4月13日下午,網民反映中國電信湖南區域“網路崩了”,網頁無法開啟,有爆料稱網路遭到駭客攻擊。據瞭解,4月13日16時02分至16時13分,因湖南長沙傳輸光纜故障,163網湖南網際網路出口出現擁塞,不是網路攻擊。16時14分網路完全恢復。有關部門正在督促電信溯源並組織事故調查。
雖然此次湖南電信網路問題已排除網路攻擊這一原因,但網路安全、資料安全再一次受到了大眾的廣泛關注。通訊世界全媒體特邀中國資訊通訊研究院姜宇澤、陳詩洋兩位專家,為大家剖析資料安全技術能力發展現狀及面臨的挑戰。
時值
“4·15”全民國家安全教育日
,讓我們以安全築基,護航資訊化發展。
近期資料洩露等安全事件頻發,嚴重侵害個人資訊主體權益,影響國家安全、經濟發展和社會穩定。以歐盟、美國為代表的地區和國家紛紛出臺個人資訊保護、資料安全的法律法規和管理規範,進一步明確企業資料安全保障的責任和義務。我國也積極加強資料安全管理佈局,出臺《中華人民共和國網路安全法》,提高資料安全管理要求。
在此背景下,透過資料加密、資料脫敏、資料防洩露、資料追蹤溯源以及資料庫安全防範等技術手段保護個人隱私,保障資料完整性、保密性和可用性的需求凸顯。同時,世界主要國家也在積極研究突破核心技術,探索構建資料安全技術解決方案。基於此,本文將透過研究梳理國內外資料安全技術手段發展現狀,分析總結存在的問題,並提出對策建議,以期提升我國資料安全技術保障能力,降低資料安全風險。
我國資料安全技術發展現狀
●第一,敏感資料識別技術向智慧化發展,企業探索部署資料安全防洩露工具。
敏感資料識別技術作為資料防洩露、資料分級分類管控和敏感資料加密等資料安全防護技術的基礎受到國內外高度重視。一是在傳統的關鍵字識別基礎上,相關企業透過引入規則匹配、自然語言處理等技術擴大識別範圍,提高識別精度。二是結合聚類分析等機器學習技術,透過大資料的累積訓練提升敏感資料識別的智慧化程度。在此基礎上,國內外各企業積極探索實踐,針對資料的使用、儲存、傳輸等資料洩露高風險階段,以敏感資料識別技術為核心研發資料安全防洩露產品,透過部署在企業資料流動的關鍵節點,實現對資料洩露行為的洩露預警發現和攔截處置。例如Forcepoint等外國企業已經將資料安全防洩露產品商業化,形成了一套覆蓋網路和終端的企業資料防洩露元件;我國各大安全廠商積極研究資料防洩露技術手段,佈局資料防洩露市場,2017年我國資料洩露防護市場規模達到7。8億元,同比增長25。3%,2020年將超過14。7億元。
●第二,結構化資料庫事前、事中、事後全流程安全保障技術體系成熟,非結構化資料庫安全防護手段單一。
資料庫根據儲存架構、儲存資料型別不同,主要分為結構化資料庫和非結構化資料庫兩種。在結構化資料庫安全方面,構建以事前評估加固、事中安全管控和事後分析追責3種方式為主的安全防護體系。其中,事前評估加固主要採用資料庫漏洞掃描技術,事中安全管控主要採用資料庫防火牆及資料加密、脫敏技術,事後分析追責主要採用資料庫審計技術。例如華為雲資料庫安全服務建立了以資料庫防火牆、資料庫安全審計等技術為核心的商用資料庫安全體系,截至目前,華為已經為100餘家企業提供該安全服務,保障資料庫安全。
在非機構化資料庫安全防護方面,由於其資料型別的多樣性,目前各企業尚無典型有效的安全防護技術,主要從網路、儲存、終端3方面部署資料防洩露、防病毒等相關產品,保障非結構化資料安全。
●第三,資料追蹤溯源技術處於研究發展階段,大規模應用實踐尚未開展。
國內外企業聚焦資料水印和資料血緣追蹤技術進行探索研究,提升資料安全事件溯源處置的能力,降低安全風險。一是數字水印技術,其技術實現原理是在不影響資料讀取和應用的前提下,將資料水印透過資訊處理嵌入到資料內容中,實現對資料的標記與追蹤。目前數字水印技術因其對處理資源和儲存資源的高佔用、高依賴,多適用於相對穩定的小型資料集,無法大規模應用於雲計算、大資料等大量資料匯聚的場景。二是資料血緣追蹤技術,主要技術原理是透過建立資料血緣圖譜,對資料流轉過程進行實時記錄,追蹤分析資料安全事件的原因,降低安全風險。目前該技術正處在研究驗證階段,僅阿里、順豐等部分企業探索應用,產業化應用尚不成熟。
●第四,資料加密技術分場景細化發展,新型加密手段逐漸湧現。
資料加密技術作為最基本、有效的資料安全防護技術,得到廣泛應用,根據應用場景和加密方式的不同,分為可逆加密和不可逆加密兩種。一是可逆加密,對資料透過特定演算法加密後變成密文,只有透過相應金鑰才能將密文解密成明文。在網路支付中的數字證書、日常檔案加密等均採用可逆加密技術。二是不可逆加密,經過不可逆加密演算法處理的資料無法恢復出明文,只能利用同一演算法對相同資料再次加密,比對密文進行驗證。例如防止資料惡意篡改的數字指紋、Unix系統的登入認證等均採用不可逆加密技術。與此同時,隨著雲計算、量子計算等新興技術的發展以及計算機處理速度的提升,傳統加密演算法的效率與強度逐漸難以滿足業務需求,被破解失效的風險日益升高。
在此背景下,各國積極開展資料加密技術的研究工作,量子加密、後量子加密等新型加密演算法被不斷提出,以適應未來資料安全發展需要。例如美國Quantum Xchange公司正嘗試運用量子加密技術在美國東北部建設量子加密網路,以期為華爾街銀行和其他企業提供服務;德國infineon公司已經將後量子密碼技術應用到非接觸式安全晶片上,以應對未來量子計算對傳統加密演算法的威脅。此外,各國高度重視新興密碼技術專利的申請,截至2017年,美國、歐盟和日本分別獲得220件、127件以及265件量子密碼相關專利。
●第五,資料脫敏成為個人資訊保護重點技術手段,國內外企業加強資料匿名化技術研究應用。
為平衡個人隱私保護和業務發展,各企業大力發展資料脫敏技術和匿名化技術。一是根據業務場景及需求,差異化應用資料脫敏技術方案。在保密場景下,使用加密技術對資料進行脫敏,有效保護個人資料。在群體資訊統計場景下,使用資料失真技術,實現個人資訊去標識化,同時輸出統計結果資料。在資料可逆需求場景下,採用位置變換、表對映等方式實現資料脫敏,最大限度保障資料的可用性。二是利用資料匿名化技術實現有條件地釋出資料,防止使用者敏感資料的洩露。匿名化技術是指根據特定演算法對資料進行變換,在保證資料可用性的同時確保資料無法定位到個人且無法還原,從而達到保護個體隱私資訊的目的。目前匿名化技術主要包括差分隱私、K匿名等。近年來,資料匿名化技術得到業界廣泛關注並在資料交換、資料分析等環節初步開展應用。例如在國際方面,蘋果公司已經在搜尋預測等方面應用差分隱私技術;在國內方面,阿里巴巴的資料匿名化技術也已獲得較大進展。
我國資料安全技術面臨四大難題
●第一,法律法規要求不明確,技術手段研發推動力不足。
當前,我國資料安全管理體系初步建立,《中華人民共和國網路安全法》和《電信和網際網路使用者個人資訊保護規定》(工業和資訊化部令第24號)等法律法規提出資料安全和個人資訊保護原則性要求,但尚未明確技術手段建設的具體要求與處罰規則,無法有效推動企業開展資料安全技術手段的研發與應用。部分企業礙於運營成本和系統性能等因素,資料安全技術手段投入較少,資料安全技術研發與應用相對滯後,分級分類、許可權管理等部分管理要求難以真正落地實施,繼而影響企業整體資料安全保障能力。
●第二,國家標準規範尚未制定出臺,企業缺乏實施指引。
目前,我國資料安全技術相關國家標準和行業標準出臺較少,無法對企業形成有效指引。在資料加密、資料脫敏方面,對於資料脫敏的方法、流程以及效果等均尚未形成統一標準,各企業理解存在較大偏差,資料安全技術手段應用落地效果無法保障。在資料分級分類方面,國家和行業均未形成分級分類目錄指引,企業自行制定分級分類規則,科學性、合理性無法保障。
●第三,資料安全技術起步研發較晚,部分技術尚不具備落地應用條件。
隨著數字經濟的發展,資料處理場景顯著增多,資料處理量級明顯提高,傳統的網路安全技術已無法滿足當前資料量巨大、資料更新速度極快的場景。資料安全技術作為新興技術領域,發展時間尚短,部分技術手段與解決方案正處在研究發展階段,缺乏應用實踐,無法有效保障資料安全。例如數字血緣追蹤技術、資料欄位打標籤技術等目前尚不成熟,對業務運營的影響有待進一步研究,大規模落地應用尚需時日。
●第四,現有系統龐雜,資料安全技術改造落地難度較大。
我國資料安全管理起步較晚,目前大部分企業面臨存量業務系統資料安全改造的難題。一是資料資產梳理難度較大。前期企業內部各業務系統資料欄位名稱不統一,資料型別繁雜、數量龐大,資料資產梳理作為資料安全技術手段建設的基礎工作難以有效開展。二是影響業務現有系統效能,加大企業投入。資料加解密、脫敏等技術,一定程度佔用系統資源,影響系統性能和使用者體驗,進行資料安全技術改造需要升級硬體裝置,增加企業成本投入。三是影響業務系統執行風險較高。資料安全防護技術的改造往往伴隨著核心系統的改造,難度較高,風險較大。同時,資料安全技術改造屬於新興技術領域,目前企業可參考的成熟技術方案及實踐案例較少,企業顧慮較大。
對策建議
●第一,加快出臺數據安全法律法規,明確提出資料安全技術手段應用要求。
一方面,建議加快推動《資料安全法》《個人資訊保護法》《資料安全管理辦法》和《資料出境安全評估辦法》等相關法律法規的制定出臺,構建我國資料安全管理體系,明確企業資料安全技術手段建設的責任和義務。另一方面,在資料分級分類、資料加密、個人資訊去標識化等重點領域加快起草制定相關標準規範,細化明確分級分類規則、加密演算法強度、去標識化演算法及應用場景等,為技術產品研發提供支撐。
●第二,研究提出資料安全技術手段總體檢視與市場報告,促進資料安全技術產業健康發展。
建議開展資料安全技術體系研究,形成具有共識性的資料安全技術產品體系總體檢視,明確資料安全技術防護手段的方式、型別、效能以及應用場景、適用範圍等,指引需求側企業開展資料安全技術能力建設,增強資料安全綜合保障能力。同時,釋出資料安全技術產品市場報告,涵蓋我國資料安全技術產品供需關係情況、成熟度情況、技術薄弱環節等,支撐供給側企業開展資料安全技術手段研發投入,促進市場良性發展。
●第三,倡導資料安全“產學研”相結合,鼓勵資料安全新技術的研發應用。
鼓勵高校、科研院所和企業聯合開展資料安全技術研發深度交流合作,透過組建技術發展聯盟、成立聯合實驗室等方式,合力推進資料資產盤查、資料特徵值提取、資料加密、資料匿名化、資料血緣追蹤以及資料防洩露等資料安全技術的研究。同時,對於新型資料安全技術研發成果,積極開展試點應用工作。在完善產品效能的同時,加速成果轉化與落地應用,切實提高我國企業資料安全防護能力。
作者:中國資訊通訊研究院
姜宇澤 陳詩洋
責編/版式:範範
稽核:申晴
監製:劉啟誠
今年517即將有“大事”發生
敬請關注
我就知道你“在看”
