8月22-23日，2023 DEMO WORLD企業開放式創新大會在長三角G60科創走廊策源地松江隆重舉行。本屆大會由微新創想主辦，松江區經濟委員會、松江區投資促進服務中心、國家級上海松江經濟技術開發區、松江區泗涇鎮人民政府、松江區佘山鎮人民政府協辦。

大會以“擁抱開放”為主題，邀請200+跨國公司及本土企業創新領袖，聚焦開放式創新，通過演講分享、報告發布、榜單評選、案例展示、需求對接等多種方式，推動全球創新資源在行業中的流動，加速世界各地的企業在中國成長。

在8月22日下午，數據安全專場，安全狗創始人、CEO 陳奮，泥藕資本創始合伙人、溫致科技董事長杜欣，知道創宇技術副總裁 李偉辰，進行了一場名為《AI時代，數據安全的矛與盾》的圓桌對話，對話由上海聯創管理合伙人朱一凡主持。其中精彩觀點如下：

陳奮：數據安全需要建立在傳統網絡安全基礎之上，若沒有打好基礎，數據安全問題會很容易出現。杜欣：數據安全就像人體的免疫系統一樣，對于科技公司來說是必不可少的防護組成部分。

李偉辰：安全本質上是人與人之間的對抗，雙方的行動目標是獲取所需信息，阻止對方獲取超越權限的信息。

朱一凡：數據的所有權、共享方式以及政府的角色也在動態變化。如何協調這三者的關系，構建一個平衡的框架，在保障信息安全的基礎上實現可持續運營，是一個持續演化的過程。

以下為對話內容，由微新創想整理：

朱一凡：數據已被譽為數字經濟時代的石油，甚至被列為繼勞動力、土地、技術、資本之后的第五大生產要素。數據的流通不僅催生新動能，創造商業價值，還推動資金、人才、技術、物質的流動。然而，數據的流通也帶來新風險，特別是數據泄露。這就要求我們有必要進行有效監管。今天，我們有幸邀請了業界的重要人物和投資者，共同就數據安全、監管及合規等話題展開討論。

01 數據安全 常聊常新

幾位嘉賓能不能大家從自己切身的案例或者接觸到的行業的信息，給大家選一個例子重點介紹一下最近幾年涉及企業安全方面的漏洞，信息泄露之類的，大家可以籠統發散地分享一下，重點介紹一下安全信息方面的問題，以及如何應對?

李偉辰：安全本質上是人與人之間的對抗，雙方的行動目標是獲取所需信息，阻止對方獲取超越權限的信息。對抗中應用的各種手段與技術都可以作用于數據安全保護，如加解密、數據流控制等。

我們是專注于實戰的安全公司，我們的客戶需要在安全事件發生時找到可以真正挽回損失、防止未來事件的供應商。很多政府、企事業單位業客戶都是因為遭遇了安全事件才來找我們。數據安全范疇很大，最終解決問題還是需要傳統的安全手段，再結合新技術，比如隱私計算。

杜欣：多年來我們投資了許多項目，數據安全一直是個關鍵議題。我們的視角可能與前面兩位產業專家稍有不同。

在互聯網金融盛行的時代，大量基于個人用戶數據的分析用于信用評分等，這個行業也出現了諸多問題，很多公司甚至不復存在，歸根結底是數據安全和隱私泄露的問題。

回過頭來看企業級安全，現在許多安全防護型公司都服務于大型國企、央企、金融機構等有資金的領域。然而，在廣泛的業務領域中，一些快速發展的科技公司也面臨風險。由于很多公司集中部署在云上，使用各種SaaS和在線工具，疫情時期更是加速了一切的聯網。我知道有競爭對手之間使用黑客手段互相攻擊的情況也非常普遍。

這包括一些技術上的泄密，也包括內部人員造成的問題。有時候因為勞資糾紛或合伙人間的紛爭，導致源代碼、重要客戶、核心資源、技術秘密等遭到不可逆轉的損害。

我希望云安全和數據安全廠商能夠考慮為這些快速發展的科技公司提供數據安全防護。甚至我認為他們可以考慮用自己的股權進行交換。雖然這些公司在現金支付方面可能不如國企、央企和軍隊有能力，但是對于他們來說，出現問題將導致巨大的損失。我認為數據安全就像人體的免疫系統一樣，對于科技公司來說是必不可少的防護組成部分。

陳奮：數據安全在過去兩年確實受到了高度的關注。前面有專家提到數據是一個全生命周期的動態過程，數據涉及到很多應用系統和存儲，因此，數據安全需要建立在傳統網絡安全基礎之上，若沒有打好基礎，數據安全問題會很容易出現。

比如，去年上海公安數據泄露事件。這個問題的本質在于網絡安全和云安全配置的不當，導致外部可以訪問數據。這個案例凸顯了在數據生命周期中，尤其是存儲環節，必須正確設置基礎設施的網絡安全，否則會導致數據泄露。類似的云上數據泄露案例很多，例如國外的AWS等。我們進行了云安全檢查，發現很多用戶的身份密鑰都沒有得到妥善存儲，這是基礎的網絡安全問題，這導致大量數據泄露。

關于最近的案例，是一個云上客戶在數據使用過程中出現的安全問題。這個客戶是政府部門的大客戶，他們的應用開發商是一個備受信任的大型開發商，他們提供了系統和基礎設施。然而，項目經理在開發過程中植入了一個漏洞代碼，使得實時數據可以傳輸到外部。這些實時數據具有商業價值，甚至項目經理以幾億的價格賣出了這些數據。這個案例揭示了在數據使用過程中可能出現的問題，而這些問題很難被傳統的網絡安全手段所識別，因為這些行為在訪問過程中看起來是正常的。這就需要新的方法來防范，如零信任技術，全面管控訪問過程，以防止內部泄密事件。

朱一凡：接著四位的分享我想談一下我的感受。我們關注安防領域已經很多年了，我注意到數據和信息安全并不是一個新話題，它早在十年甚至二十年前就已經存在，只是隨著應用的發展，安全需求變得更加突出。這也意味著隨著應用的不斷演進，安全措施也需要不斷更新。

舉個例子，證券公司內部有不同部門，包括前臺、中臺、后臺等。過去幾年中，為了防止交易員濫用內部信息進行不當交易，許多證券公司采取了一系列安全措施，比如在交易員辦公區域設置攝像頭，特別關注他們在交易時的表情、手勢等。雖然這些措施在防止交易員不當交易方面取得了一些效果，但問題是，這些措施無法防止公司后臺的IT人員偷窺交易員的交易活動，進而濫用信息進行操縱市場。這個例子展示了隨著商業模式的變化，安全需求也需要不斷更新，以應對新的風險。

數據安全并不是單一的概念，而是在不同的領域和應用中體現出不同的需求和挑戰。以信息安全為例，保密部門的高級領導可能會發現，雖然門衛和保安有查看攝像頭的權限，但他們可能會被利用，暴露出領導的行蹤等敏感信息。這種情況下，即便沒有高超的技術，信息的泄露仍然可能帶來嚴重的風險。

02 AI如何賦能信息安全

接下來，我想請幾位企業創始人分享一下，現在各位所處的細分領域，關于信息技術安全方面的趨勢，以及最熱的人工智能在各位所處的細分領域當中有沒有賦能的價？當中可以包括兩方面的內容，一方面AI怎么賦能信息安全，另外一方面AI本身是需要大量的數據做反復的演算，做培訓和學習，本身持續需要大量的數據做培訓，作為創業公司如何保證這些信息來源的安全性、可靠性，以及信息存儲的安全性。

李偉辰：在人工智能方面，我們利用大數據分析技術來識別攻擊行為。我們的云防御平臺每天可以捕獲十億次以上的攻擊事件，其中不少是利用的0day漏洞，每年發現的在野0day利用超過上百個，這是通過我們的數據獲取及數據分析能力實現的。此外，我們看到運維自動化領域，像SOAR這樣的技術需要大量分析網絡和安全設備的日志。我們相信，大型語言模型時代將會為日志分析帶來積極的影響。

總的來說，我們關注立體縱深的防御，以及威脅情報在安全領域中的廣泛應用。我們通過大數據和人工智能技術實現了攻擊行為的分類和識別，并有效地應用精準威脅情報提升防御效果。

朱一凡：兩個技術名詞，除了大模型還有沒有其他的？

李偉辰：傳統的人工智能算法我們也在使用。

陳奮：在過去幾年中，AI技術已經在安全領域得到了引入和應用。然而，關鍵在于根據不同的場景選擇最適合的算法，找到與特定場景最匹配的方法。過去幾年，我們已經引入了諸如時序分析、機器學習和神經網絡等算法。例如，對于病毒分析，傳統的機器學習算法基本足夠，而不一定需要運用到當前大型模型的算法。因此，算法的選擇與應用場景密切相關。

最近大型語言模型的興起，網絡安全公司也開始探索其在網絡安全領域的應用。在某些場景下，大型語言模型的應用是有益的，比如在代碼安全性分析中，因為代碼本身是非結構化文本數據。同時，安全事件分析中的安全知識也常常是非結構化文本數據，可以用來訓練安全助手或安全智能機器人。一些廠商已經在朝這個方向發展。我們還在特定場景中應用AI算法，比如在數據分類和分級時使用AI算法有助于不同行業數據的分類。

我認為選擇適合的AI算法是非常重要的，不是所有情況都需要大型語言模型。去年開始研究AI安全可能不是我們的主業，但是我們也關注到一些重要的領域。例如，人臉識別可能被替代，同時我們在探索如何利用AI防止AI算法的漏洞被繞過，這是一個具有一定難度的挑戰。我們還在進行AI鑒幀的研究，以判斷視頻中的人臉是由生成式算法生成還是真實存在的，監管部門也對此非常關注。當一些領導人的視頻被替換時，這可能引發政治事件，因此我們也在關注新的AI鑒幀技術的發展。

朱一凡：人臉這個東西畢竟跟其他不一樣，銀行密碼丟了可以重置，人臉的數據一旦丟失的整容也不行，依賴于人臉做安全防控，特別是金融防控，一旦人臉信息丟失了之后怎么解決這個問題，我也一直很感興趣。

接下來請杜總分享一下未來在整個信息安全領域投資的趨勢

杜欣：其實這不算是新話題了，十幾二十年前大家都特別關注這個領域，對信息安全的重視應該說是越來越重視，不管是國有的，to G的，包括這種中小企業，創新型企業都會越來越重視，所以我們更多的還是把它看成是一個常規的這種企業級服務的賽道。

同時，真正具有領先技術的企業會有更多機會，比如今天探索很多的隱私計算，包括很多如何在不告訴你具體數據內容，但又能夠實現數據交易、數據資產的共享方面發揮特別大的價值。

數據的趨勢是未來會在交易端產生特別大的可能性，過去為什么數據交易一直沒起來，要么就是灰產，要么變得無法交易。如何做到？其實就是很多的數據安全技術，可以成為交易的基礎平臺級的應用，我們還蠻期待這個領域能出現一些好的技術，好的公司，好的模式，包括今天是一個特別的日子。

如何去確認企業數據資產？財政部的一系列配套的文件已經出來了，未來從會計師的角度來講，就可以把很多的數據落實為資產。技術上如何真正的讓數據實現可流動、可變現，可能就是下一個階段非常重要的目標。這個會涌現一個非常龐大的數據交易的市場，圍繞它的數據資產的生成、交易、安全、防護，會產生非常多的機會，這屬于過去沒有未來會有新的東西。

其他領域to B、to G，我們如何防護的更好，攻的更強，這是一個常聊常新的話題，這里面最終殺出來的會是一些商業化能力跟技術能力比較平衡的一些團隊。

03 產業與安全 相輔相成

朱一凡：數據交易與安全之間存在著一種辯證關系。早些年，由于數據相對缺乏管控，大量數據外泄催生了中國特有的大數據市場。隨著大數據的興起，安全漏洞也日益顯現，從而促使信息安全投資領域的崛起。投資機會、市場風險和市場應用在這個過程中是相輔相成的。

數據與第一產業的種地類似，生產靠農民，管理靠農場主，最終稅收由政府收取，構建了穩定的生產模式。然而，不同歷史階段會有不同的歷史使命，類似家庭聯產承包責任制或國有農場。對數據而言，數據的所有權、共享方式以及政府的角色也在動態變化。如何協調這三者的關系，構建一個平衡的框架，在保障信息安全的基礎上實現可持續運營，是一個持續演化的過程。

嘉賓們能否用簡潔的話語表達一下這三者之間的關系，以及如何建立平衡，確保信息安全并實現可持續發展？

陳奮：在這三者之間，每個角色都有自己的定位。政府在其中是規則的制定者、監管者、數據的擁有者，同時也是向外提供服務的角色。政府在整個數據安全產業的發展中扮演著至關重要的角色。作為網絡安全從業者，我們更多地致力于保護角色，為規則制定者提供數據安全監管、保護和交換交易的手段。數據安全公司在這個過程中也能夠承擔重要的職責。

杜欣：如何活躍交易，就跟現在的股票市場是一樣的。有多層次資本市場，但是缺買方跟賣方，缺資產的供給跟愿意在市場里交易的伙伴，還是希望能夠把整個的流程，包括這里面的前置條件變得不要這么復雜。否則的話不利于一個交易雙方的市場的形成，所有市場的形成先有交易，讓它在一定有可控風險的情況下，出現一些亂象甚至過熱的形象，慢慢地規范，從街邊的菜市場變成一個比較好的大超市，數據的交易可能這樣的一個過程，所以相對而言，其實比我們現在的交易規則，包括這里面的技術規則更重要的可能是我覺得是一個良好的生態的搭建。

李偉辰：我非常同意杜總的觀點。實際上，新加坡已經在這方面進行了嘗試,建立了金融科技監管沙盒制度，以便觀察新事物的發展。數據安全和數據作為資產的概念對社會來說都是新事物，我們還在不斷探索中。例如，昨天財政部發布了《企業數據資源相關會計處理暫行規定》，其中關于數據作為存貨的問題，我還沒搞清楚如何將數據資產結轉，因為數據是可復制的。還有許多問題還沒有明確答案。希望監管機構能夠允許企業和個人先行先試，但是必須進行嚴格監督，一旦發現問題要及時終止。我們希望能夠鼓勵大家不斷嘗試和思考，這將有助于數字經濟的繁榮。