安恒劉博:構建覆蓋數據全生命周期的安全治理體系
LIU Bo
劉 博
杭州安恒信息技術股份有限公司首席科學家、高級副總裁,AiLPHA智能安全事業群負責人,之江實驗室信息安全研究中心副主任,美國馬里蘭大學計算機科學博士。曾任美國 Square公司及Facebook公司機器學習科學家。共發表SCI科研文章近20篇,國際總引用5000多次。主導國家級、省級重大科研項目5項。擁有態勢感知、數據安全、威脅檢測、AI異常分析等100余項技術發明專利。
當前的行業共識認為數據是驅動數字經濟發展的核心動力。以數據為基礎的云計算、物聯網、區塊鏈、人工智能等經濟生態及相關產業鏈,在智慧城市升級、國家重大基建產業發展等方面發揮著積極的作用。與之相對的是,因數據安全和隱私保護水平有限,重要數據和個人信息的泄露和濫用問題依舊突出,極大地限制了我國數字經濟的健康發展和國際競爭力。
為此,信息安全與通信保密雜志社記者對杭州安恒信息技術股份有限公司首席科學家、高級副總裁劉博進行了專訪,就我國數據安全發展的契機與挑戰、數據安全治理體系建設、數據全生命周期安全內涵等方面進行了深入溝通和探討。
INTERVIEW 01
本刊記者 :
請您談一下目前數據安全面臨的契機與挑戰。
劉博 :
目前,數據安全正在迎來一個重要契機,就是數據要素市場的建設。數據安全是建立數據要素市場的必要條件,而不是先有數據要素市場再做安全。個人隱私保護、敏感數據使用、數據確權等難題都是數據要素市場化的“攔路虎”。而針對這些難題,我們可以引入“數據安全島”模式,利用安全計算沙箱、安全多方計算、區塊鏈等技術,實現原始數據不出本地,只交換計算結果,做到數據共享的“可用不可見”。由此,解決數據信任和隱私保護、溯源等難題,讓流動數據成為數字經濟發展的新動能。
目前,傳統的安全措施難以適配新型數據安全問題。再者,跨機構、跨行業的數據融合,導致了數據應用訪問的控制愈加復雜。總體來說,我國數據安全趨向于集合數據全生命周期防護、數據安全治理、數據安全運營等方面的系統化和工程化方向發展。
當前,各個領域的數據安全問題呈現出不同的發展特征,帶來了多種多樣的挑戰。從數據的應用場景來看,數據安全問題主要包括數據自身的安全問題和數據跨行業、跨組織使用過程中帶來的數據共享交換安全問題。前者主要包括數據泄露、敏感數據使用和數據監管等,后者主要包括數據信任、隱私數據使用和數據的主動遺忘等。
數據安全方面的挑戰主要包括三個方面:第一,跨組織、跨部門的異構多源數據共享交換場景中的信任、數據安全和隱私保護的挑戰;第二,數據融合使用帶來的敏感數據全流程監管、數據血緣關系分解和數據溯源等挑戰;第三,增量數據或動態數據的訪問權限管控,以及動態鑒權等新型數據模型帶來的管理挑戰。
INTERVIEW 02
本刊記者 :
如何利用新一代技術建設數據要素市場?
劉博 :
首先是政策方面。目前我國出臺了不少利好政策,很多省、市或區縣級單位已經開始探索新一代數據交易及數據價值的對外開放。
接下來我重點談一下數據共享的難點與技術。
我們應著重考慮如何利用新一代技術更好地服務數據共享或數據要素市場的戰略。我們最終希望實現原始數據“可用不可見”,或者,雖然對方可以看到部分脫敏數據,但不可任意取用這些數據,這是我們希望實現的目標。
目前,我們主要使用的技術是可信執行環境。數據只有在最終執行的過程中呈現明文狀態,但無法通過攻擊的方式被獲取。安恒信息AiLand 數據安全島平臺目前不僅支持可信執行環境技術,還支持數據全生命周期的加密、多方安全計算、以密碼學為基礎的一些算法和協議,包括聯邦學習的一些算法,同時對數據全生命周期安全進行全流程的審計、審批及保護。
目前,還沒有發布針對大數據可信執行環境的行業標準,但行業內部就某些方面已經達成了共識。
一是執行環境的隔離,我們將操作環境、調試環境和真正的執行環境隔離,在模型調試的過程中只能看到脫敏數據或是一些測試類數據,只有在執行時才計算真實的數據。二是身份驗證。三是數據加密,目前我們也是使用國密認證的算法在數據流轉過程中進行全流程的加密。四是溯源。五是可驗證,所有操作必須是可驗證的,安全島里我們也使用了區塊鏈技術對所有操作進行上鏈,避免風險操作導致篡改或用戶的惡意行為。
安全島涉及的主要應用場景有四個。一是賦能政數局的數據開放,除了賦能政務還要賦能到各行各業。二是公安數據,無論是對外開放,還是開放給委辦局或政府其他單位。三是大數據交易中心,安全島支撐數據交易平臺來服務數據流轉。四是數據服務公司,很多擁有大量數據的數據服務公司,可以利用數據安全島技術在保證安全的情況下賦能到更多企業。
舉個例子,如何在保護學生隱私的同時合理規劃學區和師資力量?杭州的外來人口多,人員流動大,如何保證教育資源合理分配,這需要結合教育局、公安局和房管局三方的數據計算得出。
我們可以通過“安全島”技術將各方數據匯聚起來放在島內進行計算。用于計算的數據都是密文存儲的,每一方的數據必須經過各自審批才能使用。我們可以保證在各方數據不被他人看到的情況下實現多方安全融合計算,計算結束后再及時銷毀,相當于一次性任務。最終計算結果交付給教育局,實現數據“可用不可見”。
最后,數據安全監管責任重大。相應的法律法規與政策是技術發展的依托,能夠促進技術手段的迭代和規范,就像美國在落實《通用數據保護條例(GDPR)》和《加利福尼亞州消費者隱私保護法案(CCPA)》的時候一樣。
如何通過技術化手段幫助監管機構實現對于數據安全的保護、開放及合規,是一個非常有挑戰性的問題,也是一個必須要解決的問題。
INTERVIEW 03
本刊記者 :
如何構建科學合理的數據安全治理體系?
劉博 :
數據安全作為大數據時代的盔甲,有著不可動搖的地位。企業和國家應在完善數據處理和分析能力的同時,加快數據安全治理能力的建設,才能讓大數據驅動的新時代變得更加安全。
數據安全治理體系的建設要以數據全生命周期為核心,實現數據安全全方位治理。傳統的數據安全監管方法以系統為中心,但目前,數據的共享交換已經變成同一個部門、不同層級之間流動的常態化過程,所以構建數據全生命周期的監管體系勢在必行。
數據安全治理體系框架通過三個維度構建而成,包括政策法規、技術層面和安全組織人員。數據安全治理體系框架在符合政策法規及標準規范的同時,需要在技術上實現對數據的實時監管,并配合經過規范培訓的安全組織人員,構成數據安全治理體系框架的建設。
在整個體系中,核心監管技術體現在技術架構層面,包括安全運營中心、數據中心以及安全基礎資源。通過提供最基礎的技術保障,使安全運營中心對整個數據中心進行實時的響應控制。安全運營中心集中體現在資產管理、合規監管、實時監測、數據安全態勢以及通報預警等方面。安全運營中心的實現是采集數據中心數據,進行數據匯聚、分析以及治理從而實現對數據的實時管控。數據安全基礎資源是整體技術框架的支持組件,提供最基礎的技術保障的同時,以工具的形式保障數據安全。
INTERVIEW 04
本刊記者 :
數據全生命周期分為哪幾個階段?
劉博 :
數據安全可分為六個生命周期階段:數據采集認證和風險評估、數據傳輸加密控制、數據存儲加密、數據授權和脫敏使用、數據安全共享交換以及數據銷毀追溯與責任。
第一,數據采集階段。要明確采集規范,制定采集策略,完善數據采集風險評估以及保證數據采集的合規合法性。數據采集規范中明確數據采集的目的、用途、方式、范圍、采集源、采集渠道等內容,對數據來源進行源鑒別和記錄。制定明確的采集策略,體現在采集周期和采集內容的定義,只采集經過授權的數據并進行日志記錄。對數據采集過程中的風險項進行定義,形成數據采集風險評估規范,包括評估方式和周期細節等。最后,在數據采集全過程中,需要符合相關法律法規和監管要求,做到合規、合法采集。
第二,數據傳輸階段。使用合適的加密算法對數據進行加密傳輸,其中主要用到的是對稱加密算法和非對稱加密算法。“對稱加密算法”(又稱“私鑰加密算法”或“傳統密碼算法”),指加密和解密使用相同密鑰的加密算法,也就是加密密鑰能夠從解密密鑰中推算出來,同時解密密鑰也可以從加密密鑰中推算出來。目前主要的對稱加密算法有DES、IDEA、AES、SM1(國密算法)等。“非對稱加密算法”需要一對密鑰,即公開密鑰(public key)和私有密鑰(private key)。公開密鑰與私有密鑰是一對,用公開密鑰對數據進行加密 , 只有對應的私有密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法稱為非對稱加密算法。常用的非對稱加密算法有RSA、ECC、SM2(國密算法)。
第三,數據存儲階段。制定存儲介質標準和存儲系統的安全防護是重要標準。存儲介質標準需要覆蓋存儲介質的定義和質量、存儲介質的收發運輸、存儲介質的使用記錄及管理以及存儲介質維修規范的制定。對存儲系統的安全防護,需要包括數據備份、歸檔和恢復以及對存儲系統的弱點進行識別及維護。
第四,數據處理階段。明確數據脫敏的業務場景和統一使用適宜的脫敏技術,是數據處理的關鍵。在這一階段,不同場景使用不同的脫敏規則和方法,根據申請使用敏感信息的場景、申請人背景及情況,評估提供真實數據的必要性和脫敏技術的使用。
脫敏技術主要分為靜態脫敏和動態脫敏。靜態脫敏直接通過屏蔽、變形、替換、隨機、格式保留加密(FPE)和強加密算法(如AES)等多種脫敏算法,針對不同數據類型進行數據掩碼擾亂,并將脫敏后的數據按用戶需求,裝載至不同環境中。導出的數據是以脫敏后的形式存儲于外部存儲介質中,實際上已經改變了存儲的數據內容。動態脫敏通過精確解析SQL語句匹配脫敏條件。例如,訪問IP、MAC、數據庫用戶、客戶端工具、操作系統用戶、主機名、時間、影響行數等,在匹配成功后改寫查詢SQL或者攔截防護返回脫敏后的數據到應用端,從而實現敏感數據的脫敏,實際上存儲于生產庫的數據未發生任何變化。
第五,數據使用階段。要完善相應的安全保障機制、數據信任體系和手段。基于數據共享交換過程中存在的數據共享難、遺忘難、安全保障難等問題,秉承“數據可用不可見”“可用不可取”的安全理念,應用大數據可信執行環境、MPC、聯邦學習等多種隱私計算前沿技術,實現共享數據的所有權和使用權分離,保障多方數據聯合計算過程的可靠、可控和可溯。
第六,數據銷毀階段。結合場景保障銷毀技術的多樣性。根據不同的存儲介質和設備對應匹配不可逆的銷毀技術及流程,實現針對磁盤、光盤等各類數據存儲介質的不同銷毀技術及流程,建立銷毀監察機制,嚴防數據銷毀階段可能出現的數據泄露問題。
在建設數據全生命周期監管的過程中,為了實現監控和審計,數據分類分級是必不可少的。在這之前,我們需要通過數據測繪來發現敏感數據以及數據主要存儲的位置。對數據進行結構化分類分級,實現對數據資產安全進行敏感分級管理,并依據各級別部署相對應的數據安全策略,以保障數據資產全生命周期中數據的保密性、完整性、真實性和可用性。
INTERVIEW 05
本刊記者 :
新基建時代,數據安全工作應如何開展?
劉博 :
網絡安全企業應該具備體系化工程思維。網絡安全本身就是一個交叉行業,在國家倡導“新基建”的背景下,網絡安全企業應當參與到新基建項目的頂層規劃中,運用工程思維建設網絡能力,提升自身產品和服務水平,給各行業帶來安全力量,促進網絡安全向服務化轉型。網安企業應當成為新一代信息基礎設施的運營者,服務數字城市和數字社會的管理,保障數字經濟的安全平穩運行。
“安于責任,恒于創新”是安恒信息始終堅持的文化。依托多年積累的研究和行業經驗,未來將繼續圍繞“云、大、物、工、智”開發適用于“新基建”、新場景下的新一代網絡信息安全新產品,研發具備真正的城市級智能感知防護產品和全天候安全應急運營能力。以大數據安全、安全分析大腦、5G及物聯網安全和人工智能安全的研發為基礎,打造“新基建”安全中國樣板,同時服務政府和企業的數字化轉型。
數據安全是“新基建”中的基礎問題,從個人隱私、場景業務應用(比如工業互聯網)、數據流通等方面來看,保障數據安全十分關鍵。對此,應當建立完善的數據安全制度。
首先,應當根據業務使用場景、數據熟悉實施數據分類分級工作。建立數據分類分級組織,按照國家有關規定,建立數據安全分類分級規范,建立數據資產分類分級清單,根據數據分類分級結果設計相應的數據分析防護策略。
其次,做好數據安全頂層規劃,構建全生命周期的數據安全綜合防御體系,注重數據環境安全建設,保護網絡安全和物理安全等;加強在隱私保護核心技術上的投入,兼顧數據利用和隱私保護雙重需求。
為了保障數據安全,構建良好的行業發展生態,劉博表示應當樹立新的觀念,明確數據安全建設將會轉變為“數據安全工程”建設,充分認識數據安全工程的重要性、復雜性,以工程化思維做好數據安全頂層規劃。
具體而言,可以圍繞以下幾個方面展開:第一,構建數據安全責任體系,明確企業安全責任主體和各級政府管理責任;第二,加強態勢感知、測試評估、預警處置等數據安全能力建設,實現閉環管理,全面保障數據安全;第三,國家和地方出臺數據安全策略,聯合各數據監管單位,摒棄傳統的以單位內部管理為核心的安全管理理念,上升到區域公共數據管理組織為核心的理念,形成“行業、區域一盤棋一體化”的管理局面;第四,大數據監管部門與數安全企業成立“市場化數據安全運營中心”,通過“頂層設計、健全管理、創新技術、聯動運營、夯實基礎”的規劃思路,形成具有主動防御、聯動運營能力的數據安全保障體系;第五,加大數據安全測評技術研發,構建合理的數據安全測評方法,并成立專門的數據安全測評機構。
希望國家和相關數據監管部門能夠跟進數據安全工程與數字化經濟共贏發展模式的課題研究,重點研究數據作為生產要素的主要特征,探索以數據為關鍵要素的數字經濟發展路徑和模式,提出數據安全工程與數字化經濟的共贏模式,為數據產業提供頂層指導。
