面向“十四五”,迎接數字時代,激活數據要素潛能,應統籌發展和安全,加強數據安全保護,打造數字經濟新優勢。數據安全作為產業數字化和數字產業化發展基石,已成為國家頂層規劃以及各行業建設的重點內容。尤其在工業數據保護中,據《中華人民共和國2021年國民經濟和社會發展統計公報》第二產業增加值450904億元,第二產業增加值占國內生產總值比重為39.4%,工業占比33%。在《密碼法》《數據安全法》《個人信息保護法》和《工業和信息化領域數據安全管理辦法(試行)》等新的合規要求下,工業數據安全產業迎來發展新機遇,進入黃金發展期。

一、技術發展情況

隨著云計算、移動互聯網、物聯網和大數據等新技術的蓬勃發展,數據高效共享導致原有安全邊界被“打破”,以防火墻、殺毒軟件和入侵檢測“老三樣”為代表的傳統數據安全產品的邊界式防護受到嚴峻挑戰。數據安全領域急切需要轉變思路,采取由從“防漏洞、補漏洞”的應對式防護,轉化到“為數據訪問重建安全規則”的主動式防護的安全防護技術。目前,可采取的數據安全重點技術可包括:

1、數據加密技術:傳統加密技術的效率、強度、靈活性等無法滿足多變的業務需求。因此,一方面,隨著數據共享流通場景保護需求的不斷增加,數據加密技術從靜態數據加密向動態數據加密擴展。另一方面,數據加密技術因新興領域的需求不斷演進,產生深度融合發展。

2、數據脫敏技術:目前來看,數據脫敏技術應用模式成熟,隨著對數據開發利用需求的不斷增長,數據脫敏技術的應用將更加廣泛。數據脫敏技術分為靜態脫敏和動態脫敏兩種應用模式。隨著數據高速共享流轉,動態脫敏成為用戶重點關注的應用技術。

3、數據識別技術:傳統的數據識別技術對于非結構化數據難以適用,對于結構化數據也無法滿足日益復雜的識別需求。在此需求驅動下,引入機器學習和自然語言處理等技術,可以在一定程度上自動生成識別規則,解決上述難題。目前常用的模型算法包括HMM模型、CRF模型、BiLSTM模型和BiLSTM-CRF模型等,但各類模型的運算開銷比較大,還不能滿足大規模應用的需要,算法的成熟度以及準確度也有待提升。

4、數據標記技術:數據標記技術是指對需要保護的數據增加標記信息,是實現數據分類分級安全防護的基礎。目前,數據標記技術處于探索研究階段,產業界運用的數據標記技術也并不是一種特有的技術,而是將能夠實現類似效果的技術應用到實際業務場景中,一般可以分為分離式和嵌入式兩類。

5、數字水印技術和隱私技術:一方面,數字水印技術已經逐漸由傳統的理論研究階段發展到實際應用階段,且為了增加其安全性,常與密碼學相結合。另一方面,隨著隱私計算應用范圍漸廣,各類隱私計算技術之間出現相互融合的趨勢。例如,聯邦學習技術架構的底層往往會使用不經意傳輸、秘密分享等安全多方計算技術,以及同態加密技術、差分隱私技術,以確保各方數據交換過程中的隱私性。

二、產業落地現狀

(一)我國數據安全立法監管加強

數據安全已成為事關國家安全與經濟社會發展的重大問題。近年來,國家高度重視安全建設,統籌發展和安全,推進行業數據安全保障能力提升,構建起堅實有力的安全法律屏障,形成了《網絡安全法》《密碼法》《數據安全法》和《個人信息保護法》“四法共治”的新局面,使得合規監管權責更鮮明、制度更健全、技術更創新。 

(二)各行業推進數據安全政策體系建設

受益于互聯網核心技術的快速演進、數據經濟的蓬勃發展以及政策因素的導向作用,國內數據安全廠商在傳統產品領域將更多的新技術與原有產品進行融合,數據安全產品和服務在政務、金融、交通、教育、工業互聯網、電信等領域的應用程度逐漸升高,數據安全市場逐步走向成熟。同時,政務、金融、交通等行業均出臺政策,加速數據安全建設。《國務院辦公廳關于印發全國一體化政務服務平臺移動端建設指南的通知》(國辦函〔2021〕105號)提出,加強對重要政務數據、敏感個人信息的保護,確保政務數據和數據信息安全。《個人金融信息保護技術規范》《互聯網信息服務管理辦法(修訂草案征求意見稿)》《工業和信息化部關于加強車聯網數據安全和數據安全工作的通知》(工信部網安〔2021〕134號)《國家醫療保障局關于印發加強數據安全和數據保護工作指導意見的通知》(醫保發〔2021〕23號)和《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)等均要求加強數據安全保護。

(三)數據安全標準體系逐步健全完善

數據安全國家標準相繼出臺,有力支撐相關法律法規的落地實施。2016年,全國信息安全標準化技術委員會(SAC/TC260,簡稱“信安標委”)成立大數據安全標準化特別工作組,正式啟動了數據安全相關國家標準研制工作。目前,TC260已發布數據安全和個人信息保護標準9項,在研標準22項。已發布標準涉及大數據服務安全、政務信息共享、個人信息安全等多個重要標準化方向。

(四)多項傳統數據安全技術實現趕超

國內廠商在數據安全技術領域不斷取得進步,部分達到甚至超越國際水平;數據監控和審計產品中融合大數據技術,使得大規模審計數據的存儲查詢性能得以成倍提升;數據安全保護與人工智能技術相結合,在數據分類分級、自動編排、事件劇本等領域實現了自動化響應與處理,大大提高了數據的自主化、智能化安全管理水平。同時,數據保護與用戶行為分析技術相結合,配合縱深防御技術,分析用戶、設備、應用程序的日常行為,實現數據流動過程中的可視、可監、可控、可管。

(五)數據安全評估與監管技術日趨成熟

隨著數據本身及其附加價值越來越高,數據在其全生命周期中面臨的問題和風險也越來越嚴重。為了支撐監管部門履行職責,國內眾多從事數據安全業務的廠商開展了數據安全評估與監管技術的研究,先后推出了數據安全風險評估系統、數據資產梳理系統和數據安全監管平臺。

三、技術難點分析

大數據時代,數據的產生、流通和應用變得空前密集。分布式計算存儲架構、數據深度發掘及可視化等新型技術、需求和應用場景大大提升了數據資源的存儲規模和處理能力,也給安全防護工作帶來了巨大的挑戰。

(一)工業數據安全面臨全生命周期威脅挑戰

數據安全來自于業務處理中的風險映射。從時間維度看,數據在流轉的全生命周期中的每個環節都會有相應的安全需求;從空間維度看,數據在工業基礎設施層、平臺層以及應用層之間流轉,不同層次會有不同顆粒度的防護需求。面對數據在各環節面臨的諸多泄露威脅與安全挑戰,如何保障數據全生命周期安全成為技術防護痛點。

(二)數據要素安全防護亟待解決

工業系統安全邊界模糊或引入更多未知漏洞,分布式節點之間和大數據相關組件之間的通信安全薄弱性明顯。分布式數據資源池匯集大量用戶數據,用戶數據隔離困難,數據存儲與數據安全技術如何齊驅并進,兩手同時抓成為建設難點。

(三)密碼技術面臨不好用、不能用、用不好的困境

傳統密碼產品開發改造應用的密碼集成模式門檻高、周期長、風險大,用戶面臨“不好用、不能用、用不好”的難題。一是不好用,密碼產品易用性不足,集成和技術門檻高,缺乏密碼中間件,復用低。二是不能用,商用密碼算法實現效率低,密碼技術部署在應用系統,嚴重影響業務運行效率,對于國外密碼算法仍然無法等效替換,且無法覆蓋全部使用場景。三是用不好,為應用系統疊加密碼技術增強安全能力,需要大量開發改造應用,成本高、風險大、周期長,且無法與業務完全融合。如何讓密碼技術“好用、能用、用好”成為重點。密碼作為數據安全的核心技術手段,面臨復雜挑戰。

(四)新興領域數據安全防護形勢復雜嚴峻

數字化生活、工業互聯網、工業大數據等新技術新業務新領域創造出多樣的數據應用場景,使得數據安全防護實際情境更為復雜多變。如何保護數據的機密性、完整性、可用性、可信性、安全性等問題更加突出和關鍵。

四、意見和建議

建議從“需求導向”和“可落地性”的角度,主要從數據安全產業頂層規劃、制度完善、財稅政策、技術發展方向、市場環境、人才培養等方面,促進我國數據安全產業發展。

(一)鼓勵打造國家級工業數據安全區域示范產業園或工程項目

建立數據安全示范產業園區,推出眾多優惠政策吸引企業入駐,打造數據安全應用示范集聚效應。抓住跨境數據保護節點,建立數據安全發展格局。協同數據安全應用需求供給,遴選、推廣典型行業場景方案。攻堅數據安全核心技術,以創新性應用加速深融新興產業。支持數據安全企業深研,以填補空白式創新,實現高端邁進。支持有關領軍企業和大型綜合性企業發展,相關企業需發揮好“領頭羊”作用,積極布局數據安全創新與產業發展,鼓勵組織引領數據安全產業的正向發展。

(二)推動數據安全中小微企業發展

從政策上改進為傾向創新結果導向的評審機制,讓民企參與者在市場參與資格上享有平等地位。同時,讓民企能獲得十四五數據安全重大專項的信息權、參與權,并結合《招標投標法》等已有政策,針對數據安全產品采購進一步強化扶持政策,讓中小民營企業在數據安全項目投標中可以獲得傾向性加分項,實質改善當前民營企業的市場弱勢地位。從財政優惠上,針對創新數據安全企業進行不同優惠梯度的稅收優惠扶持,為期十年。針對數據安全創新企業的判別標準,可結合技術應用推廣范圍、具有公信力的技術創新獎項、發明專利數量與質量等多項指標綜合判定。

(三)加強地方制度引領

國家關于數據安全的頂層規劃、法律政策等較為完善,但需進一步加強各類發展戰略和法律法規在各省、自治區、直轄市以及各行業,尤其是工業數據領域的落地應用。在各地區、各行業中出臺“數據安全管理條例”等行政法規,完善相關數據安全應用與安全性評估建,完善國標、行標體系;成立數據安全專職管理部門,明確監管職責并落實到人,建立暢通的數據安全政企渠道,強化數據安全評估執法檢查,多維度推動數據安全體系建設。

(四)出臺人才創新激勵機制

加大數據安全專業人才以及工業數據安全復合型人才培養力度,建立健全人才激勵機制;大幅提高國家信息化建設中數據安全投入比重,擴大數據安全產業規模;鼓勵數據安全技術創新,適應信息化新技術、新應用、新業態的發展趨勢;支持依法建立全國性數據安全行業協會,為數據安全從業單位提供信息、技術、培訓等服務,確保數據安全產業高質量發展。

數據安全 密碼
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接