网络安全法发布以来，安全牛走访了多家各行业安全相关领域的人员，分别从不同角度对其进行了解读。在其中的一次采访中，平安集团信息安全总监戎国强先生，从信息安全本质出发谈起，将安全的深刻内涵延伸至法律层面，显现出个人对信息安全认识上的独到见解。

安全牛现将采访内容整理如下，供业内人士参考与分享。

戎国强

个人简介

戎国强，互联网通信技术专家，平安集团信息安全总监、首席信息官办公室主任、平安科技副董事长，深圳平安讯科技术有限公司董事长，毕业于上海大学工学院计算机辅助设计专业，上海中欧工商管理学院EMBA学位。

一、科技飞速发展带来的裂痕

安全牛：从最早的网络安全到信息安全，再到现在的网络空间安全，您如何看待安全的发展变化？

戎国强：的确，信息安全始终处于变化当中，尤其是随着互联网、智能设备的发展，令其变化更加的迅速和复杂。正如习近平主席在4.19“网络安全和信息化工作座谈会”讲话上总结的：“网络安全是动态的而不是静态的”，因此也对企业整体的系统性安全防护应变能力提出了更高的挑战。但是，万变不离其宗。如果我们从信息安全问题的本质去考虑问题，许多事情就会豁然开朗。

首先，我们要认识到，信息安全如此复杂多变的原因何在。我认为，这是现代企业“裂变式”的发展而造成的。信息化的极大进步，企业的业务快速甚至是飞速增长，以前多少年才能达到的业务规模，在云计算时代已经可以用天来计。在这种“可怕”速度的发展下，信息系统出现“裂痕”或说漏洞是再自然不过的事情，是不可避免的。

认识到这一点之后，你就会发现，当前许多从业人员和绝大部分非从业人员，对信息安全问题的认知与现实是脱节的，是有偏差与谬误的。比如，某些创业公司拿到了风投，开始企业建设，但有几个公司会专门考虑信息安全方面的投入呢？他们都认为信息安全是以后考虑的事情。还有些公司认为该买的设备都买了，该做的动作和步骤都做了，设备发挥作用了，安全就做到位了。显而易见，这些观点是不合时宜的。

安全牛：也就是说，信息安全是一个永远对抗的过程，是一个动态稳定的过程？

戎国强：是的，可以这样说。其实也可以从另一个角度去思考，信息安全问题的暴露是由三个角色组成的，受攻击（保护）的对象，防护设备，和攻击（防护）人员。信息安全问题的暴露是需要这三者同时存在的，但不管暴露与否，缺陷或风险是客观存在的。需要不断地升级，不停的打补丁逐渐弥补缺陷，并永远做下去。同样，习主席在4.19讲话上也指出了“ 依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念”的观点。

上述错误的信息安全认识其原因又在哪里？中国经济的特点是实用性很强，但是有着大量的重复，非常缺少原创性。由于这两多一少，很多人的心态、意识和观念都有强烈的跟随效应，包括信息安全。目前很多企业堆积着安全产品就是在跟风，其他家买了的产品我们也要跟着买，否则就不安全。还有企业试图把信息安全完全掌控，实际上这是一种对综合复杂体的管控思维，是无法做到的。哪怕国内有很多技术非常强的安全专家和技术，但是当不同层面的专家、技术合在一起的时候，就会出现整体性、架构性、系统性的问题。

网络安全法的实施，这正好是一个重新建立新的安全体系契机。只有立足开放环境，加强对外交流、合作、互动、博弈，吸收先进技术，认清信息安全的本质，我们的网络安全水平才会不断提高。

二、动态边界：从防范、感知到响应的三位一体

安全牛：那么，具体一些来讲，您认为信息安全怎样建设才能够更适应于当前的飞速发展？

戎国强：我是做金融行业的，可以结合我们自身在发展过程中遇到的问题谈一谈。最重要的一点，就是信息安全观一定要上从领导下至全员进行转变，建立起从防范到感知再到响应的三位一体的安全体系。

刚才谈到，现在的经济发展是快速、开放，甚至是粗暴的，所以才出现了裂痕。而传统的 “围墙”式的防御方式，早已不适用于当前瞬息变幻的信息安全形势。边界小会制约业务发展，边界大安全性又成了问题。如何解决？需要我们去动态调整围墙的大小。所谓的无边界，不如解释成动态边界。想做到动态边界，则需要实时的感知安全威胁。想实时的感知威胁，则需要“传感器”，也就是各种获取数据的设备。

俗话说“世上没有不透风的墙”，网络安全也一样。一旦围墙被突破，那么防线就只有后退，即安全响应这道防线来保护组织的安全。当然这里的响应不仅仅发生在围墙被突破之后，响应应该是贯穿安全防护整个生命周期的，而且包含了对内和对外两个维度的操作。

安全牛：平安集团的信息安全工作是怎样的，是否结合了您上面说的安全理念？

戎国强：理念到实施是需要时间和过程的，但平安集团的信息安全工作一直都进步很快，在全体信息安全工作人员的积极努力下，成效明显。比如在感知方面，虽然平安集团有20多家子公司，但我们尽量形成了一个相对统一的感知平台，以达到信息共享和及时响应的能力。同时全集团形成了有效的组织和配置，在工作流程中逐渐加入安全要素，这种感知平台至少在金融行业，还是比较领先的。

安全牛：您说的这套防护理念，正好对应于我们安全技术所讲的PDR模型，预防、检测和响应。

戎国强：我只是从需求方的角度来考虑，但实际上这套体系的建立是需要借助众多安全公司的力量。说到这里，有一个现象我认为需要纠正。

安全公司当然愿意甲方花钱购买安全产品和设备，但如果想真正的提升安全防护，达到防范、感知、和响应的体系化，以准确把握网络安全风险的规律、动向和趋势，则远非销售安全产品所能达到，更多的要依靠自身软性实力的提升。

三、安全产品与服务能力的分离

安全牛：您的意思是强调服务、去产品化，正如2015年RSA大会上的“砸盒子”？

戎国强：也没那么极端，因为标准化的产品还是必要的，我主张的是安全产品与服务的分离。类似于SDN（软件定义网络）中的控制平面与数据平面相分离的设计思想，这种分离更有助于整体安全防范能力的提升。新兴安全厂商的价值应该由其提供的安全服务能力来衡量，而不是简单的从产品销售角度来考虑。

如果安全厂商的安全防护能力从产品化上升到服务化，不仅可以更好的服务于客户，同时还可以覆盖更广范围、更具分享经济的信息安全保障建设，企业可以按需付费、按时付费，大幅度的降低成本增加效率。但目前纵观各大安全厂商，能提供这种安全服务能力的还是凤毛麟角。更多的还是以产品销售为主，服务能力提供为辅。

因此，我希望未来出现更多的以提供服务为主的安全企业，将来的发展趋势也一定是安全服务能力与产品能力分离。围绕标准化的安全产品，谁的服务能力更强，服务更细化，谁就能获得更广大的市场。当然，这一切还有待于从国家到企业自上而下的安全建设理念的形成，同时也需要信息安全市场的完善发展。但这个趋势是直观存在的，放眼国外的安全服务市场已经远超安全产品市场。这种服务与产品的分离、细化，将更加促进创业和就业，使得整个信息安全产业更加有机与健康。

四、数据已成为生产要素

安全牛：刚才您谈到了信息安全问题的本质，以及它的保障体系和未来方向，那么从本质或根源的角度，您又如何看待信息安全的核心保护对象，数据呢？

戎国强：信息时代，数据的重要性已毋庸多说。阿里讲DT时代，360讲数据驱动安全，大家都知道数据是核心资产。但我想提出一个更为本质的观点，数据不仅是核心资产还是生产资料，而且越来越成为核心的生产资料。

安全牛：听上去像是在讲资本论，如何理解？

戎国强：对于企业来说，有生产资料才能制造产品，然后销售出去才能有收入。但不管是固定资产还是流动资产，如生产厂房、设备、办公用品，还是原材料、现金、存款、存货等，这些全都是成本损耗性质的，随着时间的推移和每一次的流通使用，都会逐渐消耗同时计入资产负债表的成本一栏。

而数据则不然。数据在流通使用的过程中，不仅不会损耗，还会随着流通与关联不断增值。可以想像，那些以损耗资产输出产品的传统企业，拿什么来与成本不断增值的企业竞争呢？未来，数据必将成为企业的生产要素，全社会企业的生产赢利模式，将迎来翻天覆地的变化。

五、终极的信息安全是透明的

安全牛：数据不仅是核心资产，还是核心生产资料，既然如此的重要，那就更意味着对数据保护的无比的重要，刚才您谈到攻防无止境，那从未来的趋势和概念上讲，又该如何更好的保护数据呢？

戎国强：你这个问题问的很好。想要解答这个问题，我们又得回归信息安全的本质。也许每个组织、每个人都在界定自己认可的信息安全定义，而我对信息安全的定义是，“主体在希望或要求所发出的信息在流动时，其流动管道是事先预知的，是事先定义的、是可控的”，只有真正的满足这个定义，才谈的上真正的信息安全。

安全牛：这个定义有些哲学的味道，能否通俗的解释一下？

戎国强：是这样，例如在微博、Facebook等社交网络中发布信息的时候，你是希望所有人看到还是只能部分人看到？这些信息都是你按照个人意愿发布的，而且谁看谁不看是可控的。再说的直白些，就是用户在同意或预知后果的情况下的信息流动，超出这种信息流动的范围或管道，就是不安全的。这里， “管道”和“预知”是信息安全定义中的两个关键词。

有了管道的概念，就可以在生产流程各个环节中和生产要素（指数据）中植入信息安全，从而进一步促进生产。

这里我又想到一个例子，如传统安全技术都是有罪推断的，所谓的“零信任”。因此大量的工作都需要前置，如账号口令、生物识别、多因子认证等技术。但这种方式的问题在于，简单就不安全，太复杂则会妨碍业务的快速发展。但如果信息安全是基本属性呢？用户无感呢？在工作的时候，不用分心去考虑怎样做才会安全；即把安全透明化，这种工作环境才是安全的终极追求。

安全牛：听起来有点过于理想化。

戎国强：当然，我讲得只是未来的终极演变。如同人工智能和机器人世界，目前来看虽然不可能达到，但路径是有的，方向是存在的。关键是我们对信息安全本质上的认识，如何在生产流程的各个环节把信息安全这一必备生产要素融合进去。

例如，在生产过程中就将客户信息分类分级进入流程，这就很容易发现安全隐患。同时通过信息安全管道化的概念，将安全要素进行提炼，分散到生产的每个环节当中。安全需求变成了生产要素，安全也就透明化，并且结合数据安全的保护和数据产权的保护，才能最终达到大力促进业务发展的目的。

六、二次相关性是解决个人信息使用难题的关键

安全牛：您在这里又提到了数据产权的概念，我们知道网络安全法即将实施，其中很重要的一块就是对个人信息的保护，但目前企业普遍反应个人信息的使用与责任的界定很难，作为有着大量个人信息的金融行业信息安全负责人，您又是如何看待个人信息保护呢？

戎国强：其实这个问题也并不复杂。从个人信息保护的角度来看，知识产权法早就规定了数据是具有产权属性的。但数据应当在合理主张的一定范围内的产权属性才有意义，比如我们在使用各种互联网服务的时候，所产生的地理信息、购买信息、支付信息等，一定是会被提供服务方收集并分析的，否则无法提供服务，这里的服务方就是数据的一次相关方。

信息安全对数据的保护，实质是数据在流动过程当中，各种数据的产权属性得到保全，与之关联的各方权益得到保障。也就是说在当事人知情、同意，并在一次相关性不受侵害的前提下，授权使用方进行使用。

刚才说过，一般生产要素使用是会产生折旧，但数据是特殊生产资料，它是越用越有价值。所以从发展的本质上看，数据一定要流动从而产生更多的价值，而这也就意味着数据将产生二次相关性。当由于二次相关性带来的对数据加工和使用的时候，则要在去除敏感性的同时，保证当事人或数据拥有者的知情权，并取得允许。牢牢把握二次相关性的界定，责任和权利就非常容易区分了。

从知识产权的角度来看，如果国家层面或政策决策层面，把数据的保护与产权法相关连，能够遵从数据的产权和产权定义规则，行使数据各类保护行为和措施，大家对数据的保护才能更具可操作性。只有当数据的各种产权属性得到保护，各方的权益都得到保障，数据才会健康流动，才能促进业务的发展，才会给整个社会带来更大的价值。信息安全在未来发展过程中，特别是网络安全法实施后，未来的方向一定是往颗粒度不断细化的趋势发展。

安全牛评

网络安全法实施在即，企业如何透过法律条文认清信息安全的本质，从而构建全新的安全体系，戎总进行了深刻的思考和总结，对于企业安全建设和安全行业的发展有很强的借鉴意义。他对于数据资产、数据产权和数据安全的理解，更加贴近信息安全的本质需求，引人深思。

作者：张妤