密码在工业数据安全领域的应用研究报告
面向“十四五”,迎接数字时代,激活数据要素潜能,应统筹发展和安全,加强数据安全保护,打造数字经济新优势。数据安全作为产业数字化和数字产业化发展基石,已成为国家顶层规划以及各行业建设的重点内容。尤其在工业数据保护中,据《中华人民共和国2021年国民经济和社会发展统计公报》第二产业增加值450904亿元,第二产业增加值占国内生产总值比重为39.4%,工业占比33%。在《密码法》《数据安全法》《个人信息保护法》和《工业和信息化领域数据安全管理办法(试行)》等新的合规要求下,工业数据安全产业迎来发展新机遇,进入黄金发展期。
随着云计算、移动互联网、物联网和大数据等新技术的蓬勃发展,数据高效共享导致原有安全边界被“打破”,以防火墙、杀毒软件和入侵检测“老三样”为代表的传统数据安全产品的边界式防护受到严峻挑战。数据安全领域急切需要转变思路,采取由从“防漏洞、补漏洞”的应对式防护,转化到“为数据访问重建安全规则”的主动式防护的安全防护技术。目前,可采取的数据安全重点技术可包括:1、数据加密技术:传统加密技术的效率、强度、灵活性等无法满足多变的业务需求。因此,一方面,随着数据共享流通场景保护需求的不断增加,数据加密技术从静态数据加密向动态数据加密扩展。另一方面,数据加密技术因新兴领域的需求不断演进,产生深度融合发展。2、数据脱敏技术:目前来看,数据脱敏技术应用模式成熟,随着对数据开发利用需求的不断增长,数据脱敏技术的应用将更加广泛。数据脱敏技术分为静态脱敏和动态脱敏两种应用模式。随着数据高速共享流转,动态脱敏成为用户重点关注的应用技术。3、数据识别技术:传统的数据识别技术对于非结构化数据难以适用,对于结构化数据也无法满足日益复杂的识别需求。在此需求驱动下,引入机器学习和自然语言处理等技术,可以在一定程度上自动生成识别规则,解决上述难题。目前常用的模型算法包括HMM模型、CRF模型、BiLSTM模型和BiLSTM-CRF模型等,但各类模型的运算开销比较大,还不能满足大规模应用的需要,算法的成熟度以及准确度也有待提升。4、数据标记技术:数据标记技术是指对需要保护的数据增加标记信息,是实现数据分类分级安全防护的基础。目前,数据标记技术处于探索研究阶段,产业界运用的数据标记技术也并不是一种特有的技术,而是将能够实现类似效果的技术应用到实际业务场景中,一般可以分为分离式和嵌入式两类。5、数字水印技术和隐私技术:一方面,数字水印技术已经逐渐由传统的理论研究阶段发展到实际应用阶段,且为了增加其安全性,常与密码学相结合。另一方面,随着隐私计算应用范围渐广,各类隐私计算技术之间出现相互融合的趋势。例如,联邦学习技术架构的底层往往会使用不经意传输、秘密分享等安全多方计算技术,以及同态加密技术、差分隐私技术,以确保各方数据交换过程中的隐私性。数据安全已成为事关国家安全与经济社会发展的重大问题。近年来,国家高度重视安全建设,统筹发展和安全,推进行业数据安全保障能力提升,构建起坚实有力的安全法律屏障,形成了《网络安全法》《密码法》《数据安全法》和《个人信息保护法》“四法共治”的新局面,使得合规监管权责更鲜明、制度更健全、技术更创新。 受益于互联网核心技术的快速演进、数据经济的蓬勃发展以及政策因素的导向作用,国内数据安全厂商在传统产品领域将更多的新技术与原有产品进行融合,数据安全产品和服务在政务、金融、交通、教育、工业互联网、电信等领域的应用程度逐渐升高,数据安全市场逐步走向成熟。同时,政务、金融、交通等行业均出台政策,加速数据安全建设。《国务院办公厅关于印发全国一体化政务服务平台移动端建设指南的通知》(国办函〔2021〕105号)提出,加强对重要政务数据、敏感个人信息的保护,确保政务数据和数据信息安全。《个人金融信息保护技术规范》《互联网信息服务管理办法(修订草案征求意见稿)》《工业和信息化部关于加强车联网数据安全和数据安全工作的通知》(工信部网安〔2021〕134号)《国家医疗保障局关于印发加强数据安全和数据保护工作指导意见的通知》(医保发〔2021〕23号)和《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)等均要求加强数据安全保护。数据安全国家标准相继出台,有力支撑相关法律法规的落地实施。2016年,全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”)成立大数据安全标准化特别工作组,正式启动了数据安全相关国家标准研制工作。目前,TC260已发布数据安全和个人信息保护标准9项,在研标准22项。已发布标准涉及大数据服务安全、政务信息共享、个人信息安全等多个重要标准化方向。国内厂商在数据安全技术领域不断取得进步,部分达到甚至超越国际水平;数据监控和审计产品中融合大数据技术,使得大规模审计数据的存储查询性能得以成倍提升;数据安全保护与人工智能技术相结合,在数据分类分级、自动编排、事件剧本等领域实现了自动化响应与处理,大大提高了数据的自主化、智能化安全管理水平。同时,数据保护与用户行为分析技术相结合,配合纵深防御技术,分析用户、设备、应用程序的日常行为,实现数据流动过程中的可视、可监、可控、可管。随着数据本身及其附加价值越来越高,数据在其全生命周期中面临的问题和风险也越来越严重。为了支撑监管部门履行职责,国内众多从事数据安全业务的厂商开展了数据安全评估与监管技术的研究,先后推出了数据安全风险评估系统、数据资产梳理系统和数据安全监管平台。大数据时代,数据的产生、流通和应用变得空前密集。分布式计算存储架构、数据深度发掘及可视化等新型技术、需求和应用场景大大提升了数据资源的存储规模和处理能力,也给安全防护工作带来了巨大的挑战。数据安全来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在工业基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。面对数据在各环节面临的诸多泄露威胁与安全挑战,如何保障数据全生命周期安全成为技术防护痛点。工业系统安全边界模糊或引入更多未知漏洞,分布式节点之间和大数据相关组件之间的通信安全薄弱性明显。分布式数据资源池汇集大量用户数据,用户数据隔离困难,数据存储与数据安全技术如何齐驱并进,两手同时抓成为建设难点。传统密码产品开发改造应用的密码集成模式门槛高、周期长、风险大,用户面临“不好用、不能用、用不好”的难题。一是不好用,密码产品易用性不足,集成和技术门槛高,缺乏密码中间件,复用低。二是不能用,商用密码算法实现效率低,密码技术部署在应用系统,严重影响业务运行效率,对于国外密码算法仍然无法等效替换,且无法覆盖全部使用场景。三是用不好,为应用系统叠加密码技术增强安全能力,需要大量开发改造应用,成本高、风险大、周期长,且无法与业务完全融合。如何让密码技术“好用、能用、用好”成为重点。密码作为数据安全的核心技术手段,面临复杂挑战。数字化生活、工业互联网、工业大数据等新技术新业务新领域创造出多样的数据应用场景,使得数据安全防护实际情境更为复杂多变。如何保护数据的机密性、完整性、可用性、可信性、安全性等问题更加突出和关键。建议从“需求导向”和“可落地性”的角度,主要从数据安全产业顶层规划、制度完善、财税政策、技术发展方向、市场环境、人才培养等方面,促进我国数据安全产业发展。(一)鼓励打造国家级工业数据安全区域示范产业园或工程项目建立数据安全示范产业园区,推出众多优惠政策吸引企业入驻,打造数据安全应用示范集聚效应。抓住跨境数据保护节点,建立数据安全发展格局。协同数据安全应用需求供给,遴选、推广典型行业场景方案。攻坚数据安全核心技术,以创新性应用加速深融新兴产业。支持数据安全企业深研,以填补空白式创新,实现高端迈进。支持有关领军企业和大型综合性企业发展,相关企业需发挥好“领头羊”作用,积极布局数据安全创新与产业发展,鼓励组织引领数据安全产业的正向发展。从政策上改进为倾向创新结果导向的评审机制,让民企参与者在市场参与资格上享有平等地位。同时,让民企能获得十四五数据安全重大专项的信息权、参与权,并结合《招标投标法》等已有政策,针对数据安全产品采购进一步强化扶持政策,让中小民营企业在数据安全项目投标中可以获得倾向性加分项,实质改善当前民营企业的市场弱势地位。从财政优惠上,针对创新数据安全企业进行不同优惠梯度的税收优惠扶持,为期十年。针对数据安全创新企业的判别标准,可结合技术应用推广范围、具有公信力的技术创新奖项、发明专利数量与质量等多项指标综合判定。国家关于数据安全的顶层规划、法律政策等较为完善,但需进一步加强各类发展战略和法律法规在各省、自治区、直辖市以及各行业,尤其是工业数据领域的落地应用。在各地区、各行业中出台“数据安全管理条例”等行政法规,完善相关数据安全应用与安全性评估建,完善国标、行标体系;成立数据安全专职管理部门,明确监管职责并落实到人,建立畅通的数据安全政企渠道,强化数据安全评估执法检查,多维度推动数据安全体系建设。加大数据安全专业人才以及工业数据安全复合型人才培养力度,建立健全人才激励机制;大幅提高国家信息化建设中数据安全投入比重,扩大数据安全产业规模;鼓励数据安全技术创新,适应信息化新技术、新应用、新业态的发展趋势;支持依法建立全国性数据安全行业协会,为数据安全从业单位提供信息、技术、培训等服务,确保数据安全产业高质量发展。
(供稿单位:北京炼石网络技术有限公司)
京ICP备16012549号 Copyright © CipherGateway. 版权所有
