今年4月,全國網(wǎng)絡安全和信息化工作會議在北京召開,影響深遠。在5月25日至29日于貴陽舉辦的“數(shù)博會”上,大數(shù)據(jù)安全問題仍然是討論的熱點之一,多位專家表達了數(shù)據(jù)安全是實現(xiàn)數(shù)據(jù)價值前提的觀點。
而隨著對大數(shù)據(jù)安全問題認識的逐漸加深,與會專家認為,關鍵基礎信息設施是網(wǎng)絡安全的重中之重,認證檢測的標準體系則是解決基礎信息設施保護的重要手段;除了標準化外,大數(shù)據(jù)安全還得強調可控性。此外,隨著歐盟的GDPR生效,個人大數(shù)據(jù)安全被認為應擺在與國家安全同等重要的位置。
大數(shù)據(jù)安全要強調可控性
Facebook用戶信息泄露是大數(shù)據(jù)安全議題下的一個重要事件節(jié)點,其影響至今仍未了結。
數(shù)據(jù)安全問題逐漸凸顯的另一面是數(shù)據(jù)的激增。工信部副部長陳肇雄在此次“數(shù)博會”上表示,預計到2020年,我國數(shù)據(jù)總量全球占比將達20%,我國將成為數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的國家之一。
為應對大數(shù)據(jù)時代下的安全問題,早在2016年底,我國就出臺了《網(wǎng)絡安全法》,并于2017年6月1日起正式實施。與此同時,全國信息安全標準化技術委員會還連續(xù)兩年制定了2017年版和2018年版的《大數(shù)據(jù)安全標準化白皮書》。
“但是,我們的標準和法律法規(guī)被執(zhí)行的程度不高,企業(yè)的自我防范能力和對安全的控制能力也都不夠。”中國網(wǎng)絡安全審查技術與認證中心主任魏昊表示,“數(shù)據(jù)所有權必須可控”。
同樣強調可控性的還有中國工程院院士倪光南,其表示,實際上核心技術受制于人不僅會帶來供應鏈風險,同樣會帶來安全風險,后者與前者同樣嚴重;我國在網(wǎng)信領域需打破國外壟斷,減少對外技術依存度。
基礎信息設施保護是重點
關鍵基礎信息設施被認為是網(wǎng)絡安全的重中之重,當前的關鍵信息基礎設施也易成為攻擊目標。例如2015年烏克蘭電力系統(tǒng)遭到惡意代碼入侵,2016年10月美國斷網(wǎng)事件。
2017年7月11日,國家互聯(lián)網(wǎng)信息辦公室會同相關部門起草公布了《關鍵信息基礎設施安全保護條例(征求意見稿)》,該條例將對監(jiān)管部門和運營方提供工作指引。
標準規(guī)范制定則是加強關鍵基礎信息設施保護的主要手段,世界各國也多采用標準計量、檢驗檢測認證認可等手段,構建網(wǎng)絡及信息安全保障體系。
“認證檢測的基礎設施能夠有效保障安全體系,從源頭上保護大數(shù)據(jù)安全,推進制度規(guī)則,提升大數(shù)據(jù)產品系統(tǒng)及應用的供給質量,建立和傳遞信任,促進大數(shù)據(jù)的開放共享。”國家認證認可監(jiān)督管理委員會總工程師薄昱民表示。
我國在2016年也由國家認證認可監(jiān)督管理委員會發(fā)布了信息安全產品認證的標準體系。
除了標準規(guī)范制定以外,中國工程院院士沈昌祥表示,“我們計算科學還少了攻防理念,體系結構缺防護部件,工程應用無安全服務;也就是說,我們在設計和制造的時候已經存在缺陷,這些缺陷能被利用進行攻擊,因此我們難以形成應對人為利用缺陷進行攻擊網(wǎng)絡的安全命題。”
對此,沈昌祥提出建立主動免疫的計算架構,即采用一種安全可信策略管控下的運算和防護并存的主動免疫,改變傳統(tǒng)的只講求計算效率,而不講安全防護的片面計算模式。
此外,同樣的技術創(chuàng)新還體現(xiàn)在數(shù)據(jù)加密方面。中國科學院院士潘建偉表示,目前存在的信息安全瓶頸,依賴于計算復雜度的經典加密算法,原則上都能被破解,量子通信是原則上無條件安全的通訊方式。
個人大數(shù)據(jù)安全同等重要
今年5月25日,號稱最嚴數(shù)據(jù)保護條例的歐盟《通用數(shù)據(jù)保護條例》(GDPR)正式生效。
“在大數(shù)據(jù)時代,個人隱私和國家安全同樣重要。”魏昊表示。
我國對個人數(shù)據(jù)隱私保護的法規(guī)主要體現(xiàn)在《網(wǎng)絡安全法》,第四十五條規(guī)定:依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業(yè)秘密嚴格保密,不得泄露、出售或者非法向他人提供。
但事實上,我國個人數(shù)據(jù)泄露的事件時有發(fā)生,甚至存在數(shù)據(jù)交易黑色產業(yè)鏈。
“擁有控制掌握大量數(shù)據(jù)的企業(yè)在個人數(shù)據(jù)隱私保護的意識、意愿、能力方面都沒有跟上。”魏昊表示,“前一段時間做了一個很好的工作,就是網(wǎng)絡服務企業(yè)的隱私條款要進行規(guī)范,這很好,但是從規(guī)范的情況來看,規(guī)范本身就需要規(guī)范,就是說同樣的事情,隱私條款規(guī)定得都不一樣。”
值得一提的是,不少企業(yè)在此次“數(shù)博會”上也表達了對個人數(shù)據(jù)隱私的尊重和重視。
“歐盟的GDPR條例生效了,其中還專門強調了基因數(shù)據(jù)是高度敏感的數(shù)據(jù),你要重新審視你的隱私規(guī)則。”華大基因科技有限公司區(qū)塊鏈負責人楊夢表示,“我們希望給所有的個人數(shù)據(jù)給做很好的隱私保護,全程可以追溯和監(jiān)管。”