数字时代的数据安全观

2021-03-05 10:07:44 浏览数 (1)

进入21世纪,由大数据、云计算、物联网和人工智能驱动的新一轮的全球科技变革已经成为现实,数据在其中扮演着虚拟能源的角色,发挥着越来越大的价值。高速发展的信息技术使数据的开发成为可能,在AI、LBS、区块链等生产力技术的加工之下,数据迸发出了巨大的能量,数据已成为推动产业发展的最重要的新增生产要素,真正成为了创造经济财富的数字能源。

在十四五规划肇始的2021年展望未来十年,通过数字产业化和产业数字化推动数字经济和实体经济深度融合,是推动中国迈向现代化经济体,实现经济实力、科技实力、综合国力大幅跃升的必由之路。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中,也围绕“安全”作出系统部署,指出要统筹发展和安全,坚持总体国家安全观,防范和化解影响我国现代化进程的各种风险。

数字时代的价值人所共知,然而如何认识、驾驭并在确保安全的前提下利用其创造价值,是从企业到产业再到全社会必须要面对的挑战。也正因为此,数字时代的数据生产观与数据安全观,如同硬币的两面,同为一体,必须同时强调。我们也希望通过此篇文章,浅析在数字时代中应当建设的数据安全观,为产业互联网构建稳固的安全底座。

01

从资源到资产——数据的价值增益

现代经济体系中,石油、煤炭等实体资产本身就是财富。但数据只是无数个二进制代码,本身不具备经济价值。促使其实现向创造价值的资产转换的关键在于数据使用的理论与技术。日渐成熟的人工智能、5G、物联网、机器人、区块链等数字技术,不断进化的算法与技术理论,扮演了这一价值生产力的角色。

可喜的是,中国是一个数字化应用大国,也是一个数字技术大国,广袤的市场和应用场景、在摆脱“稀缺”“边际递减效应”掣肘的数据资源层面上,是真正的“地大数博”。从数据资源向数据资产转化从而创造财富的事例,在产业互联网的实践中,已经随处可见。

在以往的政府信息化项目中,受预算限制,政府官网或者公众号仅起到政务信息告知的作用,距离“数据资产”的流通与增值还很远。近年来广东兴建的数字政务系统则指向了数字资产的连通,实现了数十个部门、上百个系统数据的全面连接,基于一部手机搭建了一整套应用服务,扩展出粤省事(注册用户过亿)、粤商通(日活500万)、广东政务服务网(注册用户近千万)等多种信息化服务新模式,在“善政”“惠民”“兴业”三个维度上都取得了亮眼的成绩。最重要的是,数字广东的巨大成功,向我们证明了政府、医疗、教育、金融等主体中沉淀的数据可以转化为资产,对国家、社会和人民发挥重大的价值增益作用。

这种从资源到资产的价值增益应用在医疗场景中,能够成为人类对抗疾病的强大助手。以腾讯觅影为例,这套医学影像AI系统已经能够完成图像辅助采集、阅片、输出报告等工作。例如,通过助力筛查人员进行眼底图像采集,利用AI技术对图像进行质控,AI系统使得护士、技师和其他非专科人员也能完成高质量的眼底图像采集;通过 AI自动阅片,眼科医生确认AI结果即可完成读片工作,“腾讯觅影”让医生的阅片工作效率大幅提升;最后,凝聚多中心数据资源的“腾讯觅影”还能输出专业的评估报告,支持对30多种眼底疾病进行患病风险评估,为专业眼科医生提供帮助。除了专业维度的提升,通信网络技术的应用也能消弭城乡地域的距离,通过远程诊疗、AI自动智能分析等,帮助医疗资源匮乏的地区享受高水平的医疗服务。

02

顶层保障——完善的法律法规体系建设

针对数字时代的全面到来,围绕建设网络强国的目标,国家层面正在逐步、有序推进和完善各项顶层规制的建设:党的十八大以来,为更好地保障互联网、数字化的深入,中央设立了中央网络安全和信息化领导小组,习总书记亲自担任组长;国家成立国家互联网信息办公室,全面负责互联网信息内容管理工作,并负责监督管理执法;各项互联网相关法律法规的制定也进入了快车道,一个相对完善的法律法规体系已经初步建立了起来。

与传统领域相比,产业数字化的安全性与法律、法规、政策及政府的指导部署有更高的相关性。

第一,政策的部署对于数字产业的网络安全和产业安全具有极强的驱动作用。通俗地讲,政策部署可以理解为“为行业制定安全KPI”,从本质上来说,安全的核心目标就是攻防与合规。

第二,明确了国家安全是网络安全与产业安全的最高目标。安全是牵一发而动全身的系统工程,需要紧密围绕国家战略发展目标,满足国家战略需求,建立适度超前的大国网络安全防护能力与体系。此外,“道魔相长”,黑客攻击的破坏性不断上升,也使得网络安全与产业安全投入在金融、能源、电力、交通等基础设施领域关键信息安全防护中发挥更关键的作用。

第三,网络安全与产业安全正在成为国家规范和推动各个产业发展的有效抓手。

03

建设数字时代的产业安全战略观

随着互联网主战场从消费互联网转到产业互联网,网络安全形势也在发生重大变化。从安全影响上说,出现了两个新的特性:第一是安全威胁的突发性更强、破坏性更大,尤其在涉及国计民生的产业领域,一旦遭遇网络攻击,可能造成极大的社会影响和经济损失;第二是安全价值升维,安全不仅能帮助企业“降本”,还能显著“增效”,已成为数字时代企业核心竞争力的一部分,这在金融、零售等领域最为明显。从工作任务上说,安全主体从以人为中心到以产业为中心,安全形态从以合规导向的安全集成到数据资产的原生安全,安全思维从被动防御到主动规划。

数据安全观的重塑,因此显得十分紧迫。总的说来,产业互联网时代的安全建设,首先需要企业、产业、社会三个层面的密切协同。

企业层面,需要建立“产业安全战略观”,从企业经营战略的角度切入,改变过去被动防御的传统安全思维,做好主动规划和安全管理,全面构建企业安全免疫系统。安全不再只是CTO、CIO们的职责,也需要来自CEO的战略级关注。

产业层面,需要协力探索生态和协同防御机制。行业领导者应该以技术和影响力为牵引,吸引生态中的安全建设力量,共同探讨产业互联网背景下的安全产业趋势,达成“生态资源共享、能力互补、生态共建”全新合作机制,推动构建敏捷协同的安全生态,携手为企业提供更全面可靠的安全解决方案及服务,共同承担产业互联网安全发展责任。

社会层面,在政策上,需要加速制定产业安全的定义、标准与边界,明确各方的责任与权力,并制定较长时间内的产业安全发展规划;在舆论上,应当推动普遍共识的达成,调动多方资源,推动共识向各层面渗透,最终加强全社会的数字资产安全意识。

04

重视数据安全和业务安全建设

在企业、产业、社会三个层面的协同之下,还需要明确产业互联网时代安全的新任务。新任务集中体现在数据安全与业务安全两个方面,其中数据是核心,而在更复杂的业务场景中,身份管理则是安全的最大变量。

数据安全,重在全生命周期管理。对于企业防护而言,数据资产全生命周期防护关键点是在数据的产生、流动、存储、使用及销毁过程中应用加密技术进行保护,并进行细粒度的身份认证和访问控制。然而,企业在落实密码应用策略方面存在难点和挑战。

  • 一是数据的分类和治理策略,明确哪些数据需要加密,如何进行分类管理,这是进行有效数据安全防护的基础;
  • 二是如何在数据存储、使用、传输中透明地应用合规的加密策略,如传输加密、存储加密等;
  • 三是在这些加密应用中如何保障密钥的安全与管理,确保密钥被安全的地创建、管理、分发、更新或销毁等;
  • 四是异常事件的监测和分析。

面对数据泄露带来的挑战,我国正加快在数据安全领域、密码应用规范及密码立法的步伐,与数据安全保护相关的法律法规相继出台。例如2019年5月网络安全等级保护条例2.0正式发布,明确了密码评测的重要性;10月《密码法》正式发布,旨在通过约束密码应用规范,来落实关键数据的保护策略。

在此背景下,企业安全架构将进一步朝以数据为中心“Data-Centric”的防护策略发展。在这方面,大型云厂商的安全能力显示了对于生态的砥柱价值。举例来说,腾讯安全推出的数据全生命周期保护体系,能够具备数据安全治理中心、数据加密服务、密钥管理系统、平局管理系统、数据安全审计、堡垒机和敏感数据处理等七大产品体系能够针对性地在数据全生命周期的每一个阶段提供完整全面的防护,帮助用户客户数据安全防护的四个难题,助力企业快速构建数据安全防线。

  • 首先,是数据的分类治理和策略管理。通过数据安全治理中心对数据资产感知与风险识别,为企业云上敏感数据进行定位与分类分级,并帮助企业针对风险问题来设置数据安全策略,提高防护措施有效性。
  • 其次,是数据保护技术。前不久《密码法》颁布,对于不少行业而言,应用加密技术保护数据已然成为刚需。腾讯安全利用虚拟化技术,提供弹性、高可用、高性能的数据加解密等云上数据安全服务可以满足金融、互联网等行业加密需求,保障企业业务数据隐私安全。
  • 第三,是密钥管理。在应用加密技术之后,数据安全问题也就转化成了密钥的安全问题,如何保护密钥的安全也因此成了一大难点。腾讯云密钥管理系统(Key Management Service,KMS)可以帮助企业轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足企业多应用、多业务的密钥管理需求,并符合监管和合规要求。
  • 第四,是事件监测分析。数据安全不仅是技术问题,更是管理问题。企业遭遇“内鬼”泄密的案例已屡见不鲜。对此,腾讯安全在运维审计和数据库审计双重发力,能及时发现每一条异常行为。

业务安全,重在构建云原生安全能力。随着数字化转型的深入,用户有越来越多的业务依托公有云承载,公有云在带来便利与效率的同时,也对用户安全体系提出了挑战。

近年来,我国的公有云市场发展迅猛,根据中国信通院的《云计算发展白皮书(2020年)》,2019年我国公有云市场规模首次超过私有云。但云的广泛应用,也带来了新的安全风险。《2019云安全威胁报告》显示:与传统攻击路径相比,云资源攻击表现出更为多元、复杂和脆弱的特性。也就是说,攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击,也能在进入云平台后通过横向迁移获取更多租户资源和数据。根据国家计算机网络应急技术处理协调中心统计,我国云平台遭受DDoS攻击次数占境内目标被攻击次数的74.0%、被植入后门链接数量占境内全部被植入后门链接数量的86.3%、被篡改网页数量占境内被篡改网页数量的87.9%。

作为诞生于云时代的技术理念,云原生是一种包含容器、服务网格、微服务等核心元素的IT部署模式,从技术理念、核心架构、最佳实践等方面,帮助企业IT平滑、快速、渐进式地落地上云之路。

云平台安全原生化和云安全产品原生化,对于全面、直接解决云时代的安全痛点有着无法比拟的优势。安全原生化的云平台,主要指将安全融入云平台从设计到运营的整个过程中,向用户交付更安全的云服务;原生化的云安全产品则能够内嵌融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。云原生安全作为一种新兴的安全理念,并不是只解决云原生技术带来的安全问题,而是强调以原生的思维构建云安全,推动安全与云计算深度融合。

云原生安全能力将为企业的安全建设带来全面变化。企业可以全面调整当前复杂且碎片化的安全策略,基于云环境实现统一身份管理、统一网络连接、统一主机安全与统一全局管理。

2020年,第127届广交会首次在云端举办,两万六千多家企业“云商参展”,10天之内24小时不间断直播。腾讯安全依托公有云为“云上广交会”提供了安全重保服务,累计拦截超百万次各类安全攻击、图片/文本/音频风险检测数近十亿,最终确保0安全风险,0安全事故。基于云上广交会的重保经验和其它政务安全建设的实践,腾讯安全构建了一套云原生的政务安全大脑解决方案,助力构建新一代数字政府智能化安全体系,并能原生实现安全管理能力提升、针对核心资产的一体化漏洞威胁感知、智能化运维能力。

结语

在消费领域,中国ToC网络零售占比早已经超过美国。但是,在企业信息化服务领域,中国的云服务企业渗透率上仅为21%,而美国则高达55%-63%。可见,当前中国互联网的主体用户是消费个体,而非互联网强国的企业群体。

在十四五规划中,通过强化国家战略科技力量、提升企业技术创新能力、激发人才创新活力和完善科技创新体制机制,将会继续推动我国强化数字时代的技术储备、应用普及程度以及在关键技术领域的国际竞争力。在这个进程中,由企业到产业再到社会的数字化升级将会成为主轴,而掌握先发优势的企业,也可以获得一个ToB数字化的巨大新兴市场。

我们已经身处于全面数字化历史进程中,对政府、企业和个体来说,这已经不是一道试卷上的选择题,唯有顺应数字时代,重视数据资产、拥抱数字变革、巩固数据安全,对企业进行全面、立体的数字化改革,才能尽快融入到数字资产生产与价值创造的洪流中。

0 人点赞