暂无
近年来,数据作为新型生产要素,成为贯穿数字经济发展的核心,已快速融入生产,分配、流通、消费和社会服务、管理等各环节的数字化、网络化、智能化升级过程中。数据安全治理面临哪些新挑战?如何推动数据安全产业高质量发展?
4月20日,2023IT市场年会分论坛“网络与数据安全高峰论坛”在北京举行。该论坛由中国计算机学会计算机安全专业委员会和赛迪顾问有限公司共同主办,以“构建数据安全产业生态,夯实数字经济发展的底座”为主题,旨在研讨如何提升自主研发的实力,加强数据安全创新,构建核心技术生态圈,更有力地保障国家数字经济安全发展。
数据安全治理需“技术+管理”的结合
中国电子信息产业发展研究院总工程师秦海林在致辞中表示,从安全发展的角度来看,数据安全是数字经济建设中的底座,是护航数字经济稳定发展,数据要素价值释放的基础保障。随着数字经济发展的不断推进,数据安全已经成为国家、社会、企业甚至个人各方面关注的重要问题。
在秦海林看来,未来推动数据安全产业的高质量发展需要关注三个方面。一是提高自主技术实力,从底层保证根本安全。二是加强安全生态的建设,多方位完善产业体系,推进数据安全行业标准的制定,持续推进数据安全技术、产品、应用和领域服务的标准化与协同发展。三是持续完善监管体系,从源头降低数据风险。“数据作为新型生产要素,在生产经营活动中的安全合规性将是未来一段时期需要重点探讨和交流的。”
公安部第一研究所副所长、中国计算机学会计算机安全专业委员会主任于锐谈到,数据安全事件与风险带来的危害性已经外溢到了政治、科技、经济和社会的各个领域,数据安全作为数字经济发展的基石,直接关系国家的安全,已经成为世界各国的共同认识。
于锐表示,随着我国数据基础制度的逐步建立,应该清醒地认识到数据安全还会不断发现新的问题,产生新的形态、新的安全问题模式。应着手构建新形式下数据安全治理体系,充分考虑数据要素流通中数据交换、数据集成、数据存储、数据资产管理等方面的安全风险,加强数据安全合规治理、数据供应链安全、新技术应用、攻防演练、人才培养等多方面的建设。
数据要素流通成为驱动产业发展的重要因素,同时也带来有关个人隐私保护、数据安全甚至是国家安全等风险,因此数据合规成为必须重视的问题。中国科学院计算机网络信息中心首席科学家、研究员廖方宇指出,资产可识别、全程可监管、事后可审计是数据合规的目标。敏感数据处理、数据分类分级、安全评估成为支撑数据合规合法利用的基础。
廖方宇认为,数据安全治理需要靠“技术+管理”的结合,纯技术或纯管理都很难解决问题。通过多元主体之间的协同共治,能够实现数据资产开发利用、价值实现和安全保护、履行合规义务之间恰当平衡,促进安全和发展并重。区块链、隐私计算、零信任等技术的融合是打造可信、可靠、可控数据流通环境的核心技术保障,获得了强制度支撑。
ChatGPT火爆出圈,随之而来的安全风险也引发社会关注。中国科学院信息工程研究所研究员陈恺分析了模型推理、训练过程中的数据安全问题。在数据隐私泄露方面,主要的手段有成员推理、模型逆向、模型窃取等,防御方法包括添加噪声、窃取防御和模型水印。此外,面对数据投毒、模型修改,防御手段有神经网络手术刀等。
会上,赛迪顾问股份有限公司软件与信息服务业研究中心副总经理刘娟发布了《中国数据安全防护与治理市场研究报告(2023)》。报告的重点内容包括数据安全的背景、数据安全防护与治理体系,数据安全防护与治理的产品、市场研究以及未来展望等。
平衡发展与安全的关系
在数字化转型浪潮下,如何看待发展与安全之间的关系?奇安信集团副总裁陈华平以“护航数字化发展,构建数据安全体系”为题,分享了奇安信的思考和实践。他指出,数据安全体系化设计应覆盖数据安全治理、风险监测、分级防护、精准管控、闭环运营等等。
陈华平介绍了数据安全防护体系建设的三个阶段。第一阶段是“先理后治,补短固底”,“盘家底”,梳理业务,识别重要数据资产,做基础安全防护。第二阶段是“系统治理,体系规划”,分类分级,针对不同级别的数据制定不同的安全措施。第三阶段是“有序建设,持续运营”,做分级安全保护,持续运营,保障数据持续安全状态。
“安全和发展两手都要抓,两手都要硬。”启明星辰集团副总裁、妙德智库主理人毕亲波从政策、技术和市场等多视角进行了数据安全产业格局分析。他表示,数据安全产业作为相对独立的产业,和数据产业之间是密不可分的,是一体两面的。“单纯地谈安全是没有意义的,单纯地谈数据安全也是没有意义的。必须要和数据以及以数据为关键要素的产业相结合一起来看,真正做到统筹发展和安全。”
毕亲波还介绍了数据安全产业1.0-3.0的迭代。“在1.0阶段,更多地关注数据对象安全,数据安全和网络安全高度重叠。2.0阶段则侧重数据汇聚安全,比如数据在危及和惠及场景中面临的安全问题。3.0阶段侧重的是数据流通安全,多方利益、多方权属关系交织在一起,在不同的场景下要运用差异化的手段。”
“在未来,一切皆可编程,万物均要互联。数据驱动业务,AI提高生产力。回到安全的本身来看,一切皆可编程带来的一个问题就是漏洞会变得无处不在。”360数字安全集团战略创新研究院院长董云鹏在主题演讲中如是说。
他从四个层面解释数据安全问题,分别是数据环境的安全、数据自身的安全、数据应用的安全和数据交互的安全。他认为,算力、样本和算法是决定数字安全能力的技术瓶颈,并分享了安全能力的“公式”,即“安全能力=(资源+技术+管理)×执行”。
杭州安恒信息技术股份有限公司副总裁林明峰围绕“筑牢可信可控的全链路数据安全屏障”主题作发言。“数据安全涉及应用和业务整个发展的链路,不能从某个单独的层面考虑我们所面临的数据安全风险新挑战。”
林明峰谈到了“五步走”的数据安全建设思路,即咨询规划、风险评估、内生安全、监测预警和审计溯源、安全运营。“数据安全能力覆盖了从开发、测试、生产到数据共享和应用、运营的数据全生命周期,从数据的生产地图到感知和建设,所有的能力组件都把它整合在了整个数据安全体系里。”
北京明朝万达科技股份有限公司助理总裁安鹏表示,以数据为中心的安全防护建设,主要是以数据内容感知为前提,围绕着数据整个的流转路径由内而外逐级展开。首先要全面梳理敏感数据资产,获得敏感数据的位置和活动链路,针对这些数据可以实施一些加密和管控的手段,实现最核心层的数据保护。针对数据访问,可以采用动态代理的机制,通过对数据的访问进行认证,包括数据的授权或者是数据的多态展示来实现第二层的数据防护。通过数据防泄露技术,可以覆盖业务环境,保证敏感数据不外泄,保证整个数据使用环境的安全。
“数据本身到应用,再从应用到终端,从终端到用户,逐级开展的数据安全防护相关的能力建设和措施,可以通过数据内容的感知识别,动态的访问设置,敏感数据流转的监测以及数据外发溯源分析技术手段,构建面向数据全生命周期的数据安全防护体系。”安鹏说。