通信世界网消息(CWW)近期数据泄露等安全事件频发,严重侵害个人信息主体权益,影响国家安全、经济发展和社会稳定。以欧盟、美国为代表的地区和国家纷纷出台个人信息保护、数据安全的法律法规和管理规范,进一步明确企业数据安全保障的责任和义务。我国也积极加强数据安全管理布局,出台《中华人民共和国网络安全法》,提高数据安全管理要求。
在此背景下,通过数据加密、数据脱敏、数据防泄露、数据追踪溯源以及数据库安全防范等技术手段保护个人隐私,保障数据完整性、保密性和可用性的需求凸显。同时,世界主要国家也在积极研究突破核心技术,探索构建数据安全技术解决方案。基于此,本文将通过研究梳理国内外数据安全技术手段发展现状,分析总结存在的问题,并提出对策建议,以期提升我国数据安全技术保障能力,降低数据安全风险。
我国数据安全技术发展现状
第一,敏感数据识别技术向智能化发展,企业探索部署数据安全防泄露工具。
敏感数据识别技术作为数据防泄露、数据分级分类管控和敏感数据加密等数据安全防护技术的基础受到国内外高度重视。一是在传统的关键字识别基础上,相关企业通过引入规则匹配、自然语言处理等技术扩大识别范围,提高识别精度。二是结合聚类分析等机器学习技术,通过大数据的累积训练提升敏感数据识别的智能化程度。在此基础上,国内外各企业积极探索实践,针对数据的使用、存储、传输等数据泄露高风险阶段,以敏感数据识别技术为核心研发数据安全防泄露产品,通过部署在企业数据流动的关键节点,实现对数据泄露行为的泄露预警发现和拦截处置。例如Forcepoint等外国企业已经将数据安全防泄露产品商业化,形成了一套覆盖网络和终端的企业数据防泄露组件;我国各大安全厂商积极研究数据防泄露技术手段,布局数据防泄露市场,2017年我国数据泄露防护市场规模达到7.8亿元,同比增长25.3%,2020年将超过14.7亿元。
第二,结构化数据库事前、事中、事后全流程安全保障技术体系成熟,非结构化数据库安全防护手段单一。
数据库根据存储架构、存储数据类型不同,主要分为结构化数据库和非结构化数据库两种。在结构化数据库安全方面,构建以事前评估加固、事中安全管控和事后分析追责3种方式为主的安全防护体系。其中,事前评估加固主要采用数据库漏洞扫描技术,事中安全管控主要采用数据库防火墙及数据加密、脱敏技术,事后分析追责主要采用数据库审计技术。例如华为云数据库安全服务建立了以数据库防火墙、数据库安全审计等技术为核心的商用数据库安全体系,截至目前,华为已经为100余家企业提供该安全服务,保障数据库安全。
在非机构化数据库安全防护方面,由于其数据类型的多样性,目前各企业尚无典型有效的安全防护技术,主要从网络、存储、终端3方面部署数据防泄露、防病毒等相关产品,保障非结构化数据安全。
第三,数据追踪溯源技术处于研究发展阶段,大规模应用实践尚未开展。
国内外企业聚焦数据水印和数据血缘追踪技术进行探索研究,提升数据安全事件溯源处置的能力,降低安全风险。一是数字水印技术,其技术实现原理是在不影响数据读取和应用的前提下,将数据水印通过信息处理嵌入到数据内容中,实现对数据的标记与追踪。目前数字水印技术因其对处理资源和存储资源的高占用、高依赖,多适用于相对稳定的小型数据集,无法大规模应用于云计算、大数据等大量数据汇聚的场景。二是数据血缘追踪技术,主要技术原理是通过建立数据血缘图谱,对数据流转过程进行实时记录,追踪分析数据安全事件的原因,降低安全风险。目前该技术正处在研究验证阶段,仅阿里、顺丰等部分企业探索应用,产业化应用尚不成熟。
第四,数据加密技术分场景细化发展,新型加密手段逐渐涌现。
数据加密技术作为最基本、有效的数据安全防护技术,得到广泛应用,根据应用场景和加密方式的不同,分为可逆加密和不可逆加密两种。一是可逆加密,对数据通过特定算法加密后变成密文,只有通过相应密钥才能将密文解密成明文。在网络支付中的数字证书、日常文件加密等均采用可逆加密技术。二是不可逆加密,经过不可逆加密算法处理的数据无法恢复出明文,只能利用同一算法对相同数据再次加密,比对密文进行验证。例如防止数据恶意篡改的数字指纹、Unix系统的登录认证等均采用不可逆加密技术。与此同时,随着云计算、量子计算等新兴技术的发展以及计算机处理速度的提升,传统加密算法的效率与强度逐渐难以满足业务需求,被破解失效的风险日益升高。
在此背景下,各国积极开展数据加密技术的研究工作,量子加密、后量子加密等新型加密算法被不断提出,以适应未来数据安全发展需要。例如美国Quantum Xchange公司正尝试运用量子加密技术在美国东北部建设量子加密网络,以期为华尔街银行和其他企业提供服务;德国infineon公司已经将后量子密码技术应用到非接触式安全芯片上,以应对未来量子计算对传统加密算法的威胁。此外,各国高度重视新兴密码技术专利的申请,截至2017年,美国、欧盟和日本分别获得220件、127件以及265件量子密码相关专利。
第五,数据脱敏成为个人信息保护重点技术手段,国内外企业加强数据匿名化技术研究应用。
为平衡个人隐私保护和业务发展,各企业大力发展数据脱敏技术和匿名化技术。一是根据业务场景及需求,差异化应用数据脱敏技术方案。在保密场景下,使用加密技术对数据进行脱敏,有效保护个人数据。在群体信息统计场景下,使用数据失真技术,实现个人信息去标识化,同时输出统计结果数据。在数据可逆需求场景下,采用位置变换、表映射等方式实现数据脱敏,最大限度保障数据的可用性。二是利用数据匿名化技术实现有条件地发布数据,防止用户敏感数据的泄露。匿名化技术是指根据特定算法对数据进行变换,在保证数据可用性的同时确保数据无法定位到个人且无法还原,从而达到保护个体隐私信息的目的。目前匿名化技术主要包括差分隐私、K匿名等。近年来,数据匿名化技术得到业界广泛关注并在数据交换、数据分析等环节初步开展应用。例如在国际方面,苹果公司已经在搜索预测等方面应用差分隐私技术;在国内方面,阿里巴巴的数据匿名化技术也已获得较大进展。
我国数据安全技术面临四大难题
第一,法律法规要求不明确,技术手段研发推动力不足。
当前,我国数据安全管理体系初步建立,《中华人民共和国网络安全法》和《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规提出数据安全和个人信息保护原则性要求,但尚未明确技术手段建设的具体要求与处罚规则,无法有效推动企业开展数据安全技术手段的研发与应用。部分企业碍于运营成本和系统性能等因素,数据安全技术手段投入较少,数据安全技术研发与应用相对滞后,分级分类、权限管理等部分管理要求难以真正落地实施,继而影响企业整体数据安全保障能力。
第二,国家标准规范尚未制定出台,企业缺乏实施指引。
目前,我国数据安全技术相关国家标准和行业标准出台较少,无法对企业形成有效指引。在数据加密、数据脱敏方面,对于数据脱敏的方法、流程以及效果等均尚未形成统一标准,各企业理解存在较大偏差,数据安全技术手段应用落地效果无法保障。在数据分级分类方面,国家和行业均未形成分级分类目录指引,企业自行制定分级分类规则,科学性、合理性无法保障。
第三,数据安全技术起步研发较晚,部分技术尚不具备落地应用条件。
随着数字经济的发展,数据处理场景显著增多,数据处理量级明显提高,传统的网络安全技术已无法满足当前数据量巨大、数据更新速度极快的场景。数据安全技术作为新兴技术领域,发展时间尚短,部分技术手段与解决方案正处在研究发展阶段,缺乏应用实践,无法有效保障数据安全。例如数字血缘追踪技术、数据字段打标签技术等目前尚不成熟,对业务运营的影响有待进一步研究,大规模落地应用尚需时日。
第四,现有系统庞杂,数据安全技术改造落地难度较大。
我国数据安全管理起步较晚,目前大部分企业面临存量业务系统数据安全改造的难题。一是数据资产梳理难度较大。前期企业内部各业务系统数据字段名称不统一,数据类型繁杂、数量庞大,数据资产梳理作为数据安全技术手段建设的基础工作难以有效开展。二是影响业务现有系统性能,加大企业投入。数据加解密、脱敏等技术,一定程度占用系统资源,影响系统性能和用户体验,进行数据安全技术改造需要升级硬件设备,增加企业成本投入。三是影响业务系统运行风险较高。数据安全防护技术的改造往往伴随着核心系统的改造,难度较高,风险较大。同时,数据安全技术改造属于新兴技术领域,目前企业可参考的成熟技术方案及实践案例较少,企业顾虑较大。
对策建议
第一,加快出台数据安全法律法规,明确提出数据安全技术手段应用要求。
一方面,建议加快推动《数据安全法》《个人信息保护法》《数据安全管理办法》和《数据出境安全评估办法》等相关法律法规的制定出台,构建我国数据安全管理体系,明确企业数据安全技术手段建设的责任和义务。另一方面,在数据分级分类、数据加密、个人信息去标识化等重点领域加快起草制定相关标准规范,细化明确分级分类规则、加密算法强度、去标识化算法及应用场景等,为技术产品研发提供支撑。
第二,研究提出数据安全技术手段总体视图与市场报告,促进数据安全技术产业健康发展。
建议开展数据安全技术体系研究,形成具有共识性的数据安全技术产品体系总体视图,明确数据安全技术防护手段的方式、类型、性能以及应用场景、适用范围等,指引需求侧企业开展数据安全技术能力建设,增强数据安全综合保障能力。同时,发布数据安全技术产品市场报告,涵盖我国数据安全技术产品供需关系情况、成熟度情况、技术薄弱环节等,支撑供给侧企业开展数据安全技术手段研发投入,促进市场良性发展。
第三,倡导数据安全“产学研”相结合,鼓励数据安全新技术的研发应用。
鼓励高校、科研院所和企业联合开展数据安全技术研发深度交流合作,通过组建技术发展联盟、成立联合实验室等方式,合力推进数据资产盘查、数据特征值提取、数据加密、数据匿名化、数据血缘追踪以及数据防泄露等数据安全技术的研究。同时,对于新型数据安全技术研发成果,积极开展试点应用工作。在完善产品性能的同时,加速成果转化与落地应用,切实提高我国企业数据安全防护能力。