“数据要素具有多项属性,包括可见性、易理解性、可链接性、可视性、互操作性、安全性、归属性、开放性和资产性。”在2022北京网络安全大会上,中国工程院院士邬贺铨详细介绍了数据要素的九大基本特征,并阐述了这九大特征与网络安全之间的内在关联。
第一大特征是数据的可见性。通常情况下,安全检测会使用数据可视化来发现异常,可如果将可视化工具部署在公有云上,就意味着数据也要上传到公有云,显然这将带来一定的安全风险。与此同时,部署私有云的成本又相对偏高,因此大量政企机构希望将云化的可视化工具下载到本地终端进行部署,在增加数据可见性的同时,确保数据的安全性。
第二大特征是数据的易理解性。邬贺铨表示,为了让计算机能更好的理解数据,工程师们会对数据进行前期的预处理。比如人脸识别,需要对人脸事先进行标注,区别眼睛、鼻子、耳朵、嘴巴等等,帮助计算机识别五官;再例如智能驾驶,大量道路情况也需要标注红绿灯、斑马线、障碍物等等。不过,目前标注依然需要人工处理,甚至需要外包、众包的参与,这就带来了极大的用户隐私泄漏风险。
尤其是人脸探测、视觉探测、车辆识别等等敏感公共信息,与个人隐私、车辆安全甚至是智慧城市安全息息相关,一旦处置不当很可能会造成较为严重的后果。
第三个特征是数据的可链接性。大数据技术能够将海量异构分布数据结合在一起,实现数据深度地挖掘。在数据链接的过程中,除了依靠流程和管理制度之外,接入数据的权限该如何管理?邬贺铨认为,跨多个应用程序和云服务存储的数据共享需要明确可共享的原则、范围、层次和内容,规定共享程序与审计,只向授权人开放,重要数据的接入认证需要采用数字签名,并且防止员工使用不安全的应用共享敏感数据。
另一方面,随着欧洲《通用数据保护条例》的实施,元数据需要负担起个人身份信息标记、数据屏蔽、访问请求和数据管理生命周期管理等功能,显然,应重点保证元数据平台对网络攻击的防御能力。
第四是数据互操作性。数据要流动、要使用才能产生价值,尤其是跨境数据流动,这样才能支撑国际贸易以及科技、教育、文化、产业交流合作。但在数据跨境流动过程中,如何保证国家的安全、商业秘密及个人隐私亟待解决。邬贺铨认为,数据流动的管理首先需明确并确定数据类型,以便在出境口拦截未经批准的敏感数据。其次还需还原数据路径,实施数据处理流程的全链路监控,便于事后追溯。
第五是数据的可信性。深度神经网络是个分类器,当事件和图像处于AI模型辨识分界线或被干扰时会使AI误判。不过对抗样本仅对指定图片和攻击模型生效,可通过区域截图、放大缩小等预处理发现数据被投毒。
事实上,在整个供应链中,数据也极易受到污染而出现失真现象。因此可采用区块链+隐私计算方法,整合订单、发票、物流和资金流等数据,来发现有无造假。
第六是数据的安全性。数据是生产要素,因此要使用加密手段防止数据被窃取或者滥用。但加密在保障安全性的同时,也会带来其他的安全问题,比如黑客可以利用勒索软件对数据进行二次加密。因此需要实时对数据进行审计与版本核对,防止被恶意再加密而被控或被勒索。
另一方面,尽管传统加密技术能够大幅提升数据的安全性,但也在一定程度上阻碍了数据的流转和融合。比如两家企业都希望利用对方的数据,但同时都不愿意把自己原始数据交给对方,此时可以利用多方计算技术,允许各参与方只提交密文分片的前提下,通过既定逻辑共同计算出结果,但不透露各自数据。
第七是数据的资产性。数据是生产要素,需要从数据采集、数据开发利用、数据鉴权、数据应用等全生命周期去保证数据资产的安全性。邬贺铨强调,在所有环节中,特别注意元数据的管理、开发过程的管理、流通过程的管理和运维过程的管理,这些过程需要采用相应的安全技术支持资产安全管理。
第八是数据的归属性。毋庸置疑的是,数据本身是有归属权的,包括持有权、使用权、经营权,关系到数据使用的安全性和合法性。对一个国家而言,数据有主权的含义,因为涉及到国家安全以及社会经济发展的重要内容,每个国家对自己的数据有对外的独立自主权,以及国际事务的参与决策权。
对个人而言,个人的身份、家庭、经济状况、兴趣偏好,以及人脸、指纹、DNA等等生物特征等关键敏感数据,要坚持非必要不能收集原则。即便在个人同意收集使用的前提下,也不意味着个人对数据所有权被转让,使用后应及时删除。
不过,不同于传统资产的是,数据是可复制的,数据使用也基本上可以不留痕迹,这为数据的归属确权带来了很大的困难。
第九是数据的开放性。邬贺铨认为,原则上不涉及国家安全、企业秘密和个人隐私的政务数据,都应该向社会开放,才能发挥更大的价值。但政务数据开放要特别注意个人身份识别和地理位置等隐私保护,在大数据技术日益发达的今天,通过混合不同数据集进行关联分析,可以间接地追踪到个人工作生活等隐私,因此需要进行匿名化等脱敏处理。
邬贺铨强调,数据是重要的生产要素,它的安全性不仅关乎国家安全、国民经济、社会稳定,还跟企业的商业秘密、个人隐私、财产安全密切相关。数据安全不仅是技术问题,还涉及法律、政策、管理、人才、伦理等方面,要面对更多的新挑战,需要在实践中加深认识,加大研究创新力度。
