过去的一年,实体经济与数字经济融合地愈发紧密,与之相对的是,数据风险无处不在。在2021年的网络安全事件盘点中,全球仅前十个数据安全的事件影响规模就高达2.2亿人;“我国公民信息在暗网被兜售”也被360未来安全研究院纳入2021年十大网络安全事件当中。
数据,已经成为从事犯罪活动的黑客眼里的金矿,数据风险,则有可能导致重大的国家安全事件。
为此,一系列数据安全相关的细则法规不久前集中发布,并将逐一施行——
将于2月25日施行的《网络安全审查办法》规定网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形需纳入审查,掌握超过100万用户个人信息的网络平台运营者赴国外上市需申报审查……
3月1日即将施行的《互联网信息服务算法推荐管理规定》着力防范化解算法推荐带来的安全风险,应向用户提供便捷的算法关闭选项……
数据安全已经被提升到了国家安全的高度。“如今的数字安全越来越与现实世界融合起来。” 360首席安全官杜跃进解释,黑客一旦掌握可以洞悉攻击目标的数据信息,可以通过复杂的策划发起涉及巨额利益乃至威胁国家安全的攻击。
保护数据安全不止“防窃取”
数据的价值越来越被认识到,被认为是数字时代的宝贵资产。但它又是一种特别的资产,锁起来的数据没有价值,只有用起来的数据才有价值。
“传统的观点里,数据安全是要防窃取。但现在的数据安全是存在与虚拟和现实两个空间中的。” 杜跃进解释,“由于数据安全威胁造成的危害可能从虚拟空间渗透到现实空间,所以用以前的偏局部的安全方式去应对,已经不实用了。”
政务数据、金融数据、医疗数据……越来越多的业务数据进入到数据挖掘、数字经济的范畴,与此同时,个人数据保护、隐私数据安全等的保护也提上日程。
“我们需要站在整体视角、以对抗思维、用智慧角度去解决复杂的数据安全问题。”杜跃进说,数据安全的维护与其他安全融合在一起,共同放在整个网络空间的安全中,通过安全大脑的深度分析之后,实施判断,并辅助协同防护。
以国家发改委批复建设的大数据协同安全技术国家工程研究中心为例,中心部署了大数据安全保护、大数据安全监测、漏洞挖掘以及APT检测与溯源等六大研究平台,有效支撑了大数据安全相关的研发工作,创新突破了AI驱动的大数据安全分析、实网攻防靶场、攻防知识图谱等关键技术。
保护数据安全,重在“能力”
2021年11月30日,工信部发布《“十四五”大数据产业发展规划》中指出完善数据安全保障体系,并提出开展数据安全能力成熟度评估、数据安全管理认证等工作。
“规划”中指出保护数据安全是一种能力,而且可以开展成熟度的评估。那么,数据安全能力是什么?又如何具备数据安全能力呢?
举个例子,如果有人攻击或者偷窃,现实中往往会问罪犯是谁?罪犯在哪里?那么在网络中,如何追踪到威胁数据的罪犯?
“例如通过大量的攻击数据、万亿量级的安全日志等等分析,我们可以实现对攻击者特征的高精细度描绘,从而实现对攻击的溯源。”360天枢智库负责人张义荣博士告诉科技日报记者,这种能力能够从源头阻止数据安全威胁。
另一方面,数据安全能力还能够洞察人力所不能发现的攻防规律,通过取证分析、检测与溯源、验证和确认,识别未知的威胁和攻击。
“数据安全是数字安全的重要内容,构建数字安全能力,又需要哪些基础的‘元能力’呢?”杜跃进表示,建设数字安全能力需要具备4个方面的基础:一是大数据技术,实现数据的处理和计算;二是人工智能技术,进行辅助分析;三是“新安全”,也就是对抗蓄意破坏的网络安全,和传统的各行业原本的生产安全;四是要懂业务,所有安全的最终目标都是服务于特定的业务。
数据安全人才培养任重道远
“去年我们推出了数据安全官和数据安全测评师培训工作,报名需求很多,但是我们的培训要求很高、难度很大,只有不到30%的学员最终拿到了我们颁发的证书。”杜跃进说,数据安全人才培养工作任重道远。
数据安全当前最紧迫的问题是人才不足,一个组织的数据安全能力也离不开组织中人员的能力,在企业内设计数据安全岗位势在必行,国家法律其实也提出了要求。
自去年6月《数据安全法》颁布以来,开展数据处理活动需履行数据安全保护义务。每一个企业至少需要一个懂数据安全的人。以数据安全测评师为例,需帮助企业开展数据安全合规性评估工作,包括整体的数据安全评估、重点业务的数据安全合规性评估、核心系统数据安全合规性评估等,并协助企业对发现的问题进行整改。
在此背景下,数据安全人才能力培养成为当前数据安全领域最紧迫的问题。据悉,大数据协同安全技术国家工程研究中心已联合广泛的合作伙伴,充分吸取产业界的经验,在2022年全面推广注册数据安全官、注册数据安全工程师、DSMM(数据安全能力成熟度模型)测评师三类人才培训,并对外提供大数据安全的平台、测评、培训、认证服务。
(受访者供图)
(责任编辑:韩梦晨)