2017年6月1日，不僅僅是一年一度的兒童節，還是《中華人民共和國網絡安全法》正式生效的日子。從今日起，我國網絡安全工作有了基礎性的法律框架，針對網絡亦有了更多法律約束，中國信息安全行業進入新的時代。

隨著互聯網技術及其應用的發展，以大數據為代表的數據密集型技術將成為新時代技術變革的基礎。但與此同時，數據的進一步集中和數據量的增加，使得安全防護面臨巨大挑戰。近日，《每日經濟新聞》記者參加2017中國國際大數據產業博覽會期間，許多與會專家開口必談勒索病毒、維基解密、斯諾登等網絡安全事件。大數據正以席捲的姿態深刻改變人們的生產和生活，然而，信息安全還沒有得到完全有效的解決，這成為大數據時代發展的一個重要瓶頸，也備受到各方關注。

我國互聯網從一條網速僅64Kbps的網線，到如今開展5G技術試驗，實現了高達70Gbps的數據速率，並參與到5G國際標準的制訂中--也就是最近20年的事情。

互聯網高速發展的同時，網絡安全的威脅也愈發突出。普華永道2016年一項調查顯示，2014~2016年期間，我國內地和香港公司探測到的網絡攻擊數量平均增長了969%。在接受調查的440家中國公司中，每家公司日均遭受攻擊超過7次，相比之下，全球平均水平近兩年來卻出現3%的下滑。

現在，隨著《中華人民共和國網絡安全法》在6月1日正式實施，針對網絡亦有了更多法律約束。《網絡安全法》共有七章七十九條，內容十分豐富，具有六大突出亮點，一是明確了網絡空間主權的原則；二是明確了網絡產品和服務提供者的安全義務；三是明確了網絡運營者的安全義務；四是進一步完善了個人信息保護規則；五是建立了關鍵信息基礎設施安全保護制度；六是確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

強調關鍵信息基礎設施安全

《網絡安全法》第1條「立法目的」開宗明義，明確規定要維護我國網絡空間主權。

《每日經濟新聞》記者注意到，《網絡安全法》第三章用了一半的篇幅強調要保障關鍵信息基礎設施的運行安全。其中，「第三十一條」可謂《網絡安全法》一大亮點，要求建立關鍵信息基礎設施安全保護制度，重點強調關鍵信息基礎設施安全和網絡詐騙的懲治。關鍵信息基礎設施作為金融、能源、電力、通信、交通等領域運行的神經中樞，與國計民生息息相關，是網絡安全的重中之重。近年來，各國因關鍵信息基礎設施被攻擊而遭受重大損失的事件層出不窮。

在業內人士看來，當信息化建設從政治、軍事逐漸滲透至民生、經濟、工業、公共服務等領域，並擔當重要基礎設施角色，國家意識到，如果這些領域面臨嚴重網絡安全隱患，後果同樣不堪設想。

在2017中國國際大數據產業博覽會上，中國石油化工集團信息管理部主任李德芳提到，「過去系統分散，安全問題不突出，現在，系統越來越多，越來越集中，越來越龐大，並且黑客攻擊也越來越厲害。所以，我們的安全體系，從過去的簡單防護到網絡防護到系統防護，現在應該走向體系型的防護。」

以數據為中心的安全

《網絡安全法》對數據安全和數據保護也給予了關注。第二十一條對數據安全作出明確說明：網絡運營者應當按照網絡安全等級保護制度的要求，防止網絡數據洩露或者被竊取、篡改。採取數據分類、重要數據備份和加密等措施。

成都安美勤信息技術股份有限公司安全專家對《每日經濟新聞》記者分析稱，《網絡安全法》第一次對責任主體進行了規定，而且以往網絡安全強調以技術為重，「但實際運行中，我們發現管理層面更重要，很多人對網絡安全意識認識依然不夠。」

這一次，《網絡安全法》將責任主體點明落實到了公安、企業、個人等各層面主體身上。網絡安全專家表示，《網絡安全法》看重的，不是某個數據的安全、某個系統的安全，而是整個組織的安全。主體需要負起責任，「比如平臺上信息洩露，作為運營者，也許昨天你的不作為，沒有任何關係。但從今天起，你不作為就將承擔責任。」

以單位為主體負責的安全，不僅僅能夠抵抗外部的攻擊，事實上，數據安全威脅更多時候還來自內部，這個比例往往高於來自外部的有意攻擊。內部的威脅，不僅僅是竊取，還有濫用和誤用。

阿裡巴巴集團技術副總裁杜躍進也有類似觀點，他在數博會上提出，現在需要轉變網絡安全的核心思想，變為「以數據為中心的安全」。杜躍進解釋，數據是在各個系統之間流動的，以數據為中心的安全，伴隨數據的生命週期進行安全保護，涉及到每一個環節，「系統安全不等於數據就安全，系統不安全也不等於數據不安全。」（每經記者吳林靜）