近日,在2023中關村論壇——數據安全治理與發展分論壇上,馮登國院士做了主題爲:《數據安全新方向:數據使用安全》的分享,以下是分享全文。
各位專家,各位嘉賓,大家好:
很高興有這個機會與大家進行交流一下對數據安全的一些認識,發言題目是《數據安全新方向--數據使用安全》。
數據使用安全實際上已經告訴了大家所有的信息,就是談談當前數據安全這個新方向,就是數據使用安全。
因爲數據安全這概念是相對比較古老的,我的報告主要是包括如下幾部分內容,數據是數據時代的基礎性戰略資源與關鍵性生產要素,隨着國家數據戰略的深化,數據要素呈現出加速整合與互聯互通的這個趨勢。
數據安全需求凸顯,另外一點就是數據安全法、個人信息保護法於2021年落地實施,如何平衡數字的經濟的發展與重要數據安全、個人隱私保護已經成爲現實的挑戰。
數據安全
那麼什麼是數據安全,在數據安全法裏邊給了這個定義,首先給了一個數據的這個定義,數據就是任何以電子或者其他方式對信息的記錄。
那麼這句話的含義是什麼呢?就是數據是信息的載體。那麼信息呢?是數據的內涵。
那麼數據安全就是通過採用必要措施確保數據處於有效保護和合法利用的狀態以及具備保障持續安全狀態的這種能力,那麼這就是數據安全。
當然我這裏談的主要是電子化和數字化的這種數據,數據是有生命週期的,從它的產生到它最後的銷燬,那麼有很多環節,當然在我們的數據安全法裏邊,是這樣定義這幾個環節的,它主要是從數據處理來定的這麼幾個環節,不管怎麼去講,它是有這個生命週期的。
在我們保護的時候,它每一個環節都要進行保護,因爲每個環節都可能遇到這個不同的安全威脅,數據安全現在有哪些主要的威脅呢?這裏做了一個歸納,主要有這麼幾個方面。當然也有的歸納的不同,但是這些方面呢,是現在大家比較關注的。
第一個就是數據泄露,那麼這個就是通過偷取和竊聽,那麼可能造成數據泄露,也可能通過流量的分析,也可能造成數據泄露,也可能通過公開的數據分析,那麼造成數據泄露。
第二方面就是數據破壞,比如被篡改可能造成破壞,比如系統跟設備感染病毒蠕蟲,也可能導致這個數據破壞,那麼電磁感染,也可能導致數據破壞。
第三個方面就隱私泄露,通過數據的分析處理跟推理,這些手段可能獲得個人的隱私,泄露包括用戶的身份,包括社交關係屬性、軌跡等等。
第四個方面就是數據的失控,比如說新的這種處理模式,應用模式,尤其是像雲計算這種模式,那麼它可能會導致用戶的數據失控。
第五個方面,像數據濫用,包括非法使用,非授權使用或者越權使用,也包括數據的壟斷。
第六方面就數據損壞或丟失,那麼可能存儲的這個硬盤,那麼存儲設備損壞造成的,也可能人爲操作造成的,也可能自然災害造成的,那麼等等。
那麼大數據時代的數據安全,那麼不僅包括傳統的像這種機密性、完整性、可用性,也包括隱私性跟敏感性。
大家可能講到現在講隱私性比較多,隱私性我們主要強調的是個人的隱私,但是敏感性它就範圍更廣一些,不僅包括防止數據泄露的這種隱私性跟敏感性,而且也包括數據分析的隱私性跟敏感性。
那麼另外一個數據安全問題的解決,離不開配套的法規政策支持以及嚴格的管理手段,但更需要有可信賴的技術手段來支撐。
那麼第三點就是要從技術角度來看數據,既包括像密碼控制、訪問控制、信息流控制、推理控制和隱私控制這些控制手段,也包括像容災備份,數據恢復這些實用的方法。
近年,也湧現出了一大批數據安全新技術,比如密文計算技術、基於風險分析的訪問控制技術、具體高效的安全多方計算技術、抗量子計算安全技術,差分隱私保護技術等等。
這些都是近年來在數據安全領域湧現出的一些新技術,從體系上來講,我們要構建這樣的技術體系,實際上是一個矩陣式的技術體系。
我們要從生命週期作爲出發點,有一些技術是有共性的,比如說測評、檢查、合規,包括安全監管,那麼這些是共性的。
那麼對於每一個環節,比如說數據產生環節,它有它的技術,比如數據採集有他自己的技術,數據存儲環節也有自己的技術,這樣就構成了一個矩陣式的技術體系。
那麼從另外一個角度維度來看,我們可以面向數據全生命週期,關心三個方面的關鍵技術,一個是安全防護,第二個是安全治理,第三個是安全威懾。
防護主要是來支撐金融等應用,治理主要是來支撐國家監管機構的這種應用,威懾主要是支持國家安全部門的這種應用。
數據使用安全
下面就談談這個數據安全新方向,也就是數據使用安全。
第一句話就是數據使用安全現在需求迫切,像雲計算、大數據等信息應用場景的發展,迫切需要對使用中的數據進行保護。
尤其是針對運用中的那些數據,每一種攻擊模式都使用了不同的攻擊技術,但是他們的共性是被攻擊對象都是使用中的代碼或者數據。
那麼第二個方面就是移動、物聯網等設備數量的不斷擴大,迫切需要對使用者的數據進行保護。
數據使用安全也受到了高度的關注,像工業界跟學術界已經發現了多起影響深遠的基於內存數據的攻擊手段,這些都極大地增加了人們對使用中的數據安全的關注。
那麼從2021年的一項調查,我們也看到大家現在非常關注使用中的數據安全,使用安全成爲當前數據安全領域的前沿的一個研究方向。
數據保護的時候,主要涉及到三種不同的狀態:
第一個是存儲時的數據,涉及數據資產安全,它的安全保護措施,主要有加密、訪問控制等等,那麼這些技術相對比較成熟,但是隨着技術跟應用的發展,需要滿足它的深入性,包括它的先進性也要進行研究。
第二個是傳輸時的數據,安全保護措施像有IPSec、VPN等等,涉及到通信安全,它也是相對比較成熟,但是隨着技術的發展還要進行深化研究。
最後一個是使用時的數據,包括其在內存處理器中進行計算時的形態的機密性和完整性的保護,也就是運行態數據的安全,或者流動的數據安全,那麼這方面的技術現在是一個薄弱環節,是一個短板。
這方面的技術有很多,包括像同態加密、可信執行環境、聯邦學習安全、安全多方計算、密文檢索等等,那麼這些技術,有的是不夠可靠,有的是實現的性能不能滿足我們現實的需求。
最後,做一個總結,我們應該在堅持自主可控、安全可信的這個防護理念的基礎上。
一是要不斷深刻認識數據安全的內涵,就是剛纔講的那句話,大數據時代的數據安全,不僅包括傳統的機密性、完整性、可用性,也包括隱私性和敏感性,不僅包括防止數據泄露的隱私性和敏感性,也包括數據分析的隱私性和敏感性。
二是要緊跟國際數據安全技術的發展趨勢,因爲國際上有很多大家都很關注的成果,我們應該在我們進行原始創新跟集成創新的同時,充分借鑑這些國際的先進成果。
三是應該加強數據安全法律法規研究制定,我們的法律法規畢竟還比較年輕,那麼需要通過法律手段來規範市場,那麼強化監管,合理平衡數據管制與自由流動,營造良好的法治環境,要處理好發展和安全的關係。
四是要緊密結合產業和應用實際,我們的工作應該自主掌控一些核心的關鍵技術跟產品,推出切實可行的安全解決方案和標準規範,爲保障數據產業健康穩定發展保駕護航。