今年4月,全國網(wǎng)絡(luò)安全和信息化工作會議在北京召開,影響深遠(yuǎn)。在5月25日至29日于貴陽舉辦的“數(shù)博會”上,大數(shù)據(jù)安全問題仍然是討論的熱點(diǎn)之一,多位專家表達(dá)了數(shù)據(jù)安全是實(shí)現(xiàn)數(shù)據(jù)價值前提的觀點(diǎn)。
而隨著對大數(shù)據(jù)安全問題認(rèn)識的逐漸加深,與會專家認(rèn)為,關(guān)鍵基礎(chǔ)信息設(shè)施是網(wǎng)絡(luò)安全的重中之重,認(rèn)證檢測的標(biāo)準(zhǔn)體系則是解決基礎(chǔ)信息設(shè)施保護(hù)的重要手段;除了標(biāo)準(zhǔn)化外,大數(shù)據(jù)安全還得強(qiáng)調(diào)可控性。此外,隨著歐盟的GDPR生效,個人大數(shù)據(jù)安全被認(rèn)為應(yīng)擺在與國家安全同等重要的位置。
大數(shù)據(jù)安全要強(qiáng)調(diào)可控性
Facebook用戶信息泄露是大數(shù)據(jù)安全議題下的一個重要事件節(jié)點(diǎn),其影響至今仍未了結(jié)。
數(shù)據(jù)安全問題逐漸凸顯的另一面是數(shù)據(jù)的激增。工信部副部長陳肇雄在此次“數(shù)博會”上表示,預(yù)計到2020年,我國數(shù)據(jù)總量全球占比將達(dá)20%,我國將成為數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的國家之一。
為應(yīng)對大數(shù)據(jù)時代下的安全問題,早在2016年底,我國就出臺了《網(wǎng)絡(luò)安全法》,并于2017年6月1日起正式實(shí)施。與此同時,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會還連續(xù)兩年制定了2017年版和2018年版的《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書》。
“但是,我們的標(biāo)準(zhǔn)和法律法規(guī)被執(zhí)行的程度不高,企業(yè)的自我防范能力和對安全的控制能力也都不夠。”中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心主任魏昊表示,“數(shù)據(jù)所有權(quán)必須可控”。
同樣強(qiáng)調(diào)可控性的還有中國工程院院士倪光南,其表示,實(shí)際上核心技術(shù)受制于人不僅會帶來供應(yīng)鏈風(fēng)險,同樣會帶來安全風(fēng)險,后者與前者同樣嚴(yán)重;我國在網(wǎng)信領(lǐng)域需打破國外壟斷,減少對外技術(shù)依存度。
基礎(chǔ)信息設(shè)施保護(hù)是重點(diǎn)
關(guān)鍵基礎(chǔ)信息設(shè)施被認(rèn)為是網(wǎng)絡(luò)安全的重中之重,當(dāng)前的關(guān)鍵信息基礎(chǔ)設(shè)施也易成為攻擊目標(biāo)。例如2015年烏克蘭電力系統(tǒng)遭到惡意代碼入侵,2016年10月美國斷網(wǎng)事件。
2017年7月11日,國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門起草公布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》,該條例將對監(jiān)管部門和運(yùn)營方提供工作指引。
標(biāo)準(zhǔn)規(guī)范制定則是加強(qiáng)關(guān)鍵基礎(chǔ)信息設(shè)施保護(hù)的主要手段,世界各國也多采用標(biāo)準(zhǔn)計量、檢驗檢測認(rèn)證認(rèn)可等手段,構(gòu)建網(wǎng)絡(luò)及信息安全保障體系。
“認(rèn)證檢測的基礎(chǔ)設(shè)施能夠有效保障安全體系,從源頭上保護(hù)大數(shù)據(jù)安全,推進(jìn)制度規(guī)則,提升大數(shù)據(jù)產(chǎn)品系統(tǒng)及應(yīng)用的供給質(zhì)量,建立和傳遞信任,促進(jìn)大數(shù)據(jù)的開放共享。”國家認(rèn)證認(rèn)可監(jiān)督管理委員會總工程師薄昱民表示。
我國在2016年也由國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布了信息安全產(chǎn)品認(rèn)證的標(biāo)準(zhǔn)體系。
除了標(biāo)準(zhǔn)規(guī)范制定以外,中國工程院院士沈昌祥表示,“我們計算科學(xué)還少了攻防理念,體系結(jié)構(gòu)缺防護(hù)部件,工程應(yīng)用無安全服務(wù);也就是說,我們在設(shè)計和制造的時候已經(jīng)存在缺陷,這些缺陷能被利用進(jìn)行攻擊,因此我們難以形成應(yīng)對人為利用缺陷進(jìn)行攻擊網(wǎng)絡(luò)的安全命題。”
對此,沈昌祥提出建立主動免疫的計算架構(gòu),即采用一種安全可信策略管控下的運(yùn)算和防護(hù)并存的主動免疫,改變傳統(tǒng)的只講求計算效率,而不講安全防護(hù)的片面計算模式。
此外,同樣的技術(shù)創(chuàng)新還體現(xiàn)在數(shù)據(jù)加密方面。中國科學(xué)院院士潘建偉表示,目前存在的信息安全瓶頸,依賴于計算復(fù)雜度的經(jīng)典加密算法,原則上都能被破解,量子通信是原則上無條件安全的通訊方式。
個人大數(shù)據(jù)安全同等重要
今年5月25日,號稱最嚴(yán)數(shù)據(jù)保護(hù)條例的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效。
“在大數(shù)據(jù)時代,個人隱私和國家安全同樣重要。”魏昊表示。
我國對個人數(shù)據(jù)隱私保護(hù)的法規(guī)主要體現(xiàn)在《網(wǎng)絡(luò)安全法》,第四十五條規(guī)定:依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對在履行職責(zé)中知悉的個人信息、隱私和商業(yè)秘密嚴(yán)格保密,不得泄露、出售或者非法向他人提供。
但事實(shí)上,我國個人數(shù)據(jù)泄露的事件時有發(fā)生,甚至存在數(shù)據(jù)交易黑色產(chǎn)業(yè)鏈。
“擁有控制掌握大量數(shù)據(jù)的企業(yè)在個人數(shù)據(jù)隱私保護(hù)的意識、意愿、能力方面都沒有跟上。”魏昊表示,“前一段時間做了一個很好的工作,就是網(wǎng)絡(luò)服務(wù)企業(yè)的隱私條款要進(jìn)行規(guī)范,這很好,但是從規(guī)范的情況來看,規(guī)范本身就需要規(guī)范,就是說同樣的事情,隱私條款規(guī)定得都不一樣。”
值得一提的是,不少企業(yè)在此次“數(shù)博會”上也表達(dá)了對個人數(shù)據(jù)隱私的尊重和重視。
“歐盟的GDPR條例生效了,其中還專門強(qiáng)調(diào)了基因數(shù)據(jù)是高度敏感的數(shù)據(jù),你要重新審視你的隱私規(guī)則。”華大基因科技有限公司區(qū)塊鏈負(fù)責(zé)人楊夢表示,“我們希望給所有的個人數(shù)據(jù)給做很好的隱私保護(hù),全程可以追溯和監(jiān)管。”