今年4月,全国网络安全和信息化工作会议在北京召开,影响深远。在5月25日至29日于贵阳举办的“数博会”上,大数据安全问题仍然是讨论的热点之一,多位专家表达了数据安全是实现数据价值前提的观点。
而随着对大数据安全问题认识的逐渐加深,与会专家认为,关键基础信息设施是网络安全的重中之重,认证检测的标准体系则是解决基础信息设施保护的重要手段;除了标准化外,大数据安全还得强调可控性。此外,随着欧盟的GDPR生效,个人大数据安全被认为应摆在与国家安全同等重要的位置。
大数据安全要强调可控性
Facebook用户信息泄露是大数据安全议题下的一个重要事件节点,其影响至今仍未了结。
数据安全问题逐渐凸显的另一面是数据的激增。工信部副部长陈肇雄在此次“数博会”上表示,预计到2020年,我国数据总量全球占比将达20%,我国将成为数据量,、数据类型最丰富的国家之一。
为应对大数据时代下的安全问题,早在2016年底,我国就出台了《网络安全法》,并于2017年6月1日起正式实施。与此同时,全国信息安全标准化技术委员会还连续两年制定了2017年版和2018年版的《大数据安全标准化白皮书》。
“但是,我们的标准和法律法规被执行的程度不高,企业的自我防范能力和对安全的控制能力也都不够。”中国网络安全审查技术与认证,主任魏昊表示,“数据所有权必须可控”。
同样强调可控性的还有中国工程院院士倪光南,其表示,实际上核心技术受制于人不仅会带来供应链风险,同样会带来安全风险,后者与前者同样严重;我国在网信领域需打破国外垄断,减少对外技术依存度。
基础信息设施保护是,
关键基础信息设施被认为是网络安全的重中之重,当前的关键信息基础设施也易成为攻击目标。例如2015年乌克兰电力系统遭到恶意代码入侵,2016年10月美国断网事件。
2017年7月11日,国家互联网信息办公室会同相关部门起草公布了《关键信息基础设施安全保护条例(征求意见稿)》,该条例将对监管部门和运营方提供工作指引。
标准规范制定则是加强关键基础信息设施保护的主要手段,世界各国也多采用标准计量、检验检测认证认可等手段,构建网络及信息安全保障体系。
“认证检测的基础设施能够有效保障安全体系,从源头上保护大数据安全,推进制度规则,提升大数据产品系统及应用的供给质量,建立和传递信任,促进大数据的开放共享。”国家认证认可监督管理委员会总工程师薄昱民表示。
我国在2016年也由国家认证认可监督管理委员会发布了信息安全产品认证的标准体系。
除了标准规范制定以外,中国工程院院士沈昌祥表示,“我们计算科学还少了攻防理念,体系结构缺防护部件,工程应用无安全服务;也就是说,我们在设计和制造的时候已经存在缺陷,这些缺陷能被利用进行攻击,因此我们难以形成应对人为利用缺陷进行攻击网络的安全命题。”
对此,沈昌祥提出建立主动免疫的计算架构,即采用一种安全可信策略管控下的运算和防护并存的主动免疫,改变传统的只讲求计算效率,而不讲安全防护的片面计算模式。
此外,同样的技术创新还体现在数据加密方面。中国科学院院士潘建伟表示,目前存在的信息安全瓶颈,依赖于计算复杂度的经典加密算法,原则上都能被破解,量子通信是原则上无条件安全的通讯方式。
个人大数据安全同等重要
今年5月25日,号称最严数据保护条例的欧盟《通用数据保护条例》(GDPR)正式生效。
“在大数据时代,个人隐私和国家安全同样重要。”魏昊表示。
我国对个人数据隐私保护的法规主要体现在《网络安全法》,第四十五条规定:依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
但事实上,我国个人数据泄露的事件时有发生,甚至存在数据交易黑色产业链。
“拥有控制掌握大量数据的企业在个人数据隐私保护的意识、意愿、能力方面都没有跟上。”魏昊表示,“前一段时间做了一个很好的工作,就是网络服务企业的隐私条款要进行规范,这很好,但是从规范的情况来看,规范本身就需要规范,就是说同样的事情,隐私条款规定得都不一样。”
值得一提的是,不少企业在此次“数博会”上也表达了对个人数据隐私的尊重和重视。
“欧盟的GDPR条例生效了,其中还专门强调了基因数据是高度敏感的数据,你要重新审视你的隐私规则。”华大基因科技有限公司区块链负责人杨梦表示,“我们希望给所有的个人数据给做很好的隐私保护,全程可以追溯和监管。”