未雨綢繆做好新技術(shù)環(huán)境下數(shù)據(jù)安全管控

宜勇 秦燦輝

幾年前，美國商務部以違背美國國家安全為由，禁止向中國四家國家超級計算機中心出售“至強”（XEON）芯片，美國一貫高舉的“國家安全”大棒使中企在美投資屢屢受阻，最近華為事件和中美貿(mào)易戰(zhàn)愈演愈烈。隨著中國持續(xù)崛起和高速發(fā)展，美國對華的懷疑和敵意顯著上升，認為中國是其霸權(quán)最根本、最嚴重的戰(zhàn)略挑戰(zhàn)。同時“棱鏡門”使我們認識到，如果不掌握網(wǎng)絡信息領域的核心技術(shù)，就很難防止其他國家通過合理或者不合理的手段獲取信息，就很難有完善的對策防護類似“棱鏡門”這樣的監(jiān)控項目，作為網(wǎng)絡信息技術(shù)的發(fā)展中國家，我們面臨的安全風險仍然嚴峻。

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，云計算、人工智能、區(qū)塊鏈等高新前沿技術(shù)的廣泛應用，新的科技手段層出不窮，信息量迅猛增加，呈現(xiàn)爆炸性增長趨勢。據(jù)統(tǒng)計近30年來，人類生產(chǎn)的信息已超過過去五千年信息生產(chǎn)的總和，當今世界已進入大數(shù)據(jù)時代前夕。大數(shù)據(jù)已經(jīng)成為新發(fā)明和新服務的源泉，給世界各國經(jīng)濟、社會、民生、生態(tài)帶來了重大深遠的影響，可以說大數(shù)據(jù)安全直接關乎國家命脈，民族興亡。目前，國內(nèi)外各行各業(yè)頻發(fā)的數(shù)據(jù)泄漏安全事件呈指數(shù)性增長，利用大數(shù)據(jù)開展對抗已經(jīng)成為經(jīng)濟競爭甚至軍事行動的一個必選手段，解決好數(shù)據(jù)安全問題已經(jīng)刻不容緩，并提升到國家安全層面。為了應對大數(shù)據(jù)時代的新挑戰(zhàn)，應該從頂層設計開始，加強統(tǒng)籌、集智攻關、同步展開，邊研究、邊試驗、邊部署，實現(xiàn)數(shù)據(jù)從產(chǎn)生到銷毀全流程全壽命周期管控，建設數(shù)據(jù)可視可控可追溯的安全體系，塑造一個堅不可摧的數(shù)據(jù)安全堡壘。

網(wǎng)絡自誕生之日起，網(wǎng)絡信息安全問題就隨之而來。我國雖然是網(wǎng)絡大國但還不是網(wǎng)絡強國，相比歐美等網(wǎng)絡強國，我們在數(shù)據(jù)安全上還存在軟硬件技術(shù)受制于人，網(wǎng)絡本身安全性差，部分行業(yè)安全意識差等突出弱點，數(shù)據(jù)泄露事件時有發(fā)生，且頻率呈上升趨勢。數(shù)據(jù)一旦泄露，將對國家經(jīng)濟發(fā)展、社會穩(wěn)定、國防安全造成不可估量的損失。特別是隨著物聯(lián)網(wǎng)、云和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展和深入應用，各行業(yè)數(shù)據(jù)綜合集成、深度融合與匯聚，其數(shù)據(jù)安全問題將更加突出，如果處置不當將導致災難性后果。

網(wǎng)絡系統(tǒng)軟硬件受制于人，難以真正掌控數(shù)據(jù)主權(quán)。當前，我國國產(chǎn)自主化還處于初級階段，基礎通信網(wǎng)絡、信息安全防護、服務器、存儲設備、操作系統(tǒng)、開發(fā)編譯工具等核心信息技術(shù)產(chǎn)品缺乏自主可控，還依賴于國外進口。據(jù)統(tǒng)計，我國三大運營商、政府、軍隊、能源、金融等關系到國計民生行業(yè)所用到的核心信息技術(shù)產(chǎn)品中，國外廠商設備占到90%以上比例。這意味著我國在相當長一段時間內(nèi)，小到各類終端，大到服務器、信息安全設備、數(shù)據(jù)存儲設備等核心信息技術(shù)產(chǎn)品仍然受國外控制。國外產(chǎn)品的原生性后門、內(nèi)置病毒和木馬等隱患，一旦被遠程激活，大量數(shù)據(jù)信息將完全曝光在敵對勢力的視野下，隨意竊取、篡改、破壞的安全風險極大。

新一代信息技術(shù)運用新模式，增加了數(shù)據(jù)泄漏風險系數(shù)。一是國計民生各行業(yè)大力加速云、物聯(lián)網(wǎng)、大數(shù)據(jù)等新一代技術(shù)的應用，大量涉及個人隱私、軍事情報信息，以及各種政府、公司行為的敏感數(shù)據(jù)大規(guī)模集中存儲增加了泄露風險系數(shù);二是大數(shù)據(jù)應用是人工智能、商業(yè)智能、信息技術(shù)等多個跨領域技術(shù)的集成，數(shù)據(jù)大規(guī)模頻繁網(wǎng)際交換增加了泄露風險系數(shù);三是大數(shù)據(jù)是網(wǎng)絡中易攻難守的顯著目標，攻擊成本低，收獲多，“性價比”好，無形中降低了黑客、國外敵對勢力、商業(yè)競爭對手數(shù)據(jù)竊取成本，數(shù)據(jù)的易受攻擊性增加了泄露風險系數(shù);四是黑客可利用大數(shù)據(jù)挖掘和分析技術(shù)更加精準的發(fā)起攻擊，疊加效應大大強化了網(wǎng)絡攻擊能力并增加了泄露風險系數(shù);五是傳統(tǒng)的安全防護措施，跟不上數(shù)據(jù)爆炸性增長的速度，安全防護能力弱增加了泄露風險系數(shù)。

網(wǎng)絡強國利用技術(shù)不平衡優(yōu)勢，不斷窺視大數(shù)據(jù)信息。美國作為全球最大的信息強國，與英國、加拿大、澳大利亞、新西蘭組成了“五眼”情報聯(lián)盟，利用其信息技術(shù)優(yōu)勢肆無忌憚的對全球互聯(lián)網(wǎng)數(shù)據(jù)和他國涉及政治、軍事、經(jīng)濟等數(shù)據(jù)進行搜集、存儲、挖掘，從中刺探他國的各類情報，嚴重威脅主權(quán)國家的數(shù)據(jù)安全，引發(fā)全球信息安全危機，而且這種技術(shù)上的不平衡目前難以打破。

關鍵領域數(shù)據(jù)進一步共享開放，數(shù)據(jù)資產(chǎn)風險管控難度加大。隨著未來大數(shù)據(jù)的廣泛應用，政府和公共事業(yè)領域涉及國家安全的大量數(shù)據(jù)資源也將逐漸實現(xiàn)共享和進一步開放，但目前由于相關配套法律法規(guī)、數(shù)據(jù)安全防護體系和監(jiān)管機制尚不健全，加大了國計民生關鍵數(shù)據(jù)資源流失風險程度。

缺乏數(shù)據(jù)安全防護體系頂層設計，易引發(fā)核心數(shù)據(jù)資產(chǎn)失控。我國尚未建立系統(tǒng)完善有效的數(shù)據(jù)安全防護體系，防數(shù)據(jù)竊取、破壞的安全防護能力還比較薄弱，其信息安全防護體系還停留在以邊界安全防護為主的傳統(tǒng)思維上，在現(xiàn)有的安全防護手段逐漸失去防護效果，傳統(tǒng)的系統(tǒng)安全、邊界安全無法有效及時發(fā)現(xiàn)、防御和處置像棱鏡門監(jiān)聽、國外廠商設備原生性后門、APT攻擊等深層次、高復雜、隱蔽性的安全威脅，極易導致涉及國家政治、國防、核心商業(yè)機密數(shù)據(jù)大規(guī)模泄露。

近年來，我國高度重視數(shù)據(jù)安全，在數(shù)據(jù)安全防護頂層設計上相繼出臺《中華人民共和國網(wǎng)絡安全法》、《關于加強網(wǎng)絡信息保護的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等多部涉及數(shù)據(jù)保護的法律法規(guī)和部門規(guī)章，發(fā)布國家的個人信息保護相關標準，在行業(yè)層面開展以數(shù)據(jù)安全為重點的安全防護檢查，取得了很好的成效。但目前還缺少對應技術(shù)手段來支撐國家數(shù)據(jù)安全頂層設計的加速落地，“封門堵漏”的被動防御思想和安全防御手段，已逐漸喪失防護優(yōu)勢，無法有效應對多樣化、智能化、自動化的網(wǎng)絡攻擊手段，傳統(tǒng)意義上的網(wǎng)絡防護長城正在崩塌，新型網(wǎng)絡數(shù)據(jù)防護體系亟待建立。我們需要在體系構(gòu)建和技術(shù)體制等方面不斷推陳出新，要以先進的數(shù)據(jù)安全理論為引導，采用基于人工智能的主動防御技術(shù)、增強數(shù)據(jù)自身免疫的可信密碼技術(shù)等數(shù)據(jù)安全防護新技術(shù)、新手段，構(gòu)建能夠覆蓋數(shù)據(jù)采集、傳輸、訪問、存儲、銷毀全生命周期，全面、先進、完善的數(shù)據(jù)安全防護體系。并通過采取以下安全保護措施維護數(shù)據(jù)安全：

建立數(shù)據(jù)資產(chǎn)安全態(tài)勢感知系統(tǒng)，改變數(shù)據(jù)資產(chǎn)管理的混沌狀態(tài)。有效的數(shù)據(jù)安全狀況梳理、清晰的數(shù)據(jù)資產(chǎn)分布、明確的數(shù)據(jù)分類分級是保護數(shù)據(jù)資產(chǎn)安全的前提;

建立數(shù)據(jù)安全主動智能防御系統(tǒng)，精準識別和實時攔截數(shù)據(jù)攻擊。智能大數(shù)據(jù)時代的到來，傳統(tǒng)網(wǎng)絡邊界逐漸消失，傳統(tǒng)的被動安全防護手段無法有效監(jiān)視、發(fā)現(xiàn)、跟蹤、阻止正在實施的攻擊，業(yè)務數(shù)據(jù)將遭受日益未知、愈發(fā)復雜的網(wǎng)絡安全威脅;

建立基于可信密碼技術(shù)的數(shù)據(jù)安全存儲環(huán)境，有效阻止非授權(quán)訪問。存儲在數(shù)據(jù)庫的關系型數(shù)據(jù)或文件系統(tǒng)的非結(jié)構(gòu)化數(shù)據(jù)，被網(wǎng)絡上眾多計算機和用戶，通過多訪問途徑訪問與共享，使得聚集數(shù)據(jù)的數(shù)據(jù)庫管理系統(tǒng)和文件存儲系統(tǒng)已成為外部攻擊者和內(nèi)部惡意人員的首選目標;

建立多因子身份認證系統(tǒng)，提升用戶身份認證過程的靈活性安全性。用戶身份認證作為訪問系統(tǒng)和業(yè)務數(shù)據(jù)的鑰匙，傳統(tǒng)如用戶名口令、手機短信、二維碼等認證方式極易被釣魚網(wǎng)站、木馬程序竊取，或被暴力破解，導致用戶身份被他人冒充;

建立高彈性的超融合架構(gòu)，完善新技術(shù)應用下數(shù)據(jù)安全防護體系。基于傳統(tǒng)的安全防護技術(shù)和被動防御模式已不能適應和解決云、大數(shù)據(jù)環(huán)境下不復存在的隔離安全域、業(yè)務多樣性帶來的防御復雜度和大規(guī)模攻擊效應等安全問題。

（本文第一作者單位系軍事科學院系統(tǒng)工程研究院后勤科學與技術(shù)研究所，第二作者任廣東省信息安全工程技術(shù)研究中心副主任）