产业发展“卡点”显现 数据安全动态管理体系待建立
本报记者 蒋牧云 何莎莎 贵阳、北京报道
数据要素市场加速建设,数据流动在产出更多价值的同时,也带来了更复杂的安全挑战。
根据“2024中国国际大数据产业博览会”(以下简称“数博会”)上披露的数据,2023年,全国数据产业规模超过2万亿元,我国现有数据领域相关企业超过19万家。《中国经营报》记者在本届数博会现场采访发现,在数据产业规模快速膨胀的同时,数据安全问题正在成为制约数据流通和价值释放的主要卡点。
360数字安全集团总裁胡振泉在现场接受本报记者采访时表示:“数据要素必须要在流动中才能产生生产力,未来数据安全的重点方向就是在流转过程中,保护动态的数据安全成为产业发展关键。这并非单点产品能够解决,而是要建立一套基于数据运营、数据流转的动态管理体系。”
关注数据流转中的安全问题
“当前,我国数据要素市场建设取得积极进展,但是由于权属纷争、数据滥用、数据泄露、失控传播等安全合规风险挑战,部分数据提供者持不愿流通、不敢流通的态度,数据要素的市场化配置效率还有待提升,亟待从供给、流通、使用等环节全方位强化数据流通安全合规治理。”国家信息中心公共技术服务部政务外网发展规划处处长、正高级工程师王晓冬在近期的公开发文中指出。
记者注意到,国家数据局党组成员、副局长沈竹林在本届数博会期间就表示,伴随海量数据汇集以及跨系统、跨主体的大规模流动,对数据安全治理体系建设提出了新的挑战,需要进一步探索保障动态安全模式和新型治理模式。
据其透露,国家数据局将从完善治理规则、创新治理机制、培育安全产业等多方面入手,未来将大力培育安全产业,加快数据安全核心技术创新,持续提升安全可信流通、风险监测预警能力,为数据价值的释放提供有力支撑。
“以往的数据安全,更多的是关注静态数据,也就是关注数据放在数据中心如何不被泄露。但数据要素成为重要的生产要素之后,数据要素也必须在流动中才能产生生产力,才能创造价值。”胡振泉向记者表示。
在他看来:“未来数据安全的重点方向就是在流转过程中如何保护动态的数据安全。这不是某个单点产品能够解决的问题,而是要建立一套基于数据运营、数据流转的体系,在各个节点中做哪些工作、如何动态地监控等,这样才能把整个数据安全的动态管理体系建立起来。”
全国政协委员、全国工商联副主席、奇安信集团董事长齐向东也认为,数据的生产、应用、流通形成了“数据三角”,三角中各自面临着不同的风险隐患。具体而言,在生产域,最高的风险是内鬼盗窃,最大隐患是“三员”:管理员、技术员、操作员。在应用域,应用环境全面开放,最高的风险是黑客攻击和后门,最大隐患是API。据统计,八成以上的黑客攻击和九成以上的后门是通过API接口实现的,API接口数量越多,漏洞和后门隐患越大。在流通域,最高的风险是数商违规,最大的隐患是技术平台漏洞。
在齐向东看来,全局数据、重要数据和敏感数据以及一般数据,都需要以业务场景为导向,不能违背数据权属方的意愿、不能违反个人信息保护法律、不能损害国家利益等原则。
以模制模应对多样化攻击
记者注意到,随着数字技术的演进,数据在流通的过程中,面临的攻击手段更加多样化,这也让市场侧需要不断迭代技术和产品应对。
“比如可以通过路灯、芯片来窃取数据,因此底层的安全保障是数据安全流通的前提。公司团队发现,大量的数据泄露主要来自存储环节,传统的存储模式中存在着密钥本身不安全、加密索引难等痛点问题。”合肥安永信息科技有限公司总经理田宝同向记者表示,目前公司正通过基于TEE(可信执行环境)的新一代数据库加密系统来解决相关卡点,即用TEE技术芯片级隔离的特点,将所有加密所需要的密钥以及加解密的过程内置到TEE中,从而保证任何外部的用户都无法获取密钥。
与此同时,人工智能的发展也为数据安全带来更多挑战。胡振泉告诉记者,大模型的内部机制像一个“黑匣子”,生成的内容难以预测,同时,数据收集和处理阶段的不规范操作,都可能导致隐私数据的泄露。
齐向东也向记者表示,人工智能带来最突出的安全挑战是“饱和式”攻击,使得网络空间更加“易攻难守”。特别是AI大模型的出现,让黑客可以在短时间内发动大范围连续进攻,导致目标处于无法应付的饱和状态,然后趁虚而入。
对此,业内也在通过各种方式进行应对。比如,胡振泉提倡通过“以模制模”的方法,即构建专用的、规模较小的专业大模型,对大模型的输入输出内容进行双向安全监测。据透露,目前360针对攻击检测、运营处置、追踪溯源、知识管理、数据保护和代码安全六个关键安全场景,开发了六个专家级别的子模型。这些子模型共同构成了360安全大模型,并已在多个业务场景中得到实际应用。
齐向东也透露,奇安信在2023年推出了首个工业级大模型安全人工智能产品,其告警研判效率能达到人工研判的60多倍,漏报率仅仅是人的5%,可以有效避免安全防线被“饱和式”攻击拖垮。
(编辑:李晖 审核:何莎莎 校对:颜京宁)