admin 管理员组

文章数量: 1086019


2024年3月14日发(作者:完整的三角函数值表正切值)

网络空间战略论坛

Cyberspace Strategy Forum

从《全球数据安全倡议》看数据安全

文│360集团大数据协同安全技术国家工程实验室

钟力 张旅菡 唐会芳 王雨薇

钟力

针对全球数据安全领域复杂的国际形势,中方

还有待解决。目前,离这些技术的大范围普及和落

于2020年9月8日提出《全球数据安全倡议》(以

地使用,仍然还有相当的距离。

下简称《倡议》),为数据安全治理提供蓝图。《倡

数据蕴含的价值越高就越易遭受到黑客攻击,

议》期望通过一系列务实举措与各方一起共同加强

攻击方式也更加复杂多样。过去几年,各种数据安

数据安全、个人隐私和国家安全的协调发展,促使

全事件频发,例如某酒店上亿客人隐私数据被泄露

各国更加重视网络安全和数据安全建设,推动全球

等,勒索软件攻击事件不断,造成的危害愈发严重。

数字经济产业的发展与合作。在经济全球化的背景

这些逐利的不断变化的数据安全威胁对数字经济秩

下,数据共享、流通和交易乃大势所趋,如何保障

序造成了极大的危害,需要强有力的安全防护手段

数据安全,并以数据安全促进全球数字经济健康持

和持续的安全运营,才能有效抵御。

续发展,值得思考。

二、数据安全已成为数字经济时代最紧

一、数据和数据安全的内涵与外延正在

迫和最基础的安全问题

发生变化

在数字经济时代,大数据、云计算、人工智能、

在数字经济时代,数据作为新的生产资料被认

物联网等技术广泛应用所产生的全球数据量呈指数

为是生产要素和新黄金,其重要性不言而喻。而且,

级增长。数据已变成重要的生产要素和基础的战略

流动和共享成为数据的新特征。数据安全工作从以

资源,其价值日益凸显。同时,全球数据安全风险

“系统”为中心的思路逐渐转变为以“数据”为中

与日俱增,数据安全与隐私保护,数据存储、使用

心的方法,全球的法律政策也转变为以个人信息及

与跨境流动的风险等问题,对各国数据安全治理能

隐私保护为重点,向全面数据安全治理扩张。

力提出了新的挑战。

应用场景的变化催生了新的数据安全技术。传

(一)大数据技术给数据安全防护带来改变

统的技术,例如加密、访问控制、数据库安全审计、

大数据的“4V特性”,即数据量大(volume)、

数据库防火墙和数据防泄露等,只能发挥局部的安

数据类型多(variety)、处理速度快(velocity)

全防护作用,无法满足数据流通、共享、交易等新

和价值密度低(value),颠覆了传统的数据管理方

应用场景的安全需求。为此,安全多方计算(Secure

式,使传统的数据安全技术无法有效应对大数据应

Multi-Party Computation)、数据脱敏(Data

用场景下新出现的安全问题。从技术维度看,网络

Masking)、差分隐私(Differential Privacy)、

爬虫、机器学习和人工智能等技术的发展使个人隐

同态加密(Homomorphic Encryption)、联邦学

私数据的采集与分析变得越来越方便,个人隐私以

习(Federated Learning)、零知识证明(Zero-

及国家重要信息泄露,也逐渐成为非常严峻的全球

Knowledge Proof)等新技术,被提出并得到广泛

问题。从意识维度看,无论是各类企事业单位等组

研究。虽然学术领域对这些技术的研究已有了大量

织,还是公民个人,对数据资产的重视程度远小于

积累,但是,其在现实场景中的实用性和效率问题

对实体资产的重视。可以说,数据安全意识的严重

2020.11

/

83

C

N

I

T

S

E

C

网络空间战略论坛

yberspace Strategy Forum

缺失,导致对数据资产的保护意识不强,对各类风

对安全技术发展和管理体系升级的重视程度不够,

这些都使数据安全治理能力存在严重不足。

(二)数据资产问题影响各类安全主体

数据作为一种重要资产,给国家安全、国防安

全、社会安全和人身安全等,带来重要影响。针对

大数据进行的网络攻击,不仅仅停留在商业窃密,

而是以企业重要资产、国家重要机密、重要基础设

的风险。因为安全恐慌而不敢流通和使用数据的情

定和公共利益的数据,能不共享就尽量不共享,能

不公开就尽量不公开,甚至搞“一刀切”,影响了

数据效用的发挥。此外,国际数据跨境流动可能引

发用户数据被泄露、滥用和误用等问题,也可能会

给企业和国家带来技术管理、资产管理和组织管理

方面的挑战。而且,跨境数据的承载介质多样、呈

现形态各异、应用较为广泛,数据所在国的政策和

险隐患的警惕性较低,对安全技术的运用不够充分,

况,将使许多部门对可能关系到公共安全、社会稳

施为首要目标,以期干预政治、操控舆论、颠覆政权,

法律又存在差异,这导致数据所有者和使用者的权

甚至破坏或瘫痪电力、交通、能源等关键基础设施,

限模糊,数据的应用开发存在数据被滥用等风险。

中断工业生产,影响军事战局。

此外,针对开放的海量数据的关联分析,也可

能引发商业机密甚至国家战略性重要数据资源的泄

露。数据的开放流通可用增加数据资源的商业价值

和社会价值,但是,大数据融合开放也使数据权属

C

N

I

T

S

E

C

(五)数据安全成为国际性、整体性问题

一些国家以地缘政治和意识形态先行,用数字

安全的名义发展自身数字攻防能力,扰乱全球数字

经济规则,同时,以各种理由阻碍联合国制定网络

空间规则,又利用自身在网络空间的优势地位,以

单边主义的方法,对非本国数字经济企业积极实施

打压,破坏全球供应链安全。而且,这些国家通过“长

臂管辖”制度,违规获取他国用户数据。

此外,针对有关数据安全的全球性法律可能会

冲击各国执法机构的执法效力。例如,由于GDPR

的长臂管辖原则,使很多企业被纳入其管辖范围之

内,且该条例实质上扩大了欧盟监管机构对中国企

业的影响。

关系将变得更为复杂,在开放流通的各个环节都可

能产生用户数据滥用等法律风险。

(三)有组织的网络攻击背景强大、难以发现

有组织有背景的恶意网络攻击是数据泄露的主

要原因之一,也成为全球数据安全的主要风险。由

于新冠肺炎疫情的影响,远程办公模式增加了数据

被恶意攻击的可能性。这类攻击者大都是有组织、

集团化的犯罪团伙,甚至是具有国家背景的黑客团

队和网络战部队。大量APT攻击、勒索软件攻击等,

都是由以国家为背景的力量发起的。这些国家级网

络攻击者利用大数据技术扩大攻击效果,发起大规

模数量级的僵尸网络攻击,通过控制关键节点放大

攻击效果。大数据的价值密度低,使黑客可将攻击

隐藏在大数据中,使安全分析工具难以实现挖掘和

分析的效力。

(四)数据共享与流通带来的安全挑战

在数字经济时代的应用场景下,数据将会频繁

地跨系统、跨组织甚至跨境流动,特别是在数据共

享环节,传统的数据访问控制技术无法解决跨组织

的数据授权管理和数据流向追踪问题,仅靠书面合

同或协议难以实现对数据接收方的数据处理活动进

行实时监控和审计,极易造成数据泄露和数据滥用

三、加强数据安全治理的对策建议

鉴于上述数据安全现状、存在问题和面临的挑

战,应该从法规标准、技术平台、产业发展、能力

建设、解决方案和国际合作等方面综合应对。

(一)亟待完善数据安全标准规范和实施细则

我国高度重视数据安全,诸多法律、政策和标

准先后发布或立项。2020年7月3日,《数据安

全法(草案)》公开征求意见,明确了应采用数据

安全治理的方法,为数据安全治理实践提供法律支

撑。《网络安全法》《数据安全法(草案)》和《个

人信息保护法(草案)》等上位法,给出了通用的

数据安全原则和基本方法。接下来,各行业各领域

84

/

2020.11

网络空间战略论坛

Cyberspace Strategy Forum

和企业组织需要根据自己的实际情况和安全需求,

让一个组织能处理的数据类型和规模,与其数据安

制定包括个人信息、重要数据、数据跨境等方面的

全能力水平挂钩。例如,健康医疗行业迫切需要利

管理、技术标准与实施细则,内容覆盖数据全生命

用大数据技术大幅提升技术和业务水平,而这类数

周期的数据安全要求,包括分类分级、去标识化、

据敏感程度高,因而,行业主管部门可以规定,哪

风险评估等内容,指导数据安全治理的具体实践,

些组织可以处理哪些类型的数据,或能够处理何种

使数据安全治理措施落实到位,有法可依,有规可

规模数据的组织必须证明其达到了相应的数据安全

循。这方面的工作,急需政产学研用各方紧密协同,

能力级别要求。这样,当一个组织想要使用健康医

加快推进相关标准规范和条令条例的制定。

疗数据开展研究或拓展业务之前,需要先具备相应

(二)建立具有政府公信力的数据安全服务、

的数据安全能力。因此,数据安全能力越高的企业,

监管与审计平台

就意味着有越大的机会处理更多类型和数量的数

需要建立具有政府公信力的权威大数据平台,

据,而不是增加成本。通过这样的治理方式,引导

提供专门的数据安全服务、监管和审计业务。例如,

企业或组织积极提升自己的数据安全能力,实现业

建立个人信息大数据平台,并采取加密、匿名化、

务竞争力与安全的正向挂钩,从而带动整个数据安

访问控制和数据脱敏等安全保障措施,为需要使用

全产业发展水平逐渐提高。

个人信息的应用或组织安全地提供数据;当各类应

(五)从合规与运营两个维度打造数据安全解

用平台服务商需要使用个人信息时,只能向个人信

决方案

息大数据平台提出申请,这样就将个人信息的使用

打造“合规+运营”双轮驱动的数据安全解决

模式从目前的多点访问模式转变成集中访问模式,

方案。一方面,根据网络安全和数据安全相关标准,

为个人信息保护提供切实的安全保障。在监管层面,

通过支持数据全生命周期安全保障的大数据平台或

通过这样的权威大数据平台,可建立国家级的数据

安全组件,为大数据、数字经济应用场景特别是数

安全监管与审计体系,支持对数据流通的路径溯源

据的跨系统、跨组织、跨境的共享、流通和交易的

和安全审计,以及实现对数据主权的确权。

应用场景,从合规维度提供完备的数据安全保障能

(三)以政策引导数据安全产业创新布局

力。

通过政策指导、项目扶持、需求牵引等方式相

另一方面,通过大数据安全分析能力的本地化

结合,引导企业加强数据安全保护产品和解决方案

赋能,以安全运营或安全服务中心为载体,从运营

的创新研发。建议国家各部委、地方政府在设立科

维度抵御持续变化的高级安全威胁,特别是针对数

研与产业化项目、应用示范项目时,重点支持数据

据的安全威胁,大幅度降低数据被窃取的安全风险。

分类分级、数据共享安全监测、细粒度数据资源访

(六)全球视角下的数据安全治理需要弘扬多

问控制、共享数据脱敏及去标识化、跨域多模式网

边主义

络身份认证、数据标记及追踪溯源、数据安全威胁

全球数字经济浪潮下,数据安全问题没有国界,

监控等技术的研发、成果转化和应用示范。而且,

没有一个国家能够置之度外、独善其身。各国需要

需要发展数据安全测评、培训、认证产业,为企业

普遍参与并讨论出一套普适性的规则,以开放包容

或组织提供数据安全能力成熟度评估支撑,特别是

的姿态,管控分歧,不断增进彼此信任,建立数据

在大数据开发利用的相关政策中,明确采集和处理

安全治理国际合作机制,为全球数字经济发展营造

不同数据所需要的数据安全能力成熟度等级要求,

公平的竞争环境。我国可以在政策、法规、标准和

并将相关企业或组织纳入测评范围。

技术等多方面积极主导和参与,构建和壮大自己的

(四)让数据安全成为组织的竞争力

数据流通“朋友圈”,只有各国共商、共建、共享,

在数据安全领域,通过建立科学的治理模式,

才是解决全球数据安全问题的正确路径。

(本栏责编:王丹娜)

2020.11

/

85

C

N

I

T

S

E

C


本文标签: 数据 数据安全 技术 组织

版权声明:本文标题:从《全球数据安全倡议》看数据安全 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1710394244a571138.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。