在此背景下,通過數據加密、數據脫敏、數據防泄露、數據追蹤溯源以及數據庫安全防范等技術手段保護個人隱私,保障數據完整性、保密性和可用性的需求凸顯。同時,世界主要國家也在積極研究突破核心技術,探索構建數據安全技術解決方案。基于此,本文將通過研究梳理國內外數據安全技術手段發展現狀,分析總結存在的問題,并提出對策建議,以期提升我國數據安全技術保障能力,降低數據安全風險。
我國數據安全技術發展現狀
第一,敏感數據識別技術向智能化發展,企業探索部署數據安全防泄露工具。
敏感數據識別技術作為數據防泄露、數據分級分類管控和敏感數據加密等數據安全防護技術的基礎受到國內外高度重視。一是在傳統的關鍵字識別基礎上,相關企業通過引入規則匹配、自然語言處理等技術擴大識別范圍,提高識別精度。二是結合聚類分析等機器學習技術,通過大數據的累積訓練提升敏感數據識別的智能化程度。在此基礎上,國內外各企業積極探索實踐,針對數據的使用、存儲、傳輸等數據泄露高風險階段,以敏感數據識別技術為核心研發數據安全防泄露產品,通過部署在企業數據流動的關鍵節點,實現對數據泄露行為的泄露預警發現和攔截處置。例如Forcepoint等外國企業已經將數據安全防泄露產品商業化,形成了一套覆蓋網絡和終端的企業數據防泄露組件;我國各大安全廠商積極研究數據防泄露技術手段,布局數據防泄露市場,2017年我國數據泄露防護市場規模達到7.8億元,同比增長25.3%,2020年將超過14.7億元。
第二,結構化數據庫事前、事中、事后全流程安全保障技術體系成熟,非結構化數據庫安全防護手段單一。
數據庫根據存儲架構、存儲數據類型不同,主要分為結構化數據庫和非結構化數據庫兩種。在結構化數據庫安全方面,構建以事前評估加固、事中安全管控和事后分析追責3種方式為主的安全防護體系。其中,事前評估加固主要采用數據庫漏洞掃描技術,事中安全管控主要采用數據庫防火墻及數據加密、脫敏技術,事后分析追責主要采用數據庫審計技術。例如華為云數據庫安全服務建立了以數據庫防火墻、數據庫安全審計等技術為核心的商用數據庫安全體系,截至目前,華為已經為100余家企業提供該安全服務,保障數據庫安全。
在非機構化數據庫安全防護方面,由于其數據類型的多樣性,目前各企業尚無典型有效的安全防護技術,主要從網絡、存儲、終端3方面部署數據防泄露、防病毒等相關產品,保障非結構化數據安全。
第三,數據追蹤溯源技術處于研究發展階段,大規模應用實踐尚未開展。
國內外企業聚焦數據水印和數據血緣追蹤技術進行探索研究,提升數據安全事件溯源處置的能力,降低安全風險。一是數字水印技術,其技術實現原理是在不影響數據讀取和應用的前提下,將數據水印通過信息處理嵌入到數據內容中,實現對數據的標記與追蹤。目前數字水印技術因其對處理資源和存儲資源的高占用、高依賴,多適用于相對穩定的小型數據集,無法大規模應用于云計算、大數據等大量數據匯聚的場景。二是數據血緣追蹤技術,主要技術原理是通過建立數據血緣圖譜,對數據流轉過程進行實時記錄,追蹤分析數據安全事件的原因,降低安全風險。目前該技術正處在研究驗證階段,僅阿里、順豐等部分企業探索應用,產業化應用尚不成熟。
第四,數據加密技術分場景細化發展,新型加密手段逐漸涌現。
數據加密技術作為最基本、有效的數據安全防護技術,得到廣泛應用,根據應用場景和加密方式的不同,分為可逆加密和不可逆加密兩種。一是可逆加密,對數據通過特定算法加密后變成密文,只有通過相應密鑰才能將密文解密成明文。在網絡支付中的數字證書、日常文件加密等均采用可逆加密技術。二是不可逆加密,經過不可逆加密算法處理的數據無法恢復出明文,只能利用同一算法對相同數據再次加密,比對密文進行驗證。例如防止數據惡意篡改的數字指紋、Unix系統的登錄認證等均采用不可逆加密技術。與此同時,隨著云計算、量子計算等新興技術的發展以及計算機處理速度的提升,傳統加密算法的效率與強度逐漸難以滿足業務需求,被破解失效的風險日益升高。
在此背景下,各國積極開展數據加密技術的研究工作,量子加密、后量子加密等新型加密算法被不斷提出,以適應未來數據安全發展需要。例如美國QuantumXchange公司正嘗試運用量子加密技術在美國東北部建設量子加密網絡,以期為華爾街銀行和其他企業提供服務;德國infineon公司已經將后量子密碼技術應用到非接觸式安全芯片上,以應對未來量子計算對傳統加密算法的威脅。此外,各國高度重視新興密碼技術專利的申請,截至2017年,美國、歐盟和日本分別獲得220件、127件以及265件量子密碼相關專利。
第五,數據脫敏成為個人信息保護重點技術手段,國內外企業加強數據匿名化技術研究應用。
為平衡個人隱私保護和業務發展,各企業大力發展數據脫敏技術和匿名化技術。一是根據業務場景及需求,差異化應用數據脫敏技術方案。在保密場景下,使用加密技術對數據進行脫敏,有效保護個人數據。在群體信息統計場景下,使用數據失真技術,實現個人信息去標識化,同時輸出統計結果數據。在數據可逆需求場景下,采用位置變換、表映射等方式實現數據脫敏,最大限度保障數據的可用性。二是利用數據匿名化技術實現有條件地發布數據,防止用戶敏感數據的泄露。匿名化技術是指根據特定算法對數據進行變換,在保證數據可用性的同時確保數據無法定位到個人且無法還原,從而達到保護個體隱私信息的目的。目前匿名化技術主要包括差分隱私、K匿名等。近年來,數據匿名化技術得到業界廣泛關注并在數據交換、數據分析等環節初步開展應用。例如在國際方面,蘋果公司已經在搜索預測等方面應用差分隱私技術;在國內方面,阿里巴巴的數據匿名化技術也已獲得較大進展。
我國數據安全技術面臨四大難題
第一,法律法規要求不明確,技術手段研發推動力不足。
當前,我國數據安全管理體系初步建立,《中華人民共和國網絡安全法》和《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第24號)等法律法規提出數據安全和個人信息保護原則性要求,但尚未明確技術手段建設的具體要求與處罰規則,無法有效推動企業開展數據安全技術手段的研發與應用。部分企業礙于運營成本和系統性能等因素,數據安全技術手段投入較少,數據安全技術研發與應用相對滯后,分級分類、權限管理等部分管理要求難以真正落地實施,繼而影響企業整體數據安全保障能力。
第二,國家標準規范尚未制定出臺,企業缺乏實施指引。
目前,我國數據安全技術相關國家標準和行業標準出臺較少,無法對企業形成有效指引。在數據加密、數據脫敏方面,對于數據脫敏的方法、流程以及效果等均尚未形成統一標準,各企業理解存在較大偏差,數據安全技術手段應用落地效果無法保障。在數據分級分類方面,國家和行業均未形成分級分類目錄指引,企業自行制定分級分類規則,科學性、合理性無法保障。
第三,數據安全技術起步研發較晚,部分技術尚不具備落地應用條件。
隨著數字經濟的發展,數據處理場景顯著增多,數據處理量級明顯提高,傳統的網絡安全技術已無法滿足當前數據量巨大、數據更新速度極快的場景。數據安全技術作為新興技術領域,發展時間尚短,部分技術手段與解決方案正處在研究發展階段,缺乏應用實踐,無法有效保障數據安全。例如數字血緣追蹤技術、數據字段打標簽技術等目前尚不成熟,對業務運營的影響有待進一步研究,大規模落地應用尚需時日。
第四,現有系統龐雜,數據安全技術改造落地難度較大。
我國數據安全管理起步較晚,目前大部分企業面臨存量業務系統數據安全改造的難題。一是數據資產梳理難度較大。前期企業內部各業務系統數據字段名稱不統一,數據類型繁雜、數量龐大,數據資產梳理作為數據安全技術手段建設的基礎工作難以有效開展。二是影響業務現有系統性能,加大企業投入。數據加解密、脫敏等技術,一定程度占用系統資源,影響系統性能和用戶體驗,進行數據安全技術改造需要升級硬件設備,增加企業成本投入。三是影響業務系統運行風險較高。數據安全防護技術的改造往往伴隨著核心系統的改造,難度較高,風險較大。同時,數據安全技術改造屬于新興技術領域,目前企業可參考的成熟技術方案及實踐案例較少,企業顧慮較大。
對策建議
第一,加快出臺數據安全法律法規,明確提出數據安全技術手段應用要求。
一方面,建議加快推動《數據安全法》《個人信息保護法》《數據安全管理辦法》和《數據出境安全評估辦法》等相關法律法規的制定出臺,構建我國數據安全管理體系,明確企業數據安全技術手段建設的責任和義務。另一方面,在數據分級分類、數據加密、個人信息去標識化等重點領域加快起草制定相關標準規范,細化明確分級分類規則、加密算法強度、去標識化算法及應用場景等,為技術產品研發提供支撐。
第二,研究提出數據安全技術手段總體視圖與市場報告,促進數據安全技術產業健康發展。
建議開展數據安全技術體系研究,形成具有共識性的數據安全技術產品體系總體視圖,明確數據安全技術防護手段的方式、類型、性能以及應用場景、適用范圍等,指引需求側企業開展數據安全技術能力建設,增強數據安全綜合保障能力。同時,發布數據安全技術產品市場報告,涵蓋我國數據安全技術產品供需關系情況、成熟度情況、技術薄弱環節等,支撐供給側企業開展數據安全技術手段研發投入,促進市場良性發展。
第三,倡導數據安全“產學研”相結合,鼓勵數據安全新技術的研發應用。
鼓勵高校、科研院所和企業聯合開展數據安全技術研發深度交流合作,通過組建技術發展聯盟、成立聯合實驗室等方式,合力推進數據資產盤查、數據特征值提取、數據加密、數據匿名化、數據血緣追蹤以及數據防泄露等數據安全技術的研究。同時,對于新型數據安全技術研發成果,積極開展試點應用工作。在完善產品性能的同時,加速成果轉化與落地應用,切實提高我國企業數據安全防護能力。
