媒體聚焦BCS|鄔賀銓:數據要素的開發與利用離不開數據安全
“數據要素具有多項屬性,包括可見性、易理解性、可鏈接性、可視性、互操作性、安全性、歸屬性、開放性和資產性。” 在2022北京網絡安全大會上,中國工程院 院士鄔賀銓詳細介紹了數據要素的九大基本特征,并闡述了這九大特征與網絡安全之間的內在關聯。
第一大特征是數據的可見性。通常情況下,安全檢測會使用數據可視化來發現異常,可如果將可視化工具部署在公有云上,就意味著數據也要上傳到公有云,顯然這將帶來一定的安全風險。與此同時,部署私有云的成本又相對偏高,因此大量政企機構希望將云化的可視化工具下載到本地終端進行部署,在增加數據可見性的同時,確保數據的安全性。
第二大特征是數據的易理解性。鄔賀銓表示,為了讓計算機能更好的理解數據,工程師們會對數據進行前期的預處理。比如人臉識別,需要對人臉事先進行標注,區別眼睛、鼻子、耳朵、嘴巴等等,幫助計算機識別五官;再例如智能駕駛,大量道路情況也需要標注紅綠燈、斑馬線、障礙物等等。不過,目前標注依然需要人工處理,甚至需要外包、眾包的參與,這就帶來了極大的用戶隱私泄漏風險。
尤其是人臉探測、視覺探測、車輛識別等等敏感公共信息,與個人隱私、車輛安全甚至是智慧城市安全息息相關,一旦處置不當很可能會造成較為嚴重的后果。
第三個特征是數據的可鏈接性。大數據技術能夠將海量異構分布數據結合在一起,實現數據深度地挖掘。在數據鏈接的過程中,除了依靠流程和管理制度之外,接入數據的權限該如何管理?鄔賀銓認為,跨多個應用程序和云服務存儲的數據共享需要明確可共享的原則、范圍、層次和內容,規定共享程序與審計,只向授權人開放,重要數據的接入認證需要采用數字簽名,并且防止員工使用不安全的應用共享敏感數據。
另一方面,隨著歐洲《通用數據保護條例》的實施,元數據需要負擔起個人身份信息標記、數據屏蔽、訪問請求和數據管理生命周期管理等功能,顯然,應重點保證元數據平臺對網絡攻擊的防御能力。
第四是數據互操作性。數據要流動、要使用才能產生價值,尤其是跨境數據流動,這樣才能支撐國際貿易以及科技、教育、文化、產業交流合作。但在數據跨境流動過程中,如何保證國家的安全、商業秘密及個人隱私亟待解決。鄔賀銓認為,數據流動的管理首先需明確并確定數據類型,以便在出境口攔截未經批準的敏感數據。其次還需還原數據路徑,實施數據處理流程的全鏈路監控,便于事后追溯。
第五是數據的可信性。深度神經網絡是個分類器,當事件和圖像處于AI模型辨識分界線或被干擾時會使AI誤判。不過對抗樣本僅對指定圖片和攻擊模型生效,可通過區域截圖、放大縮小等預處理發現數據被投毒。
事實上,在整個供應鏈中,數據也極易受到污染而出現失真現象。因此可采用區塊鏈+隱私計算方法,整合訂單、發票、物流和資金流等數據,來發現有無造假。
第六是數據的安全性。數據是生產要素,因此要使用加密手段防止數據被竊取或者濫用。但加密在保障安全性的同時,也會帶來其他的安全問題,比如黑客可以利用勒索軟件對數據進行二次加密。因此需要實時對數據進行審計與版本核對,防止被惡意再加密而被控或被勒索。
另一方面,盡管傳統加密技術能夠大幅提升數據的安全性,但也在一定程度上阻礙了數據的流轉和融合。比如兩家企業都希望利用對方的數據,但同時都不愿意把自己原始數據交給對方,此時可以利用多方計算技術,允許各參與方只提交密文分片的前提下,通過既定邏輯共同計算出結果,但不透露各自數據。
第七是數據的資產性。數據是生產要素,需要從數據采集、數據開發利用、數據鑒權、數據應用等全生命周期去保證數據資產的安全性。鄔賀銓強調,在所有環節中,特別注意元數據的管理、開發過程的管理、流通過程的管理和運維過程的管理,這些過程需要采用相應的安全技術支持資產安全管理。
第八是數據的歸屬性。毋庸置疑的是,數據本身是有歸屬權的,包括持有權、使用權、經營權,關系到數據使用的安全性和合法性。對一個國家而言,數據有主權的含義,因為涉及到國家安全以及社會經濟發展的重要內容,每個國家對自己的數據有對外的獨立自主權,以及國際事務的參與決策權。
對個人而言,個人的身份、家庭、經濟狀況、興趣偏好,以及人臉、指紋、DNA等等生物特征等關鍵敏感數據,要堅持非必要不能收集原則。即便在個人同意收集使用的前提下,也不意味著個人對數據所有權被轉讓,使用后應及時刪除。
不過,不同于傳統資產的是,數據是可復制的,數據使用也基本上可以不留痕跡,這為數據的歸屬確權帶來了很大的困難。
第九是數據的開放性。鄔賀銓認為,原則上不涉及國家安全、企業秘密和個人隱私的政務數據,都應該向社會開放,才能發揮更大的價值。但政務數據開放要特別注意個人身份識別和地理位置等隱私保護,在大數據技術日益發達的今天,通過混合不同數據集進行關聯分析,可以間接地追蹤到個人工作生活等隱私,因此需要進行匿名化等脫敏處理。
鄔賀銓強調,數據是重要的生產要素,它的安全性不僅關乎國家安全、國民經濟、社會穩定,還跟企業的商業秘密、個人隱私、財產安全密切相關。數據安全不僅是技術問題,還涉及法律、政策、管理、人才、倫理等方面,要面對更多的新挑戰,需要在實踐中加深認識,加大研究創新力度。
