數據安全為何重要��?應如何保障�����?
發(fā)布時(shí)間:2022-06-23
來(lái)源:中國網(wǎng)信雜志
網(wǎng)絡(luò )空間的安全不僅包括網(wǎng)絡(luò )本身的安全�����,而且包括數據���、信息系統����、智能系統�����、信息物理融合系統等多個(gè)方面的廣義安全��。數據安全是網(wǎng)絡(luò )空間安全的基礎����,是國家安全的重要組成部分�,其重要性已經(jīng)引起政府部門(mén)和企事業(yè)單位的重視��,也是科研工作者更加需要關(guān)注的研究領(lǐng)域����。
2021年9月1日���,《中華人民共和國數據安全法》(以下簡(jiǎn)稱(chēng)《數據安全法》)正式施行�����,此項立法進(jìn)一步確保了數據處于有效保護和合法利用的狀態(tài)�,以更好保護個(gè)人和組織的合法權益���,維護國家主權�����、安全和發(fā)展利益��?�;诖?�,需要采取技術(shù)與管理雙管齊下的方法���,提出系統化的應對措施和解決方案����,并制定相關(guān)標準和實(shí)施辦法���。
數據安全����,是指通過(guò)采取必要措施確保數據處于有效保護和合法利用的狀態(tài)����,以及具備保障持續安全狀態(tài)的能力����。數據安全應保證數據生產(chǎn)����、存儲�����、傳輸�����、訪(fǎng)問(wèn)����、使用�����、銷(xiāo)毀�����、公開(kāi)等全過(guò)程的安全���,并保證數據處理過(guò)程的保密性���、完整性��、可用性�����。此外����,還應當異構處理公開(kāi)數據的關(guān)聯(lián)關(guān)系�����,例如個(gè)人姓名����、聯(lián)系方式�����、車(chē)輛登記�����、社交媒體等�����。這些雖然都是非實(shí)體隱含數據�����,但往往涉及個(gè)人隱私���,甚至可能造成實(shí)時(shí)定位等公共安全問(wèn)題�����。
數據安全與網(wǎng)絡(luò )安全���、信息安全���、系統安全����、內容安全和信息物理融合系統安全有著(zhù)密不可分的關(guān)系�。為了更好地理解數據安全的內涵����,需對其主要相關(guān)內容進(jìn)行概括��。
網(wǎng)絡(luò )安全主要指互聯(lián)網(wǎng)及其他信息網(wǎng)絡(luò )��、計算機網(wǎng)絡(luò )的安全運行�,監控和防止針對網(wǎng)絡(luò )攻擊和來(lái)自網(wǎng)絡(luò )的攻擊�����,確保網(wǎng)絡(luò )基礎設施的安全運行和合法使用�����。數據安全涉及網(wǎng)絡(luò )數據的生產(chǎn)����、傳輸和使用過(guò)程中的安全����,保證網(wǎng)絡(luò )數據的保密性���、完整性��、可用性��、真實(shí)性和可控性是網(wǎng)絡(luò )安全的主要任務(wù)�。
信息安全主要指信息在系統和網(wǎng)絡(luò )傳輸�、處理���、儲存過(guò)程中不被泄露或破壞�����,確保信息的可用性����、保密性���、完整性和不可否認性����,包括密碼系統的安全等�。其中��,信息安全涉及的數據安全主要包括兩方面:一是指數據本身的安全�,一般采用現代密碼算法等技術(shù)對數據進(jìn)行主動(dòng)保護�����;二是指數據防護的安全�����,通常采用現代信息存儲等手段對數據進(jìn)行主動(dòng)防護���。
系統安全主要指軟硬件信息系統如操作系統�����、云系統����、終端系統���、應用軟件系統的安全運行�,保證系統不受惡意代碼和其他惡意攻擊�,確保系統正常運行和合法使用�。數據安全是系統運行安全的要素����。
內容安全主要指信息內容在網(wǎng)絡(luò )傳播等過(guò)程中的真實(shí)性���、可靠性���、合法性�����。內容安全涉及用戶(hù)多源數據的關(guān)聯(lián)�����、隱私數據的竊取�����、社交網(wǎng)絡(luò )對抗等安全問(wèn)題����。
信息物理融合系統安全主要指能源����、交通等關(guān)鍵基礎設施的綜合安全�,涉及物理系統的工程安全與信息系統的網(wǎng)絡(luò )信息安全及相互影響下的安全�。信息物理融合系統具有在數據流�����、能量流���、物質(zhì)流之間進(jìn)行流動(dòng)的特點(diǎn)�����,數據安全與基礎設施的工程安全相互影響���,產(chǎn)生新的綜合安全風(fēng)險���。
數據安全與網(wǎng)絡(luò )安全密切相關(guān)��,是國家主權�、國家安全的重要組成部分���。
網(wǎng)絡(luò )數據是網(wǎng)絡(luò )攻擊的主要目標之一�,例如中間人攻擊可能破壞傳輸數據的完整性���、真實(shí)性等���。目前��,一些網(wǎng)絡(luò )平臺在提供服務(wù)的同時(shí)����,通過(guò)強制訪(fǎng)問(wèn)各種用戶(hù)信息���,存在過(guò)度索權�����、超范圍收集����、存儲�����、共享網(wǎng)絡(luò )數據等問(wèn)題��,甚至將數據主體的權益“讓渡”給非授權機構�����,從而威脅網(wǎng)絡(luò )數據處理的安全性�,導致嚴重的網(wǎng)絡(luò )安全隱患����。保障網(wǎng)絡(luò )數據安全是維護網(wǎng)絡(luò )安全的重要基礎�。
數據安全也是信息安全的核心����。在智能化趨勢下����,基于智能技術(shù)的數據偽造給信息安全帶來(lái)新的挑戰�����。以人臉信息偽造為例����,通過(guò)智能技術(shù)可對人臉數據進(jìn)行虛假生成�,造成人類(lèi)和機器感知系統判斷出錯���,引發(fā)個(gè)人隱私受到侵犯以及商業(yè)詐騙等問(wèn)題�����,甚至引發(fā)社會(huì )危機�����。
近年來(lái)��,智能系統面臨對抗性樣本����、數據污染等數據安全威脅���。攻擊者可通過(guò)添加細微干擾形成的惡意輸入樣本導致智能系統預測結果出錯�����,造成嚴重智能系統安全隱患����;甚至還可以通過(guò)數據污染在正常樣本數據集中加入一定比例的惡意樣本進(jìn)行訓練�����,導致觸發(fā)多種智能系統出錯���,造成安全危害���。因此�,保障數據安全是維護系統安全的重要手段��。
在個(gè)人使用方面��,用戶(hù)的數據安全可能會(huì )引發(fā)內容安全問(wèn)題����?;诤A慷嘣串悩嫷挠脩?hù)數據��,包括好友關(guān)系等用戶(hù)間交互���,不法分子可實(shí)現跨網(wǎng)絡(luò )間的關(guān)聯(lián)分析���,以較低門(mén)檻產(chǎn)生以假亂真的文本內容�����,通過(guò)特定主題內容生成引導信息并向目標群體投送��,以達到制造社會(huì )矛盾等非法目的�����。
此外��,涉及能源����、交通等關(guān)鍵基礎設施的測量或控制數據錯誤可能引發(fā)連鎖故障�����,造成嚴重信息物理融合系統安全威脅�。例如���,2010年國際上發(fā)生的針對核電站的“震網(wǎng)”攻擊�����,通過(guò)劫持和偽造惡意控制指令���,破壞離心機的正常運行��,同時(shí)竊取和重置離心機正常運行時(shí)的系統數據���,躲避系統的運行監控�,最終造成大量離心機損毀的嚴重后果�����。
綜上所述�����,保障數據安全和促進(jìn)數據開(kāi)發(fā)利用�,可有效維護網(wǎng)絡(luò )安全�、信息安全���、系統安全�、內容安全和信息物理融合系統安全���,從而維護國家主權����、安全和發(fā)展利益�����。
保障數據安全是一項復雜的系統工程���?��!稊祿踩ā房倓t中規定:工業(yè)���、電信�、交通��、金融����、自然資源�����、衛生健康�、教育�����、科技等主管部門(mén)承擔本行業(yè)�、本領(lǐng)域數據安全監管職責���。公安機關(guān)��、國家安全機關(guān)等依照本法和有關(guān)法律����、行政法規的規定����,在各自職責范圍內承擔數據安全監管職責����。此外����,在第二章第十六條中規定:國家支持數據開(kāi)發(fā)利用和數據安全技術(shù)研究���,鼓勵數據開(kāi)發(fā)利用和數據安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng )新�,培育�����、發(fā)展數據開(kāi)發(fā)利用和數據安全產(chǎn)品���、產(chǎn)業(yè)體系�。因此�����,應對數據安全面臨的威脅挑戰��,不僅需要從科學(xué)技術(shù)角度出發(fā)��,結合多學(xué)科的方法�,保障數據全生命周期的安全����,并且需要從政府治理角度著(zhù)手���,協(xié)同多個(gè)部門(mén)�,通過(guò)完善法律法規和建立監管體系�����,為數據安全保護提供法律依據和政策保障��。
面向數據生產(chǎn)��、存儲�����、傳輸�����、訪(fǎng)問(wèn)���、使用�、銷(xiāo)毀的全生命周期的數據安全���,針對數據生產(chǎn)與采集環(huán)節存在數據體量大�����、種類(lèi)多����、來(lái)源雜等問(wèn)題�,其準確性����、真實(shí)性�����、公平性�、安全性難以得到保障����,可采用數據分級手段���,建立數據分級分類(lèi)管理制度��。同時(shí)�,可采用基于區塊鏈���、數字水印等技術(shù)對數據源進(jìn)行身份鑒別和記錄�,防止惡意篡改��。此外��,通過(guò)惡意數據過(guò)濾技術(shù)�,對數據中可能存在的含偏樣本�、偽造樣本��、對抗樣本實(shí)現過(guò)濾��,從而保障數據生產(chǎn)安全��。
首先����,針對數據存儲過(guò)程中面臨的未經(jīng)授權訪(fǎng)問(wèn)數據����、修改或破壞數據等安全問(wèn)題��,可通過(guò)高效的加密算法對數據進(jìn)行加密���,以保障數據的安全性��;通過(guò)密鑰管理服務(wù)��,實(shí)現密匙全生命周期安全管理��;通過(guò)存儲復制����、數據冗余和硬盤(pán)保護等多種策略保障數據安全���。
其次���,針對數據傳輸過(guò)程中的安全問(wèn)題���,可采用數據基因技術(shù)構建完整的數據基因體系�����,確保數據傳輸過(guò)程中可溯源��、可追蹤���、可關(guān)聯(lián)��,以保障傳輸數據的正確性�;可利用加密傳輸����,對數據進(jìn)行加密傳輸并通過(guò)安全傳輸協(xié)議����,保障數據傳輸安全���。
再次�,針對數據訪(fǎng)問(wèn)環(huán)節中出現的惡意攻擊與解密算法多樣等情況���,有可能造成數據的惡意非法訪(fǎng)問(wèn)�����,引發(fā)數據泄露���、竊取��、濫用等嚴重后果����,可采用基于區塊鏈等的新型訪(fǎng)問(wèn)控制及多因子認證機制對用戶(hù)身份進(jìn)行驗證和授權�。
最后���,針對數據使用的安全問(wèn)題�,可采用數據匿名化����、數據脫敏等技術(shù)�����,保障數據在授權范圍內被訪(fǎng)問(wèn)��、處理�,防止數據竊取����、隱私泄露����、損毀等安全問(wèn)題發(fā)生��。在數據銷(xiāo)毀環(huán)節�,常用的方法易造成數據銷(xiāo)毀不徹底�、數據內容被惡意恢復等情況����,導致數據泄露等嚴重安全風(fēng)險��,因此�,可采用數據關(guān)聯(lián)銷(xiāo)毀�����、軟銷(xiāo)毀與硬銷(xiāo)毀結合的方式�����,徹底銷(xiāo)毀或刪除數據�����。
當前�,為了解決數據安全保護問(wèn)題����,迫切需要創(chuàng )建受隱私保護與安全約束的新型計算范式����,結合邊緣數據存儲�、去中心化分布式數據存儲���、敏感信息匿名化等技術(shù)��,構建分布式數據安全管理方案�,實(shí)現數據安全及隱私保護服務(wù)��。例如�����,企業(yè)或個(gè)人可將文件通過(guò)數據加密等近端服務(wù)實(shí)現邊緣設備存儲���,并結合加密傳輸將數據存儲至去中心化的分布式存儲系統��,同時(shí)通過(guò)區塊鏈等技術(shù)對敏感信息匿名化的個(gè)人文件進(jìn)行管理與授權訪(fǎng)問(wèn)��,實(shí)現受安全及隱私約束的數據安全與隱私計算�����。
與此同時(shí)�����,應加強數據安全相關(guān)法規政策的制定與執行����,使其成為社會(huì )治理體系的重要組成部分�����,同時(shí)強化數據安全監管���,構建數據安全管理體系����。通過(guò)頂層設計�,制定實(shí)施細則��,劃分數據所有權�����、使用權以及明確責任歸屬���,實(shí)施分級管理和等級保護等管理辦法���,并結合技術(shù)手段����,實(shí)現基于數據托管與國家監管有機結合的數據安全計算范式�。
總體而言����,數據安全不僅是保障國家安全的重要方面�����,也與個(gè)人權益息息相關(guān)�,因此需要采用管理與技術(shù)相結合的新范式����,建立全生命周期數據安全技術(shù)體系���,實(shí)現數據安全的全面��、有效防護�����。
編輯:鐘旭惠
