的概念對社會來說都是新事物，我們還在不斷探索中。例如，昨天財政部發(fā)布了《企業(yè)數(shù)據(jù)資源相關會計處理暫行規(guī)定》，其中關于數(shù)據(jù)作為存貨的問題，我還沒搞清楚如何將數(shù)據(jù)資產結轉，因為數(shù)據(jù)是可復制的。還有許多問題還沒有明確答案。希望監(jiān)管機構能夠允許企業(yè)和個人先行先試，但是必須進行嚴格監(jiān)督，一旦發(fā)現(xiàn)問題要及時終止。我們希望能夠鼓勵大家不斷嘗試和思考，這將有助于數(shù)字經濟的繁榮。