浅谈“大数据防疫”下的数据安全与密码应用


2020-3-19 10:13来源:移动支付网    作者:李永明

截至2月底,国内疫情趋于平缓,确诊病例、疑似病例等数据都在小幅增长,绝大部分省份已经连续一周以上没有新增,很多城市也迎来了复工复产大潮。虽不能说“战疫“胜利,但至少在党中央的领导下,新冠疫情在我国得到了有效控制。不管是响应的速度、采取的措施,还是所取得的效果,不仅仅赢得了国内民众的拥护,同样也得到了国际社会的认可。不过最近国外情况却变得越来越糟,通过各方媒体报道,在西亚、东亚和美国等国家,情况变得十分严重,也改变了我们最早对这个病毒的认识。对此,或许我国在防控工作的很多经验他们可以借鉴。

一.“大数据防疫”战

从IT从业者的角度来看,过去数年信息技术的发展与应用普及在一定程度上对“疫情“防控起到了积极的作用,尤其是大数据、人工智能等先进技术,在人员定位、体温筛查、智能生产、供应链管理、预警分析等方面都为政府监管、医疗分析、社区管理、企业生产等提供极大的便利。比如几家国内云服务头部企业,充分发挥自身优势,为湖北医院提供信息整合、资源调度、疫情排查、关怀服务等应用平台和数据服务;浙江市民健康码已经在杭州先期落地;北京海淀的”城市大脑疫情预警系统“已经上线;由钟南山院士联合相关企业成立了”大数据及人工智能实验室“,在流行病筛查、人工智能医学影像、疫情预测预警等方面进行深入研究;2月10日晚的新闻联播用了5分23秒专题报道各地大数据、人工智能在防疫战中的应用,点评“在这场没有硝烟的战役中,大数据是克敌制敌的法宝”。本次大数据在疫情防控的例子还有很多很多,大数据应用的价值凸显无疑,甚至有媒体直接称之为”大数据防疫“。

近日,中国工程院院士邬贺铨院士对大数据在疫情防控中的应用进行了分析,除了积极的一面,也提出了很多问题需要我们思考:第一,数据源不足,如医院床位等数据未联网;第二,数据需要融合,跨部门的大数据协调能力正在接受考验;第三,个人隐私保护问题。前两个问题是数据准备、模型建立和能力训练的过程,是在应用过程中不断发展和完善的,而邬院士提出个人隐私保护问题,则是从大数据建立之初就要引起重视的问题。

二.数据安全分析

数据安全之所以重要,是因为数据是信息系统的核心,随着信息化的发展,数据又逐渐成为企业的核心资产,在大数据时代,数据已经关系到国家经济发展,数据安全已经成为国家安全战略的一部分。从数据安全防护措施角度分析,数据安全可以分为四个阶段。

图表1数据安全发展阶段

我们国家的信息时代比西方国家起步稍晚,从上世纪八十年代开始,而互联网要从九十年代才进入大众的生活,进入二十一世纪,电子商务开始发展,数据安全也就在这个时期开始引起人们的重视,频发的数据安全泄露事件、个人隐私数据买卖、新兴的互联网诈骗影响到每一个人,慢慢的也影响到企事业单位生产安全,甚至开始危及国家安全。进入“大数据时期”,数据安全重要性被提升到一个新的高度,我国在“十三五规划”中明确提出了实施“国家大数据战略”,其安全性不言而喻。

在数据及应用发展的不同阶段,数据安全一直是永恒的话题,就像人类历史一直不缺少爱情故事一样。启蒙阶段,信息技术还并未对我们的生活产生过多的影响,信息系统管理的数据也就显得不那么重要,简单的隔离保护和备份已经足够。数据应用进入发展阶段后,数据作为一种资产,逐渐引起人们的重视,密码技术、分类分级、数据脱敏、数据库审计等技术得到应用,但因为重视程度、技术限制、政策导向等原因,防护技术应用范围和深度有限,等级保护1.0也仅在有限范围内实施,这时候发生的电子商务平台泄露大量用户账号信息、连锁酒店泄露用户住房记录信息,以及运营商泄露用户隐私数据等事故,让防护与攻击博弈愈演愈烈,尤其是“棱镜门事件”,让人们认识到数据安全不仅仅是企业和个人问题。随着云计算的普及和大数据技术的不断发展,既促进了数据应用,也促进了安全技术的发展,传统安全技术与云和大数据有机结合,安全逐渐成为内生安全能力,但数据集中化、碎片化、云内应用共享等特点又催生数据生命周期的安全管控、事前防御和事后追踪能力等动态安全管理需求,于是数据综合治理逐渐兴起。

除安全技术发展外,政策法规也在不断完善,欧盟、北美在数据安全和个人隐私保护方面,标准和法规不断,如欧盟的通用数据保护条例GDPR、加利福尼亚消费者隐私法CCPA是典型代表,其中GDPR更是被人们称之为“史上最严格的个人隐私保护方案”,因为其作用范围之广、惩罚力度之大都是前所未有的(对违法企业的罚金最高可达1.5元人民币),条例中关于个人数据安全给出了脱敏、加密、备份、高可用等措施建议。我们国家从信息时代初期就十分重视数据安全和个人隐私保护,也曾经推出过相关的管理条例和指导意见,其中具有划时代意义的是2016年发布的《中华人民共和国网络安全法》,法律中明确网络运营者应按照网络安全等级保护制度“采取数据分类、重要数据备份和加密等措施”。2019年10月份审议通过、2020年开始实施的《中华人民共和国密码法》,作为《网络安全法》密码应用的一个延伸,标志着密码成为数据安全的核心技术。

无论法律法规要求还是安全技术驱动,数据安全越来越受到重视,提供数据安全服务的企业也逐渐引起人们的关注,比较有代表意义的一个是2019年互联网安全大会(ISC)创新独角兽沙盒大赛冠军炼石网络,其主打产品就是基于CASB理念,创新性的融合国产自主算法,实现云平台数据安全防护,另外一个是今年2月份刚刚结束的2020 RSA年会沙盒创新大赛冠军Securiti.ai,其核心产品功能包括个人数据关联报告的生成、可视化管理、跨国企业的个人数据保护及数据泄露发生后及时通知受影响的数据主体等,正是针对企业数据安全防护和合规痛点。

综上所述,纵观国内外数据安全发展,数据安全防护已经不再单纯是个人和团体的单一安全工作,数据安全防护也不再单纯是技术防护问题,那么我们就需要重新思考数据安全防护目标。

当前普遍采用的是由数据安全公司安克诺斯(Acronis)首先提出,并被科技市场研究机构IDC引用为最佳实践的SAPAS五向量模型。

图表2 Acronis数据安全五向量示意

该模型倡导数据安全与网络安全防护相结合,综合考虑数据安全防护问题,这对我们是很好的启发,但所提出的五个向量更多考虑的是GDPR的遵从性。根据我们的实际情况,这五个向量还不能体现我们的数据安全防护目标,本文提出新的目标:

图表3新数据安全防护目标

借鉴数据安全与网络安全综合防护思路,新的安全防护目标融合了传统网络安全CIA(Confidentiality、Integrity、Availability)三要素,新增合规性和可控性两个维度。新增维度主要依据我们国家《网络安全法》和《密码法》,并根据等级保护相关要求增加。机密性、完整性、可用性是网络运营者为了维护自身和用户权益需要保障的,合规性是满足法律法规监管要求,这4个目标完全覆盖SAPAS五向量模型,而可控性是从国家大数据战略出发,当下来看,只有可控才能更好支撑各级政府疫情防控,长远来看,只有可控才能实现国家层面的数据安全防护。

三.密码应用分析

根据上述数据安全分析,我们可以看出密码是数据安全防护中的核心。只有应用了密码技术,才能保证数据的整体安全性,而密码本身必须是可管理的,才符合可管可控管理要求。

对于上述共识性的结论,随着《密码法》颁布而确立下来,2021年将会制定个人信息保护法、数据安全法,密码的作用将会进一步明确,法制管理也将逐步完善。密码在网络安全中的作用早有共识,但从法律法规、市场监管到普遍共识这样立体性、体系性的开展,在我们国家至少历经了20多年的发展。本文概况性的划为三个阶段:

图表4我国商业密码应用阶段划分

在欧美国家商用密码起步较早,从上世纪七十年代开始,对称算法DES、3DES、AES,摘要算法SHA-1、MD5、非对称算法DH、RSA、DSA相继推出应用,并逐渐成为国际通用算法,十几年后开始在我国得到应用。为满足市场发展需求,规范密码应用与发展,1996年7月中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》,1999年10月7日国务院颁布《商用密码管理条例》,保证了我国商用密码的应用与发展一直在法治化的轨道上前进。但起步伊始,我们并没有核心的自主算法,市场上普遍应用的还是国际通用算法。

最早应用比较广泛的是PKI技术,因为PKI体系中的数字证书作为密钥(技术范畴的密码包括算法与密钥)的载体,具有与实体真实身份绑定的优势,保证了密钥的可管理性,并依托数字证书的生命周期管理实现密钥全生命周期管理,PKI技术被国际电信联盟(ITU-T)定为国际通用标准。中国最早应用PKI技术建设数字证书认证中心的是CTCA(湖南电信研究院负责建设的中国电信CA中心),此后CFCA、协卡CA等相继开始投入建设。在“学习阶段”,我们也在积极探索我国PKI发展之路,主要有几个方面:

1、自主算法

从推行PKI技术初期,国家密码主管部门就在积极探索密码可控方法和自主加密算法,要求在PKI体系里应用国产密码设备,2002年开始在PKI系统内推行应用SSF33算法。

2、认证模型

借鉴国外先进经验,由不同的机构探索根CA认证和桥CA认证不同认证模型。

3、密钥管理

在PKI体系中,密钥管理以数字证书生命周期的管理方式实现。我们探索出密钥管理和数字证书管理分离模式,将数字证书和密钥进行解耦,并由不同机构管理,从而实现密钥的高可管理性和可控性。

在“学习阶段”,同时在密码算法领域也取得了进展,2009年祖冲之算法(ZUC算法)正式申请参加3GPP(国际标准化机构)算法标准的竞选工作,2011年9月正式被3GPPSA全会通过,成为3GPP LTE第三套加密标准核心算法,国产密码算法和应用逐渐发展起来。

到“发展阶段”,我国相继推出非对称算法SM2(2010年)、对称算法SM4(2012年)和摘要算法SM3(2010年),以及标识密钥算法SM9,其中2018年SM2/3/9相继成为被ISO编入规范,标准国际化工作取得进一步进展。密码“发展阶段”横跨数据安全的电子商务时期和大数据时期,大数据应用模式的改变和云计算、大数据等技术同样也促进了密码应用的发展。电子病例、电子保单、电子招投标等行业应用进一步扩大了PKI应用范围,也提升了密码应用的管理水平;《电子签名法》促进了电子认证行业的法制化发展,催生了一个新的信息安全细分市场;互联网经济的迅猛发展,加速了金融支付业务的普及,金融领域密码管理独领风骚;5G技术奠定了万物互联的基础,设备认证与数据保护更加依赖密码。在这场波澜壮阔的信息技术大变革中,密码应用与管理渐渐羽翼丰满。

密码“发展阶段”在技术变化上呈现几个特点:

1、国产密码算法全面登场

发展阶段,在国家大力支持下和各界密码科研人员的努力下,我们已经具备了支持应用的全套国产密码算法。除上文提到的国产密码算法国际化工作外,国家密码管理局在2012年专项组织了密码升级改造工作;在等级保护制度、金融支付标准等领域都明确要求以国产密码算法应用为测评依据。

2、密码技术在应用中不断升级

我们的密码应用从PKI体系开始,X.509标准一直以“第三方CA”的角色服务于电子商务和电子政务。但随着工商、税务、公安,以及互联网企业自建PKI体系开始,在我们国家“第二方CA”更是独树一帜。

此外,电子签名、智能交通等行业的发展,现有PKI体系的数字证书格式、管理方法已不能再满足业务发展,很多PKI机构为此一改传统的申请审核流程和标准化的X.509数字证书格式,推出在线实时业务、事件证书、隐式证书等概念。

而无人驾驶、边缘计算、移动支付、物联网等领域因为其特有的数据量巨大、响应时限短、接入网络复杂等特点,PKI体系的签发、发布、验证一套体系就很难支撑大数量、高并发、低时延的要求,这些领域必须寻求新的解决方案,PKI+密码体系或者去PKI、仅用密码体系就成为领域解决方案新的选择。

3、密码可管可控是永远不变的原则

在我们国家从商用密码推行之初的《商用密码管理条例》就强调可管、可控,而在《密码法》中进一步明确了党的领导和国家管控的总体原则。而在密码发展的这十几年中,相关部门和参与者们一直遵循这个原则,为我国的密码事业不断努力。

习主席讲过“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患”,网络安全是互联网的核心技术,而密码是网络安全的核心、是数据保护的基础,自主可控的密码算法和安全可靠的密码管理对我国的信息化建设与发展的重要性无需赘述。

经过近20年的探索与发展,我们国家的信息化发展已经进入了全新的时代。2019年10月中国共产党第十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》(以下简称《决定》),是推进国家治理体系和治理能力现代化的纲领性文献,是新时代中国国家制度建设和国家治理体系现代化的重要里程碑。

《决定》对运用新一代信息技术支撑国家治理体系和治理能力现代化提出了明确要求:

1、坚持和完善党的领导制度体系,提高党科学执政、民主执政、依法执政水平。

2、建立健全运用互联网、大数据、人工智能等手段进行行政管理的制度规则。推进数字政府建设,加强数据有序共享,依法保护个人信息。

3、建立健全网络综合治理体系,加强和创新互联网内容建设,落实互联网企业信息管理主体责任,全面提高网络治理能力,营造清朗的网络空间。

4、完善诚信建设长效机制,健全覆盖全社会的征信体系,加强失信惩戒。

《决定》对新一代信息技术提出的明确要求必将推升我国信息化发展到一个新高度,信息安全工作,也将循着科学发展的道路,在党的坚强领导下发展壮大,成为实现“两个一百年”、实现中华民族伟大复兴的中国梦的腾飞之翼。

(本文作者系安御道合副总经理)

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606