BCS2022鄔賀銓:資料要素的開發與利用離不開資料安全
“資料要素具有多項屬性,包括可見性、易理解性、可連結性、可視性、互操作性、安全性、歸屬性、開放性和資產性。”在2022北京網路安全大會上,中國工程院院士鄔賀銓詳細介紹了資料要素的九大基本特徵,並闡述了這九大特徵與網路安全之間的內在關聯。
第一大特徵是資料的可見性。通常情況下,安全檢測會使用資料視覺化來發現異常,可如果將視覺化工具部署在公有云上,就意味著資料也要上傳到公有云,顯然這將帶來一定的安全風險。與此同時,部署私有云的成本又相對偏高,因此大量政企機構希望將雲化的視覺化工具下載到本地終端進行部署,在增加資料可見性的同時,確保資料的安全性。
第二大特徵是資料的易理解性。鄔賀銓表示,為了讓計算機能更好的理解資料,工程師們會對資料進行前期的預處理。比如人臉識別,需要對人臉事先進行標註,區別眼睛、鼻子、耳朵、嘴巴等等,幫助計算機識別五官;再例如智慧駕駛,大量道路情況也需要標註紅綠燈、斑馬線、障礙物等等。不過,目前標註依然需要人工處理,甚至需要外包、眾包的參與,這就帶來了極大的使用者隱私洩漏風險。
尤其是人臉探測、視覺探測、車輛識別等等敏感公共資訊,與個人隱私、車輛安全甚至是智慧城市安全息息相關,一旦處置不當很可能會造成較為嚴重的後果。
第三個特徵是資料的可連結性。大資料技術能夠將海量異構分佈資料結合在一起,實現資料深度地挖掘。在資料鏈接的過程中,除了依靠流程和管理制度之外,接入資料的許可權該如何管理?鄔賀銓認為,跨多個應用程式和雲服務儲存的資料共享需要明確可共享的原則、範圍、層次和內容,規定共享程式與審計,只向授權人開放,重要資料的接入認證需要採用數字簽名,並且防止員工使用不安全的應用共享敏感資料。
另一方面,隨著歐洲《通用資料保護條例》的實施,元資料需要負擔起個人身份資訊標記、資料遮蔽、訪問請求和資料管理生命週期管理等功能,顯然,應重點保證元資料平臺對網路攻擊的防禦能力。
第四是資料互操作性。資料要流動、要使用才能產生價值,尤其是跨境資料流動,這樣才能支撐國際貿易以及科技、教育、文化、產業交流合作。但在資料跨境流動過程中,如何保證國家的安全、商業秘密及個人隱私亟待解決。鄔賀銓認為,資料流動的管理首先需明確並確定資料型別,以便在出境口攔截未經批准的敏感資料。其次還需還原資料路徑,實施資料處理流程的全鏈路監控,便於事後追溯。
第五是資料的可信性。深度神經網路是個分類器,當事件和影象處於AI模型辨識分界線或被幹擾時會使AI誤判。不過對抗樣本僅對指定圖片和攻擊模型生效,可透過區域截圖、放大縮小等預處理發現數據被投毒。
事實上,在整個供應鏈中,資料也極易受到汙染而出現失真現象。因此可採用區塊鏈+隱私計算方法,整合訂單、發票、物流和資金流等資料,來發現有無造假。
第六是資料的安全性。資料是生產要素,因此要使用加密手段防止資料被竊取或者濫用。但加密在保障安全性的同時,也會帶來其他的安全問題,比如駭客可以利用勒索軟體對資料進行二次加密。因此需要實時對資料進行審計與版本核對,防止被惡意再加密而被控或被勒索。
另一方面,儘管傳統加密技術能夠大幅提升資料的安全性,但也在一定程度上阻礙了資料的流轉和融合。比如兩家企業都希望利用對方的資料,但同時都不願意把自己原始資料交給對方,此時可以利用多方計算技術,允許各參與方只提交密文分片的前提下,透過既定邏輯共同計算出結果,但不透露各自資料。
第七是資料的資產性。資料是生產要素,需要從資料採集、資料開發利用、資料鑑權、資料應用等全生命週期去保證資料資產的安全性。鄔賀銓強調,在所有環節中,特別注意元資料的管理、開發過程的管理、流透過程的管理和運維過程的管理,這些過程需要採用相應的安全技術支援資產安全管理。
第八是資料的歸屬性。毋庸置疑的是,資料本身是有歸屬權的,包括持有權、使用權、經營權,關係到資料使用的安全性和合法性。對一個國家而言,資料有主權的含義,因為涉及到國家安全以及社會經濟發展的重要內容,每個國家對自己的資料有對外的獨立自主權,以及國際事務的參與決策權。
對個人而言,個人的身份、家庭、經濟狀況、興趣偏好,以及人臉、指紋、DNA等等生物特徵等關鍵敏感資料,要堅持非必要不能收集原則。即便在個人同意收集使用的前提下,也不意味著個人對資料所有權被轉讓,使用後應及時刪除。
不過,不同於傳統資產的是,資料是可複製的,資料使用也基本上可以不留痕跡,這為資料的歸屬確權帶來了很大的困難。
第九是資料的開放性。鄔賀銓認為,原則上不涉及國家安全、企業秘密和個人隱私的政務資料,都應該向社會開放,才能發揮更大的價值。但政務資料開放要特別注意個人身份識別和地理位置等隱私保護,在大資料技術日益發達的今天,透過混合不同資料集進行關聯分析,可以間接地追蹤到個人工作生活等隱私,因此需要進行匿名化等脫敏處理。
鄔賀銓強調,資料是重要的生產要素,它的安全性不僅關乎國家安全、國民經濟、社會穩定,還跟企業的商業秘密、個人隱私、財產安全密切相關。資料安全不僅是技術問題,還涉及法律、政策、管理、人才、倫理等方面,要面對更多的新挑戰,需要在實踐中加深認識,加大研究創新力度。
本文源自金融界資訊
