构建覆盖数据全生命周期的安全治理体系
——访杭州安恒信息技术股份有限公司首席科学家、高级副总裁刘博
2021-04-04
本刊记者 王 超
当前的行业共识认为数据是驱动数字经济发展的核心动力。以数据为基础的云计算、物联网、区块链、人工智能等经济生态及相关产业链,在智慧城市升级、国家重大基建产业发展等方面发挥着积极的作用。与之相对的是,因数据安全和隐私保护水平有限,重要数据和个人信息的泄露和滥用问题依旧突出,极大地限制了我国数字经济的健康发展和国际竞争力。
为此,信息安全与通信保密杂志社记者对杭州安恒信息技术股份有限公司首席科学家、高级副总裁刘博进行了专访,就我国数据安全发展的契机与挑战、数据安全治理体系建设、数据全生命周期安全内涵等方面进行了深入沟通和探讨。
记者:请您谈一下目前数据安全面临的契机与挑战。
刘博:目前,数据安全正在迎来一个重要契机,就是数据要素市场的建设。数据安全是建立数据要素市场的必要条件,而不是先有数据要素市场再做安全。个人隐私保护、敏感数据使用、数据确权等难题都是数据要素市场化的“拦路虎”。而针对这些难题,我们可以引入“数据安全岛”模式,利用安全计算沙箱、安全多方计算、区块链等技术,实现原始数据不出本地,只交换计算结果,做到数据共享的“可用不可见”。由此,解决数据信任和隐私保护、溯源等难题,让流动数据成为数字经济发展的新动能。
目前,传统的安全措施难以适配新型数据安全问题。再者,跨机构、跨行业的数据融合,导致了数据应用访问的控制愈加复杂。总体来说,我国数据安全趋向于集合数据全生命周期防护、数据安全治理、数据安全运营等方面的系统化和工程化方向发展。
当前,各个领域的数据安全问题呈现出不同的发展特征,带来了多种多样的挑战。从数据的应用场景来看,数据安全问题主要包括数据自身的安全问题和数据跨行业、跨组织使用过程中带来的数据共享交换安全问题。前者主要包括数据泄露、敏感数据使用和数据监管等,后者主要包括数据信任、隐私数据使用和数据的主动遗忘等。
数据安全方面的挑战主要包括三个方面:第一,跨组织、跨部门的异构多源数据共享交换场景中的信任、数据安全和隐私保护的挑战;第二,数据融合使用带来的敏感数据全流程监管、数据血缘关系分解和数据溯源等挑战;第三,增量数据或动态数据的访问权限管控,以及动态鉴权等新型数据模型带来的管理挑战。
记者:如何利用新一代技术建设数据要素市场?
刘博:首先是政策方面。目前我国出台了不少利好政策,很多省、市或区县级单位已经开始探索新一代数据交易及数据价值的对外开放。
接下来我重点谈一下数据共享的难点与技术。
我们应着重考虑如何利用新一代技术更好地服务数据共享或数据要素市场的战略。我们最终希望实现原始数据“可用不可见”,或者,虽然对方可以看到部分脱敏数据,但不可任意取用这些数据,这是我们希望实现的目标。
目前,我们主要使用的技术是可信执行环境。数据只有在最终执行的过程中呈现明文状态,但无法通过攻击的方式被获取。安恒信息AiLand数据安全岛平台目前不仅支持可信执行环境技术,还支持数据全生命周期的加密、多方安全计算、以密码学为基础的一些算法和协议,包括联邦学习的一些算法,同时对数据全生命周期安全进行全流程的审计、审批及保护。
目前,还没有发布针对大数据可信执行环境的行业标准,但行业内部就某些方面已经达成了共识。
一是执行环境的隔离,我们将操作环境、调试环境和真正的执行环境隔离,在模型调试的过程中只能看到脱敏数据或是一些测试类数据,只有在执行时才计算真实的数据。二是身份验证。三是数据加密,目前我们也是使用国密认证的算法在数据流转过程中进行全流程的加密。四是溯源。五是可验证,所有操作必须是可验证的,安全岛里我们也使用了区块链技术对所有操作进行上链,避免风险操作导致篡改或用户的恶意行为。
安全岛涉及的主要应用场景有四个。一是赋能政数局的数据开放,除了赋能政务还要赋能到各行各业。二是公安数据,无论是对外开放,还是开放给委办局或政府其他单位。三是大数据交易中心,安全岛支撑数据交易平台来服务数据流转。四是数据服务公司,很多拥有大量数据的数据服务公司,可以利用数据安全岛技术在保证安全的情况下赋能到更多企业。
举个例子,如何在保护学生隐私的同时合理规划学区和师资力量?杭州的外来人口多,人员流动大,如何保证教育资源合理分配,这需要结合教育局、公安局和房管局三方的数据计算得出。
我们可以通过“安全岛”技术将各方数据汇聚起来放在岛内进行计算。用于计算的数据都是密文存储的,每一方的数据必须经过各自审批才能使用。我们可以保证在各方数据不被他人看到的情况下实现多方安全融合计算,计算结束后再及时销毁,相当于一次性任务。最终计算结果交付给教育局,实现数据“可用不可见”。
最后,数据安全监管责任重大。相应的法律法规与政策是技术发展的依托,能够促进技术手段的迭代和规范,就像美国在落实《通用数据保护条例(GDPR)》和《加利福尼亚州消费者隐私保护法案(CCPA)》的时候一样。
如何通过技术化手段帮助监管机构实现对于数据安全的保护、开放及合规,是一个非常有挑战性的问题,也是一个必须要解决的问题。
记者:如何构建科学合理的数据安全治理体系?
刘博:数据安全作为大数据时代的盔甲,有着不可动摇的地位。企业和国家应在完善数据处理和分析能力的同时,加快数据安全治理能力的建设,才能让大数据驱动的新时代变得更加安全。
数据安全治理体系的建设要以数据全生命周期为核心,实现数据安全全方位治理。传统的数据安全监管方法以系统为中心,但目前,数据的共享交换已经变成同一个部门、不同层级之间流动的常态化过程,所以构建数据全生命周期的监管体系势在必行。
数据安全治理体系框架通过三个维度构建而成,包括政策法规、技术层面和安全组织人员。数据安全治理体系框架在符合政策法规及标准规范的同时,需要在技术上实现对数据的实时监管,并配合经过规范培训的安全组织人员,构成数据安全治理体系框架的建设。
在整个体系中,核心监管技术体现在技术架构层面,包括安全运营中心、数据中心以及安全基础资源。通过提供最基础的技术保障,使安全运营中心对整个数据中心进行实时的响应控制。安全运营中心集中体现在资产管理、合规监管、实时监测、数据安全态势以及通报预警等方面。安全运营中心的实现是采集数据中心数据,进行数据汇聚、分析以及治理从而实现对数据的实时管控。数据安全基础资源是整体技术框架的支持组件,提供最基础的技术保障的同时,以工具的形式保障数据安全。
记者:数据全生命周期分为哪几个阶段?
刘博:数据安全可分为六个生命周期阶段:数据采集认证和风险评估、数据传输加密控制、数据存储加密、数据授权和脱敏使用、数据安全共享交换以及数据销毁追溯与责任。
第一,数据采集阶段。要明确采集规范,制定采集策略,完善数据采集风险评估以及保证数据采集的合规合法性。数据采集规范中明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,对数据来源进行源鉴别和记录。制定明确的采集策略,体现在采集周期和采集内容的定义,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义,形成数据采集风险评估规范,包括评估方式和周期细节等。最后,在数据采集全过程中,需要符合相关法律法规和监管要求,做到合规、合法采集。
第二,数据传输阶段。使用合适的加密算法对数据进行加密传输,其中主要用到的是对称加密算法和非对称加密算法。“对称加密算法”(又称“私钥加密算法”或“传统密码算法”),指加密和解密使用相同密钥的加密算法,也就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。目前主要的对称加密算法有DES、IDEA、AES、SM1(国密算法)等。“非对称加密算法”需要一对密钥,即公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,用公开密钥对数据进行加密,只有对应的私有密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。常用的非对称加密算法有RSA、ECC、SM2(国密算法)。
第三,数据存储阶段。制定存储介质标准和存储系统的安全防护是重要标准。存储介质标准需要覆盖存储介质的定义和质量、存储介质的收发运输、存储介质的使用记录及管理以及存储介质维修规范的制定。对存储系统的安全防护,需要包括数据备份、归档和恢复以及对存储系统的弱点进行识别及维护。
第四,数据处理阶段。明确数据脱敏的业务场景和统一使用适宜的脱敏技术,是数据处理的关键。在这一阶段,不同场景使用不同的脱敏规则和方法,根据申请使用敏感信息的场景、申请人背景及情况,评估提供真实数据的必要性和脱敏技术的使用。
脱敏技术主要分为静态脱敏和动态脱敏。静态脱敏直接通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES)等多种脱敏算法,针对不同数据类型进行数据掩码扰乱,并将脱敏后的数据按用户需求,装载至不同环境中。导出的数据是以脱敏后的形式存储于外部存储介质中,实际上已经改变了存储的数据内容。动态脱敏通过精确解析SQL语句匹配脱敏条件。例如,访问IP、MAC、数据库用户、客户端工具、操作系统用户、主机名、时间、影响行数等,在匹配成功后改写查询SQL或者拦截防护返回脱敏后的数据到应用端,从而实现敏感数据的脱敏,实际上存储于生产库的数据未发生任何变化。
第五,数据使用阶段。要完善相应的安全保障机制、数据信任体系和手段。基于数据共享交换过程中存在的数据共享难、遗忘难、安全保障难等问题,秉承“数据可用不可见”“可用不可取”的安全理念,应用大数据可信执行环境、MPC、联邦学习等多种隐私计算前沿技术,实现共享数据的所有权和使用权分离,保障多方数据联合计算过程的可靠、可控和可溯。
第六,数据销毁阶段。结合场景保障销毁技术的多样性。根据不同的存储介质和设备对应匹配不可逆的销毁技术及流程,实现针对磁盘、光盘等各类数据存储介质的不同销毁技术及流程,建立销毁监察机制,严防数据销毁阶段可能出现的数据泄露问题。
在建设数据全生命周期监管的过程中,为了实现监控和审计,数据分类分级是必不可少的。在这之前,我们需要通过数据测绘来发现敏感数据以及数据主要存储的位置。对数据进行结构化分类分级,实现对数据资产安全进行敏感分级管理,并依据各级别部署相对应的数据安全策略,以保障数据资产全生命周期中数据的保密性、完整性、真实性和可用性。
记者:新基建时代,数据安全工作应如何开展?
刘博:网络安全企业应该具备体系化工程思维。网络安全本身就是一个交叉行业,在国家倡导“新基建”的背景下,网络安全企业应当参与到新基建项目的顶层规划中,运用工程思维建设网络能力,提升自身产品和服务水平,给各行业带来安全力量,促进网络安全向服务化转型。网安企业应当成为新一代信息基础设施的运营者,服务数字城市和数字社会的管理,保障数字经济的安全平稳运行。
“安于责任,恒于创新”是安恒信息始终坚持的文化。依托多年积累的研究和行业经验,未来将继续围绕“云、大、物、工、智”开发适用于“新基建”、新场景下的新一代网络信息安全新产品,研发具备真正的城市级智能感知防护产品和全天候安全应急运营能力。以大数据安全、安全分析大脑、5G及物联网安全和人工智能安全的研发为基础,打造“新基建”安全中国样板,同时服务政府和企业的数字化转型。
数据安全是“新基建”中的基础问题,从个人隐私、场景业务应用(比如工业互联网)、数据流通等方面来看,保障数据安全十分关键。对此,应当建立完善的数据安全制度。
首先,应当根据业务使用场景、数据熟悉实施数据分类分级工作。建立数据分类分级组织,按照国家有关规定,建立数据安全分类分级规范,建立数据资产分类分级清单,根据数据分类分级结果设计相应的数据分析防护策略。
其次,做好数据安全顶层规划,构建全生命周期的数据安全综合防御体系,注重数据环境安全建设,保护网络安全和物理安全等;加强在隐私保护核心技术上的投入,兼顾数据利用和隐私保护双重需求。
为了保障数据安全,构建良好的行业发展生态,刘博表示应当树立新的观念,明确数据安全建设将会转变为“数据安全工程”建设,充分认识数据安全工程的重要性、复杂性,以工程化思维做好数据安全顶层规划。
具体而言,可以围绕以下几个方面展开:第一,构建数据安全责任体系,明确企业安全责任主体和各级政府管理责任;第二,加强态势感知、测试评估、预警处置等数据安全能力建设,实现闭环管理,全面保障数据安全;第三,国家和地方出台数据安全策略,联合各数据监管单位,摒弃传统的以单位内部管理为核心的安全管理理念,上升到区域公共数据管理组织为核心的理念,形成“行业、区域一盘棋一体化”的管理局面;第四,大数据监管部门与数据安全企业成立“市场化数据安全运营中心”,通过“顶层设计、健全管理、创新技术、联动运营、夯实基础”的规划思路,形成具有主动防御、联动运营能力的数据安全保障体系;第五,加大数据安全测评技术研发,构建合理的数据安全测评方法,并成立专门的数据安全测评机构。
希望国家和相关数据监管部门能够跟进数据安全工程与数字化经济共赢发展模式的课题研究,重点研究数据作为生产要素的主要特征,探索以数据为关键要素的数字经济发展路径和模式,提出数据安全工程与数字化经济的共赢模式,为数据产业提供顶层指导。