• 中國臺灣網(wǎng)移動版

    中國臺灣網(wǎng)移動版

數(shù)據(jù)安全為何重要?應(yīng)如何保障?

2022-06-21 13:23:00
來源:中國網(wǎng)信雜志
字號

  習(xí)近平總書記高度重視網(wǎng)絡(luò)安全,指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。網(wǎng)絡(luò)空間的安全不僅包括網(wǎng)絡(luò)本身的安全,而且包括數(shù)據(jù)、信息系統(tǒng)、智能系統(tǒng)、信息物理融合系統(tǒng)等多個方面的廣義安全。數(shù)據(jù)安全是網(wǎng)絡(luò)空間安全的基礎(chǔ),是國家安全的重要組成部分,其重要性已經(jīng)引起政府部門和企事業(yè)單位的重視,也是科研工作者更加需要關(guān)注的研究領(lǐng)域。

  管曉宏

  中國科學(xué)院院士、

  西安交通大學(xué)電子與信息學(xué)部主任、

  智能網(wǎng)絡(luò)與網(wǎng)絡(luò)安全教育部重點實驗室首席科學(xué)家

  2021年9月1日,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)正式施行,此項立法進一步確保了數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以更好保護個人和組織的合法權(quán)益,維護國家主權(quán)、安全和發(fā)展利益。基于此,需要采取技術(shù)與管理雙管齊下的方法,提出系統(tǒng)化的應(yīng)對措施和解決方案,并制定相關(guān)標準和實施辦法。

  數(shù)據(jù)安全的內(nèi)涵

  數(shù)據(jù)安全,是指通過采取必要措施確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)安全應(yīng)保證數(shù)據(jù)生產(chǎn)、存儲、傳輸、訪問、使用、銷毀、公開等全過程的安全,并保證數(shù)據(jù)處理過程的保密性、完整性、可用性。此外,還應(yīng)當(dāng)異構(gòu)處理公開數(shù)據(jù)的關(guān)聯(lián)關(guān)系,例如個人姓名、聯(lián)系方式、車輛登記、社交媒體等。這些雖然都是非實體隱含數(shù)據(jù),但往往涉及個人隱私,甚至可能造成實時定位等公共安全問題。

  數(shù)據(jù)安全與網(wǎng)絡(luò)安全、信息安全、系統(tǒng)安全、內(nèi)容安全和信息物理融合系統(tǒng)安全有著密不可分的關(guān)系。為了更好地理解數(shù)據(jù)安全的內(nèi)涵,需對其主要相關(guān)內(nèi)容進行概括。

  網(wǎng)絡(luò)安全主要指互聯(lián)網(wǎng)及其他信息網(wǎng)絡(luò)、計算機網(wǎng)絡(luò)的安全運行,監(jiān)控和防止針對網(wǎng)絡(luò)攻擊和來自網(wǎng)絡(luò)的攻擊,確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全運行和合法使用。數(shù)據(jù)安全涉及網(wǎng)絡(luò)數(shù)據(jù)的生產(chǎn)、傳輸和使用過程中的安全,保證網(wǎng)絡(luò)數(shù)據(jù)的保密性、完整性、可用性、真實性和可控性是網(wǎng)絡(luò)安全的主要任務(wù)。

  信息安全主要指信息在系統(tǒng)和網(wǎng)絡(luò)傳輸、處理、儲存過程中不被泄露或破壞,確保信息的可用性、保密性、完整性和不可否認性,包括密碼系統(tǒng)的安全等。其中,信息安全涉及的數(shù)據(jù)安全主要包括兩方面:一是指數(shù)據(jù)本身的安全,一般采用現(xiàn)代密碼算法等技術(shù)對數(shù)據(jù)進行主動保護;二是指數(shù)據(jù)防護的安全,通常采用現(xiàn)代信息存儲等手段對數(shù)據(jù)進行主動防護。

  系統(tǒng)安全主要指軟硬件信息系統(tǒng)如操作系統(tǒng)、云系統(tǒng)、終端系統(tǒng)、應(yīng)用軟件系統(tǒng)的安全運行,保證系統(tǒng)不受惡意代碼和其他惡意攻擊,確保系統(tǒng)正常運行和合法使用。數(shù)據(jù)安全是系統(tǒng)運行安全的要素。

  內(nèi)容安全主要指信息內(nèi)容在網(wǎng)絡(luò)傳播等過程中的真實性、可靠性、合法性。內(nèi)容安全涉及用戶多源數(shù)據(jù)的關(guān)聯(lián)、隱私數(shù)據(jù)的竊取、社交網(wǎng)絡(luò)對抗等安全問題。

  信息物理融合系統(tǒng)安全主要指能源、交通等關(guān)鍵基礎(chǔ)設(shè)施的綜合安全,涉及物理系統(tǒng)的工程安全與信息系統(tǒng)的網(wǎng)絡(luò)信息安全及相互影響下的安全。信息物理融合系統(tǒng)具有在數(shù)據(jù)流、能量流、物質(zhì)流之間進行流動的特點,數(shù)據(jù)安全與基礎(chǔ)設(shè)施的工程安全相互影響,產(chǎn)生新的綜合安全風(fēng)險。

  數(shù)據(jù)安全的重要性

  數(shù)據(jù)安全與網(wǎng)絡(luò)安全密切相關(guān),是國家主權(quán)、國家安全的重要組成部分。習(xí)近平總書記指出,數(shù)據(jù)作為新型生產(chǎn)要素,對傳統(tǒng)生產(chǎn)方式變革具有重大影響。習(xí)近平總書記強調(diào):“要切實保障國家數(shù)據(jù)安全。要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,強化國家關(guān)鍵數(shù)據(jù)資源保護能力,增強數(shù)據(jù)安全預(yù)警和溯源能力!

  網(wǎng)絡(luò)數(shù)據(jù)是網(wǎng)絡(luò)攻擊的主要目標之一,例如中間人攻擊可能破壞傳輸數(shù)據(jù)的完整性、真實性等。目前,一些網(wǎng)絡(luò)平臺在提供服務(wù)的同時,通過強制訪問各種用戶信息,存在過度索權(quán)、超范圍收集、存儲、共享網(wǎng)絡(luò)數(shù)據(jù)等問題,甚至將數(shù)據(jù)主體的權(quán)益“讓渡”給非授權(quán)機構(gòu),從而威脅網(wǎng)絡(luò)數(shù)據(jù)處理的安全性,導(dǎo)致嚴重的網(wǎng)絡(luò)安全隱患。保障網(wǎng)絡(luò)數(shù)據(jù)安全是維護網(wǎng)絡(luò)安全的重要基礎(chǔ)。

  數(shù)據(jù)安全也是信息安全的核心。在智能化趨勢下,基于智能技術(shù)的數(shù)據(jù)偽造給信息安全帶來新的挑戰(zhàn)。以人臉信息偽造為例,通過智能技術(shù)可對人臉數(shù)據(jù)進行虛假生成,造成人類和機器感知系統(tǒng)判斷出錯,引發(fā)個人隱私受到侵犯以及商業(yè)詐騙等問題,甚至引發(fā)社會危機。

  近年來,智能系統(tǒng)面臨對抗性樣本、數(shù)據(jù)污染等數(shù)據(jù)安全威脅。攻擊者可通過添加細微干擾形成的惡意輸入樣本導(dǎo)致智能系統(tǒng)預(yù)測結(jié)果出錯,造成嚴重智能系統(tǒng)安全隱患;甚至還可以通過數(shù)據(jù)污染在正常樣本數(shù)據(jù)集中加入一定比例的惡意樣本進行訓(xùn)練,導(dǎo)致觸發(fā)多種智能系統(tǒng)出錯,造成安全危害。因此,保障數(shù)據(jù)安全是維護系統(tǒng)安全的重要手段。

  在個人使用方面,用戶的數(shù)據(jù)安全可能會引發(fā)內(nèi)容安全問題。基于海量多源異構(gòu)的用戶數(shù)據(jù),包括好友關(guān)系等用戶間交互,不法分子可實現(xiàn)跨網(wǎng)絡(luò)間的關(guān)聯(lián)分析,以較低門檻產(chǎn)生以假亂真的文本內(nèi)容,通過特定主題內(nèi)容生成引導(dǎo)信息并向目標群體投送,以達到制造社會矛盾等非法目的。

  此外,涉及能源、交通等關(guān)鍵基礎(chǔ)設(shè)施的測量或控制數(shù)據(jù)錯誤可能引發(fā)連鎖故障,造成嚴重信息物理融合系統(tǒng)安全威脅。例如,2010年國際上發(fā)生的針對核電站的“震網(wǎng)”攻擊,通過劫持和偽造惡意控制指令,破壞離心機的正常運行,同時竊取和重置離心機正常運行時的系統(tǒng)數(shù)據(jù),躲避系統(tǒng)的運行監(jiān)控,最終造成大量離心機損毀的嚴重后果。

  綜上所述,保障數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用,可有效維護網(wǎng)絡(luò)安全、信息安全、系統(tǒng)安全、內(nèi)容安全和信息物理融合系統(tǒng)安全,從而維護國家主權(quán)、安全和發(fā)展利益。

  數(shù)據(jù)安全的保障措施和創(chuàng)新范式

  保障數(shù)據(jù)安全是一項復(fù)雜的系統(tǒng)工程。《數(shù)據(jù)安全法》總則中規(guī)定:工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。此外,在第二章第十六條中規(guī)定:國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究,鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新,培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。因此,應(yīng)對數(shù)據(jù)安全面臨的威脅挑戰(zhàn),不僅需要從科學(xué)技術(shù)角度出發(fā),結(jié)合多學(xué)科的方法,保障數(shù)據(jù)全生命周期的安全,并且需要從政府治理角度著手,協(xié)同多個部門,通過完善法律法規(guī)和建立監(jiān)管體系,為數(shù)據(jù)安全保護提供法律依據(jù)和政策保障。

  面向數(shù)據(jù)生產(chǎn)、存儲、傳輸、訪問、使用、銷毀的全生命周期的數(shù)據(jù)安全,針對數(shù)據(jù)生產(chǎn)與采集環(huán)節(jié)存在數(shù)據(jù)體量大、種類多、來源雜等問題,其準確性、真實性、公平性、安全性難以得到保障,可采用數(shù)據(jù)分級手段,建立數(shù)據(jù)分級分類管理制度。同時,可采用基于區(qū)塊鏈、數(shù)字水印等技術(shù)對數(shù)據(jù)源進行身份鑒別和記錄,防止惡意篡改。此外,通過惡意數(shù)據(jù)過濾技術(shù),對數(shù)據(jù)中可能存在的含偏樣本、偽造樣本、對抗樣本實現(xiàn)過濾,從而保障數(shù)據(jù)生產(chǎn)安全。

  首先,針對數(shù)據(jù)存儲過程中面臨的未經(jīng)授權(quán)訪問數(shù)據(jù)、修改或破壞數(shù)據(jù)等安全問題,可通過高效的加密算法對數(shù)據(jù)進行加密,以保障數(shù)據(jù)的安全性;通過密鑰管理服務(wù),實現(xiàn)密匙全生命周期安全管理;通過存儲復(fù)制、數(shù)據(jù)冗余和硬盤保護等多種策略保障數(shù)據(jù)安全。

  其次,針對數(shù)據(jù)傳輸過程中的安全問題,可采用數(shù)據(jù)基因技術(shù)構(gòu)建完整的數(shù)據(jù)基因體系,確保數(shù)據(jù)傳輸過程中可溯源、可追蹤、可關(guān)聯(lián),以保障傳輸數(shù)據(jù)的正確性;可利用加密傳輸,對數(shù)據(jù)進行加密傳輸并通過安全傳輸協(xié)議,保障數(shù)據(jù)傳輸安全。

  再次,針對數(shù)據(jù)訪問環(huán)節(jié)中出現(xiàn)的惡意攻擊與解密算法多樣等情況,有可能造成數(shù)據(jù)的惡意非法訪問,引發(fā)數(shù)據(jù)泄露、竊取、濫用等嚴重后果,可采用基于區(qū)塊鏈等的新型訪問控制及多因子認證機制對用戶身份進行驗證和授權(quán)。

  最后,針對數(shù)據(jù)使用的安全問題,可采用數(shù)據(jù)匿名化、數(shù)據(jù)脫敏等技術(shù),保障數(shù)據(jù)在授權(quán)范圍內(nèi)被訪問、處理,防止數(shù)據(jù)竊取、隱私泄露、損毀等安全問題發(fā)生。在數(shù)據(jù)銷毀環(huán)節(jié),常用的方法易造成數(shù)據(jù)銷毀不徹底、數(shù)據(jù)內(nèi)容被惡意恢復(fù)等情況,導(dǎo)致數(shù)據(jù)泄露等嚴重安全風(fēng)險,因此,可采用數(shù)據(jù)關(guān)聯(lián)銷毀、軟銷毀與硬銷毀結(jié)合的方式,徹底銷毀或刪除數(shù)據(jù)。

  當(dāng)前,為了解決數(shù)據(jù)安全保護問題,迫切需要創(chuàng)建受隱私保護與安全約束的新型計算范式,結(jié)合邊緣數(shù)據(jù)存儲、去中心化分布式數(shù)據(jù)存儲、敏感信息匿名化等技術(shù),構(gòu)建分布式數(shù)據(jù)安全管理方案,實現(xiàn)數(shù)據(jù)安全及隱私保護服務(wù)。例如,企業(yè)或個人可將文件通過數(shù)據(jù)加密等近端服務(wù)實現(xiàn)邊緣設(shè)備存儲,并結(jié)合加密傳輸將數(shù)據(jù)存儲至去中心化的分布式存儲系統(tǒng),同時通過區(qū)塊鏈等技術(shù)對敏感信息匿名化的個人文件進行管理與授權(quán)訪問,實現(xiàn)受安全及隱私約束的數(shù)據(jù)安全與隱私計算。

  與此同時,應(yīng)加強數(shù)據(jù)安全相關(guān)法規(guī)政策的制定與執(zhí)行,使其成為社會治理體系的重要組成部分,同時強化數(shù)據(jù)安全監(jiān)管,構(gòu)建數(shù)據(jù)安全管理體系。通過頂層設(shè)計,制定實施細則,劃分數(shù)據(jù)所有權(quán)、使用權(quán)以及明確責(zé)任歸屬,實施分級管理和等級保護等管理辦法,并結(jié)合技術(shù)手段,實現(xiàn)基于數(shù)據(jù)托管與國家監(jiān)管有機結(jié)合的數(shù)據(jù)安全計算范式。

  總體而言,數(shù)據(jù)安全不僅是保障國家安全的重要方面,也與個人權(quán)益息息相關(guān),因此需要采用管理與技術(shù)相結(jié)合的新范式,建立全生命周期數(shù)據(jù)安全技術(shù)體系,實現(xiàn)數(shù)據(jù)安全的全面、有效防護。

[責(zé)任編輯:黃曉迪]
龙岩市| 利辛县| 平远县| 滁州市| 阳泉市| 德庆县| 沿河| 婺源县| 扎鲁特旗| 钟山县| 呼图壁县| 浮山县| 兴和县| 闽侯县| 泾阳县| 广东省| 湖州市| 垦利县| 三台县| 合作市| 嘉义市| 安福县| 信宜市| 老河口市| 兴义市| 博乐市| 九龙坡区| 崇义县| 筠连县| 南京市| 安阳市| 麟游县| 泾源县| 唐山市| 苏尼特右旗| 长岭县| 白银市| 霍林郭勒市| 平利县| 英超|