数据安全为何重要?应如何保障?
习总高度重视网络安全,指出“没有网络安全就没有”。网络空间的安全不仅包括网络本身的安全,而且包括数据、信息系统、智能系统、信息物理融合系统等多个方面的广义安全。数据安全是网络空间安全的基础,是的重要组成部分,其重要性已经引起部门和企事业单位的重视,也是科研工作者更加需要关注的研究领域。管晓宏
2021年9月1日,《中华人民国数据安全法》(以下简称《数据安全法》)正式施行,此项立法进一步确保了数据处于有效和利用的状态,以更好个人和组织的权益,国家主权、安全贵妇也疯狂和发展利益。基于此,需要采取技术与管理双管齐下的方法,提出系统化的应对措施和解决方案,并制定相关标准和实施办法。
数据安全,是指通过采取必要措施确保数据处于有效和利用的状态,以及具备保障持续安全状态的能力。数据安全应数据生产、存储、传输、访问、使用、、公开等全过程的安全,并数据处理过程的保密性、完整性、可用性。此外,还应当异构处理公开数据的关联关系,例如个人姓名、联系方式、车辆登记、社交等。这些虽然都实体隐含数据,但往往涉及个人隐私,甚至可能造成实时定位等公共安全问题。
数据安全与网络安全、信息安全、系统安全、内容安全和信息物理融合系统安全有着密不可分的关系。为了更好地理解数据安全的内涵,需对其主要相关内容进行概括。
网络安全主要指互联网及其他信息网络、计算机网络的安全运行,和防止针对网络和来自网络的,确保网络基础设施的安全运行和使用。数据安全涉及网络数据的生产、传输和使用过程中的安全,网络数据的保密性、完整性、可用性、真实性和可控性是网络安全的主要任务。
信息安全主要指信息在系统和网络传输、处理、储存过程中不被泄露或,确保信息的可用性、保密性、完整性和不可否认性,包括密码系统的安全等。其中,信息安全涉及的数据安全主要包括两方面:一是指数据本身的安全,一般采用现代密码算法等技术对数据进行主动;二是指数据防护的安全,通常采用现代信息存储等手段对数据进行主动防护。
系统安全主要指软硬件信息系统如操作系统、云系统、终端系统、应用软件系统的安全运行,系统不受恶意代码和其他恶意,确保系统正常运行和使用。数据安全是系统运行安全的要素。
内容安全主要指信息内容在网络等过程中的真实性、可靠性、性。内容安全涉及用户多源数据的关联、隐私数据的窃取、社交网络对抗等安全问题。
信息物理融合系统安全主要指能源、交通等关键基础设施的综合安全,涉及物理系统的工程安全与信息系统的网络信息安全及相互影响下的安全。信息物理融合系统具有在数据流、能量流、物质流之间进行流动的特点,数据安全与基础设施的工程安全相互影响,产生新的综合安全风险。2021年5月27日,2021中国国际大数据产业博览会在贵州省贵阳市召开。图为参会者步入“数博会”现场。
数据安全与网络安全密切相关,是国家主权、的重要组成部分。习总指出,数据作为新型生产要素,对传统生产方式变革具有重大影响。习总强调:“要切实保障国家数据安全。要加强关键信息基础设施安全,强化国家关键数据资源能力,增强数据安全预警和溯源能力。”
网络数据是网络的主要目标之一,例如中间人可能传输数据的完整性、真实性等。目前,一些网络平台在提供服务的同时,通过强制访问各种用户信息,存在过度索权、超范围收集、存储、共享网络数据等问题,甚至将数据主体的权益“让渡”给非授权机构,从而网络数据处理的安全性,导致严重的网络安全隐患。保障网络数据安全是网络安全的重要基础。
数据安全也是信息安全的核心。在智能化趋势下,基于智能技术的数据伪造给信息安全带来新的挑战。以人脸信息伪造为例,通过智能技术可对人脸数据进行虚假生成,造类和机器系统判断出错,引发个人隐私受到以及商业诈骗等问题,甚至引发社会危机。
近年来,智能系统面临对抗性样本、数据污染等数据安全。者可通过添加细微干扰形成的恶意输入样本导致智能系统预测结果出错,造成严重智能系统安全隐患;甚至还可以通过数据污染在正常样本数据集中加入一定比例的恶意样本进行训练,导致触发多种智能系统出错,造成安全危害。因此,保障数据安全是系统安全的重要手段。
在个人使用方面,用户的数据安全可能会引发内容安全问题。基于海量多源异构的用户数据,包括好友关系等用户间交互,可实现跨网络间的关联分析,以较低门槛产生以假乱真的文本内容,通过特定主题内容生成引导信息并向目标群体投送,以达到制造社会矛盾等非法目的。
此外,涉及能源、交通等关键基础设施的测量或控制数据错误可能引发连锁故障,造成严重信息物理融合系统安全。例如,2010年国际上发生的针对核电站的“震网”,通过劫持和伪造恶意控制指令,离心机的正常运行,同时窃取和重置离心机正常运行时的系统数据,系统的运行,最终造成大量离心机损毁的严重后果。
综上所述,保障数据安全和促进数据开发利用,可有效网络安全、信息安全、系统安全、内容安全和信息物理融合系统安全,从而国家主权、安全和发展利益。
保障数据安全是一项复杂的系统工程。《数据安全法》总则中:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。机关、机关等依照本法和有关法律、行规的,在各自职责范围内承担数据安全监管职责。此外,在第二章第十六条中:国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。因此,应对数据安全面临的挑战,不仅需要从科学技术角度出发,结合多学科的方法,保障数据全生命周期的安全,并且需要从治理角度着手,协同多个部门,通过完善法律法规和建立监管体系,为数据安全提供法律依据和政策保障。
面向数据生产、存储、传输、访问、使用、的全生命周期的数据安全,针对数据生产与采集环节存在数据体量大、种类多、来源杂等问题,其准确性、真实性、公平性、安全性难以得到保障,可采用数据分级手段,建立数据分级分类管理制度。同时,可采用基于区块链、数字水印等技术对数据源进行身份鉴别和记录,防止恶意。此外,通过恶意数据过滤技术,对数据中可能存在的含偏样本、伪造样本、对抗样本实现过滤,从而保障数据生产安全。
首先,针对数据存储过程中面临的未经授权访问数据、修改或数据等安全问题,可通过高效的加密算法对数据进行加密,以保障数据的安全性;通过密钥管理服务,实现密匙全生命周期安全管理;通过存储复制、数据冗余和硬盘等多种策略保障数据安全。
其次,针对数据传输过程中的安全问题,可采用数据基因技术构建完整的数据基因体系,确保数据传输过程中可溯源、可追踪、可关联,以保障传输数据的正确性;可利用加密传输,对数据进行加密传输并通过安全传输协议,保障数据传输安全。
再次,针对数据访问环节中出现的恶意与解密算法多样等情况,有可能造成数据的恶意非法访问,引发数据泄露、窃取、等严重后果,可采用基于区块链等的新型访问控制及多因子认证机制对用户身份进行验证和授权。
最后,针对数据使用的安全问题,可采用数据匿名化、数据脱敏等技术,保障数据在授权范围内被访问、处理,防止数据窃取、隐私泄露、损毁等安全问题发生。在数据环节,常用的方法易造成数据不彻底、数据内容被恶意恢复等情况,导致数据泄露等严重安全风险,因此,可采用数据关联、软与硬结合的方式,彻底或删除数据。
当前,为了解决数据安全问题,迫切需要创建受隐私与安全约束的新型计算范式,结合边缘数据存储、去中心化分布式数据存储、信息匿名化等技术,构建分布式数据安全管理方案,实现数据安全及隐私服务。例如,企业或个人可将文件通过数据加密等近端服务实现边缘设备存储,并结合加密传输将数据存储至去中心化的分布式存储系统,同时通过区块链等技术对信息匿名化的个人文件进行管理与授权访问,实现受安全及隐私约束的数据安全与隐私计算。
与此同时,应加强数据安全相关法规政策的制定与执行,使其成为社会治理体系的重要组成部分,同时强化数据安全监管,构建数据安全管理体系。通过顶层设计,制定实施细则,划分数据所有权、使用权以及明确责任归属,实施分级管理和等级等管理办法,并结合技术手段,实现基于数据托管与国家监管有机结合的数据安全计算范式。
总体而言,数据安全不仅是保障的重要方面,也与个益息息相关,因此需要采用管理与技术相结合的新范式,建立全生命周期数据安全技术体系,实现数据安全的全面、有效防护。点击二维码
作者:管晓宏系中国科学院院士、西安交通大学电子与信息学部主任、智能网络与网络安全教育部重点实验室首席科学家;沈超、刘烃系西安交通大学网络空间安全学院副院长