美国近年来推进“新基建”的布局及启示

近年来，世界经济 呈现发展动能趋缓、下行风险上升、规则调整加快的特点。 为应对经济衰退，

美国推出了《美国重建基础设施立法纲要》，加快实施万亿基础设施重建计划，对交通，水资源、给水和排水系统，以及下一代能源基础设施，高速互联网等新型基础设施领域进行部署，以此帮助美国经济复苏。

美国近年来在新型基础设施建设方面的主要布局

受政治体制影响，美国在基础设施建设部署上存在较大不稳定性，但是对新型基础设施建设的投资却一直被作为推动经济增长的重要手段，相关战略部署立足长远、积极推进。

（一）主要战略部署

自2008年国际金融危机以来，美国先后实施了《美国复苏与再投资法案》《美国国家空间数据基础设施战略规划草案（2014-2016年）》《修复美国地面交通法基建法案》《联邦大数据研发战略计划》《增强联邦政府网络与关键型基础设施网络安全》《美国重建基础设施立法纲要》等战略计划，出台了《网络与信息技术研发计划》《大数据研究计划》《能源制造业系统伙伴关系计划》等具体的实施细则，旨在通过加大新型基础设施建设来摆脱经济危机，提升产业竞争力，实现经济复苏。其中 科技 领域新型基础设施建设主要包括下一代能源基础设施、高速互联网、科研基础设施、人工智能、大数据等方面。

（二）《美国重建基础设施立法纲要》的主要内容

2018年2月，特朗普政府出台《美国重建基础设施立法纲要》（以下简称《纲要》），从出台时间来看，《纲要》与我国“新基建”战略部署时间较为接近，面临着相似的国际背景和外部环境，建设领域上存在一定相似性。《纲要》更加偏重于融资，传统基础设施占比较大， 科技 领域的基础设施建设更多以其他的专项计划来部署。在技术领域上，《纲要》重点投资现代交通、新能源、5G通讯基站、智能电网、宽带网络、大数据等领域，注重对成熟技术的应用和推广。相比而言，根据国家发改委对“新基建”范围的界定，我国“新基建”包括信息基础设施、融合基础设施、创新基础设施，技术领域涉及5G、物联网、工业互联网、卫星互联网、人工智能、云计算、区块链等新兴技术，特别重视对重大 科技 基础设施、科教基础设施、产业技术创新基础设施等创新基础设施的投资。

美国推动新型基础设施建设的主要举措

自2008年以来，美国不断加强在新型基础设施建设领域的战略部署，主要包括五个方面的重要举措。

（一）加强对“新基建”的研发投入

2018年，特朗普政府出台的《美国重建基础设施立法纲要》提出设立200亿元的创新转型项目计划，发展自动驾驶技术和车辆、新轨道运输技术、无人机、模块化基础设施技术等。在2019-2021财年特朗普政府美国工业发展领域研发优先事项中，人工智能、量子信息、通信网络、自动驾驶、智能制造、工业机器人等技术领域成为优先布局事项。

（二）开展基础研究和关键核心技术研发

（三）强化关键基础设施技术的自主可控

对关系国家战略安全、影响国家竞争优势的基础设施领域，美国支持本国企业主导建设全过程，强化技术自主可控。美国颁布了《增强联邦政府网络与关键型基础设施网络安全》的行政指令，从联邦政府、关键基础设施和国家三个方面，要求采取一系列措施确保联邦政府及关键基础设施的技术安全。对于国外企业投资美国关键基础设施项目，尤其对高度敏感的国家安全项目，要接受美国外国投资委员会、美国国会美中经济和安全审查委员会、美国联邦能源监管委员会等机构的层层监管，确保技术安全可控。

（四）发挥杠杆效应支持引导企业参与

在新型基础设施建设中，美国十分重视发挥民营企业的作用。在《美国重建基础设施立法纲要》中，除政府拨款的2000亿美元外，其余2万亿美元的基础设施建设资金大部分来源于私营企业投资和债券，基础设施具体建设也由私人企业承担，该计划以融资为主，广泛吸收私营企业和个人的资金。采取公开招标方式，鼓励民营企业采用新技术，通过基础设施建设推进制造业回流，促进新兴产业发展和培育。

（五）加强科研基础设施设施建设

美国高度重视科研基础设施（包括大科学装置）建设。如在《美国复苏与再投资法案》中提出，支持用于科学研究、基础设施以及实验室大型仪器设备的更新，启动《民用超级计算机计划》，为能源部的生物能源中心和联合基因组研究所购置新的设备，为国家实验室和大学核聚变研究提供设备升级或购置新的设备等。近年来，美国能源部提出实施“前路计划”，设立“百亿亿次计算项目”，部署百亿亿次超级计算机，解决并行性、内存和存储问题，为推进基础设施建设提供运算支撑；在南达科他洲开工建设长基线中微子设施，开展地下深层中微子试验场所。为提高国家生物安全，美国开始新建5家生物安全四级实验室，包括美国国家过敏和传染病研究所、加尔维斯顿国家实验室、美国国家生物卫生分析与对策中心等。在人工智能领域，美国发布《国家人工智能研发战略规划》，提出要开发人工智能共享数据集和测试环境平台，开发开源软件库和工具集等。

对策和建议

通过总结美国近年来在推进基础设施建设方面的经验和做法，结合我省发展现状和需求，提出如下对策建议。

一是制定出台“新基建” 科技 支撑行动计划。 强化统筹安排与顶层设计，从 科技 创新支撑“新基建”发展角度，提出具体的行动方案和实施细则。设立“新基建”工程技术研发专项，围绕我省“新基建”过程中遇到的工程技术难题，组织省内外高层次团队进行攻关，推动工程 科技 发展。

二是构建多元化融资模式。 加快 科技 债券、融资租赁、PPP等融资模式在“新基建”中的应用，为推动我省创新基础设施建设提供资金支持。以建设国际风投创投中心为契机，引进风险投资进入 科技 类基础设施建设领域，发挥金融杠杆撬动作用，扩大市场化资金规模。

三是提高 科技 园区基础设施建设水平。 以高新区、专业镇、 科技 小镇等区域创新平台为依托，加快提升5G基建、特高压、城际高速铁路和城际轨道交通等基础设施建设，高水平打造智慧园区、 科技 园区、创新园区，提升 科技 对园区发展的支撑带动作用。在省级高新区动态评估中，引入新型基础设施建设指标，引导高新区提升新型基础设施建设水平。

四是加快科研基础设施和实验室建设。 以企业实际应用需求为导向，新建一批中小型科研基础设施，以应对大型科研基础设施（大科学装置）需求不足、成本过高、效能不匹配的问题。如中等性能超级计算机、低强度中子源、P3级生物安全实验室等。加快推进省实验室建设步伐，瞄准5G、大数据、工业互联网需求，建设一批工程领域省实验室。

转自丨三思派

随着上海城市数字化转型脚步的加快，区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中，不仅催生了新的业务形态和商业模式，也产生了很多安全问题，因而安全监管显得尤为重要。安全测评作为监管重要手段之一，成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。
一、区块链技术测评
区块链技术测评一般分为功能测试、性能测试和安全测评。
1、功能测试
功能测试是对底层区块链系统支持的基础功能的测试，目的是衡量底层区块链系统的能力范围。
区块链功能测试主要依据GB/T 2500010-2016《系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》、GB/T 2500051-2016《系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》等标准，验证被测软件是否满足相关测试标准要求。
区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互 *** 作能力、账户和交易类型、私钥管理方案、审计管理等模块。
2、性能测试
性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试，大多在项目验收测评中，用来验证既定的技术指标是否完成。
区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。
3、安全测评
区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。
区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。
二、区块链合规性安全测评
区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。
1、区块链信息服务安全评估
区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》（以下简称“《规定》”）和参考区块链国家标准《区块链信息服务安全规范（征求意见稿）》进行。
《规定》旨在明确区块链信息服务提供者的信息安全管理责任，规范和促进区块链技术及相关服务的健康发展，规避区块链信息服务安全风险，为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出：区块链信息服务提供者开发上线新产品、新应用、新功能的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头，浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求，包括安全技术要求和安全保障要求以及相应的测试评估方法，适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下：
图1 区块链信息服务安全要求模型
2、网络安全等级保护测评
网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。
区块链作为一种新兴信息技术，构建的应用系统同样属于等级保护对象，需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分，但目前并没有提出区块链特有的安全要求。因此，区块链安全测评扩展要求还有待进一步探索和研究。
3、专项资金项目验收测评
根据市经信委有关规定，信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。
三、区块链安全测评探索与实践
1、标准编制
上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头，苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布，今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。
同时，测评中心还参与编写了国家人力资源和社会保障部组织，同济大学牵头编写的区块链工程技术人员初级和中级教材，负责编制“测试区块链系统”章节内容。
2、项目实践
近年来，上海测评中心依据相关技术标准进行了大量的区块链安全测评实践，包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中，发现的主要安全问题如下：
表1 区块链主要是安全问题
序号
测评项
问题描述
1
共识算法
共识算法采用Kafka或Raft共识，不支持拜占庭容错，不支持容忍节点恶意行为。
2
上链数据
上链敏感信息未进行加密处理，通过查询接口或区块链浏览器可访问链上所有数据。
3
密码算法
密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。
4
节点防护
对于联盟链，未能对节点服务器所在区域配置安全防护措施。
5
通信传输
节点间通信、区块链与上层应用之间通信时，未建立安全的信息传输通道。
6
共识算法
系统部署节点数量较少，有时甚至没有达到共识算法要求的容错数量。
7
智能合约
未对智能合约的运行进行监测，无法及时发现、处置智能合约运行过程中出现的问题。
8
服务与访问
上层应用存在未授权、越权等访问控制缺陷，导致业务错乱、数据泄露。
9
智能合约
智能合约编码不规范，当智能合约出现错误时，不提供智能合约冻结功能。
10
智能合约
智能合约的运行环境没有与外部隔离，存在外部攻击的风险。
3、工具应用
测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时，已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致，“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。
测评中心依据DB31/T 1331相关安全要求，正在组织编写区块链测评扩展要求，相关成果将应用于网络安全等级保护测评工具——测评能手。届时，使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评，发现区块链安全风险，并提出对应的整改建议

在区块链技术中，数字加密技术是其关键之处，一般运用的是非对称加密算法，即加密时的密码与解锁时的密码是不一样的。
简单来说，就是我们有专属的私钥，只要把自己的私钥保护好，把公钥给对方，对方用公钥加密文件生成密文，再将密文传给你，我们再用私钥解密得到明文，就能够保障传输内容不被别人看到，这样子，加密数据就传输完毕了。同时，还有数字签名为我们加多一重保障，用来证明文件发给对方过程中没有被篡改。
作为底层加密技术，区块链加密技术能够有效保障数据安全，改变当下数据易泄露、易被利用的现状，让个人信息数据得到全面的保护，也有望给物联网、大数据、信用监管、移动办公等领域带来亟需的改变。

文章首发-公众号： 钻石研报 。

一、“滴滴”事件的背后是大国数据的博弈

1、滴滴赴美低调上市，旋即被网信办启动网络安全调查。 6月30日，滴滴低调完成赴纽交所IPO动作，募资不低于44亿美元。7月2日，网信办发布消息，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》、《网络安全法》、《网络安全审查办法》等，对滴滴实施网络安全审查，审查期间停止新用户注册。7月4日，网信办再次发布消息，要求滴滴App下架。这样的监管对象、监管措施和推动力度在行业内并不多见。

2、“滴滴事件”敲响了个人信息安全保护的警钟，未来相关监管力度也将持续提升。 随着互联网的发展，个人信息安全问题愈发严重。2021年6月，工信部就通报过291款侵害用户权益App，并进一步加大对Appd窗信息关不掉或者未显著提供关闭功能标识,开屏信息、d窗信息利用文字、、视频等方式欺骗误导用户跳转至其他页面等突出问题的整治力度。“滴滴事件”敲响了个人信息安全保护的警钟，我们认为未来相关监管力度也将持续提升。

3、从立法层面来看，国家对个人信息保护重视程度明显提升。 于2021年1月1日正式实施的《民法典》总则编第111条，规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”2021年4月29日，《中华人民共和国个人信息保护法（草案二次审议稿）》在经全国人大常委会会议审议后面向 社会 公布并征求意见。二审稿第57条规定，“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”需要履行个人信息保护特别义务：成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护 社会 责任报告，接受 社会 监督。该规定重点强化超大型互联网平台信息保护义务。

4、归根结底，滴滴事件还是网络安全问题，网络安全问题重要性超过传统认知范畴。 尽管滴滴中国活跃用户38亿（据招股说明书），但此次受到监管审查，原因是网络安全，和较早对多个企业展开的反垄断审查不尽相同。一方面，位置信息是更为敏感的数据，不仅涉及财产安全，往往还涉及人身安全、国家安全。和保护其实会渗透在更为广阔的空间和场景，远不止日常的线上办公、生活领域。未来，网络安全还会紧密关联到工业生产、虚拟现实、区块链、物联网、智慧城市等新领域。

二、数据战略意义上升，警惕“以经济之名行政治之实”。

1、数据作为核心生产要素，其战略意义上升，保护/获取数据资源尤为关键。 由于数据正在逐步成为核心生产要素，对生产生活活动，甚至人的思想产生的影响越来越大，因此从大国博弈的层面来看，首先如何保护本国的数据不轻易为他国所用，其次如何获得他国数据为自身所用，就尤为关键。可以说，数据不只是一个商业问题，更具有战略意义。从全球来看，不同经济体目前采用的方式表面来看五花八门，但核心都是在互联网数字 社会 “自上而下”构建法制体系来保护/获取数据这一核心要素，看似市场行为，实则隐含国家安全和大国博弈的考量。

2、对内来看，美国可能正在借“反垄断”之名，开始加强对数据的监管。 大多数人看美国反垄断，只是从商业的角度去看，参考的是90年代的微软反垄断案，而忽略了互联网平台实际上形成的双重垄断——表面是某一个商业领域的垄断，背后实际上是对数据的垄断。互联网平台是大数据收集的载体，利用这些数据不仅危害行业本身的市场平等竞争，更重要的是可能造成隐私泄露、影响国家安全等非市场化的问题。因此，尽管拜登和特朗普在诸多观点上大相径庭，但是对于 科技 巨头反垄断的看法则较为一致。在特朗普执政的后期，美国众议院司法委员会开始针对Google、Facebook、Amazon、Apple四家互联网 科技 巨头进行反垄断调查，并于2020年7月29日举行了反垄断听证会。而拜登执政之后延续，甚至试图进一步加强了对互联网平台的监管。

3、对外来看，美国或也正借“收紧对赴美上市企业监管”来获取更多信息。 除了通过反垄断调查，美国自2020年以来也加紧了对赴美寻求融资企业的审核和管控，需要警惕其将此作为获取财务、营业数据等信息的渠道。2021年，《外国公司问责法案》正式生效。该法案对在美上市公司基本披露义务作了规定，要求向美国证监会（SEC）披露该公司审计报告、发行者本国（即该公司设立国）政府机构持有的该公司股份比例、公司所聘会计师事务所境外分支机构所在国政府机构是否对公司拥有控制权等信息。连续三年不能满足美国公众公司会计监督委员会（PCAOB）对会计师事务所检查要求的外国发行人，将被迫从美国退市。而根据PCAOB的报告，截至2020年5月，全球225家因监管障碍而无法进行审计监察的美国上市公司，有213家来自中国内地及中国香港，其余11家来自比利时。换言之，美国的《外国公司问责法案》，给中国企业（尤其是科创企业）境外融资增加了极大的摩擦成本，并且提升了中概股退市的风险。需要持续关注美国以自己的金融市场优势，来获取数据等关键要素的潜在风险。

参考内容：

《中银证券-计算机行业点评：上市与下架，滴滴事件是不是网络安全问题？》

《开源证券-计算机行业点评报告：“滴滴事件”敲响个信安全警钟，把握网安投资机会》

《兴业证券-大国数据博弈系列开篇：“滴滴”事件背后的大国数据博弈》

---