近期,数据泄露等安全事件频发,严重侵害个人信息主体权益,影响国家安全、经济发展和社会稳定。以欧盟、美国为代表的地区和国家相继出台了个人信息保护和数据安全方面的法律法规和管理规范,进一步明确了企业数据安全的责任和义务。我国也在积极加强数据安全管理布局,出台《中华人民共和国网络安全法》完善数据安全管理要求。在此背景下,通过数据加密、数据脱敏、数据防泄露、数据跟踪追溯、数据库安全保护等技术手段,保护个人隐私,保障数据完整性、机密性和可用性的需求凸显。与此同时,世界主要国家也在积极研究突破核心技术,探索构建数据安全技术解决方案。基于此,本文将通过研究梳理国内外数据安全技术发展现状,分析总结存在的问题,并提出对策建议,以期提高我国数据安全技术支撑能力,减少数据安全风险。我国数据安全技术发展现状首当其冲,敏感数据识别技术正向智能化方向发展,企业探索部署数据安全防泄密工具。敏感数据识别技术作为数据防泄露、数据分类分级控制、敏感数据加密等数据安全保护技术的基础,受到国内外的高度重视。首先,相关企业在传统关键词识别的基础上,通过引入规则匹配、自然语言处理等技术,扩大了识别范围,提高了识别准确率。二是结合聚类分析等机器学习技术,通过大数据的累积训练,提高敏感数据识别的智能化。在此基础上,国内外各企业积极探索实践,针对数据使用、存储、传输等数据泄露的高危阶段,开发具有敏感数据识别技术的数据安全防泄露产品。作为核心。节点实现数据泄露行为的预警发现和拦截。例如Forcepoint等国外公司已经将数据安全和防泄露产品商业化,形成了一套覆盖网络和终端的企业数据防泄露组件;我国主要安全厂商积极研究防数据泄露技术,布局防数据泄露市场,2017-2020年我国数据防泄露市场规模达7.8亿元,同比增长25.3%,将超过2020年14.7亿元。二是结构化数据库前、中、后全程安全保障技术体系成熟,非结构化数据库安全防护手段单一。数据库根据存储结构和存储数据类型的不同,主要分为结构化数据库和非结构化数据库。在结构化数据库安全方面,通过事前评估加固、事中安全管控、事后分析追责三种方式构建安全防护体系。其中,数据库漏洞扫描技术主要用于事前评估加固,数据库防火墙和数据加密脱敏技术主要用于事中安全管控,数据库审计技术主要用于事后分析追责。例如,华为云数据库安全服务建立了以数据库防火墙、数据库安全审计等技术为核心的商用数据库安全体系。截至目前,华为已经为100多家企业提供了该安全服务,保障数据库安全。在非制度化数据库的安全防护方面,由于数据类型的多样性,目前还没有针对各企业的典型有效的安全防护技术。他们主要从网络、存储、终端三个方面部署数据防泄露、防病毒等相关产品,保障非结构化数据的安全。三是数据跟踪溯源技术尚处于研发阶段,尚未开展大规模应用实践。国内外企业围绕数据水印和数据沿袭追踪技术进行探索和研究,提高数据安全事件的追踪和处理能力,降低安全风险。首先是数字水印技术。其技术实现原理是在不影响数据读取和应用的情况下,通过信息处理将数据水印嵌入到数据内容中,从而实现对数据的标记和跟踪。目前,数字水印技术由于其占用率高,对处理资源和存储资源的依赖度高,多适用于相对稳定的小数据集,无法应用于云计算、大数据等大规模数据聚合场景。二是数据沿袭追踪技术。主要技术原理是通过建立数据血缘图谱,实时记录数据传输过程,跟踪分析数据安全事件的原因,降低安全风险。目前,该技术正处于研究验证阶段。只有阿里巴巴、顺丰等部分企业进行了探索和应用,产业应用还不成熟。四是数据加密技术分场景深入发展,新的加密方式逐渐涌现。数据加密技术作为最基本、最有效的数据安全保护技术,得到了广泛的应用。根据应用场景和加密方式的不同,可分为可逆加密和不可逆加密两种。一种是可逆加密,将数据用特定的算法加密后变成密文,只有通过相应的密钥才能将密文解密为明文。可逆加密技术用于数字证书和在线支付中的日常文件加密。二是不可逆加密。经过不可逆加密算法处理后的数据无法恢复成明文。只能用相同的算法对相同的数据进行再次加密,对比密文进行验证。例如防止数据被恶意篡改的数字指纹、Unix系统的登录认证等都采用了不可逆的加密技术。同时,随着云计算、量子计算等新兴技术的发展和计算机处理速度的提升,传统加密算法的效率和强度逐渐难以满足业务需求,存在被破解和失效的风险在增加。在此背景下,各国积极开展数据加密技术研究,不断提出量子加密、后量子加密等新的加密算法以满足未来数据安全发展的需要。例如,美国的QuantumXchange正试图利用量子加密技术在美国东北部建设量子加密网络,以期为华尔街银行和其他公司提供服务;德国英飞凌将后量子加密技术应用于非接触式安全芯片,以应对未来量子计算对传统加密算法的威胁。此外,各国都非常重视新兴密码技术的专利申请。截至2017年,美国、欧盟、日本分别获得220、127、265项量子密码相关专利。五是数据脱敏成为个人信息保护的关键技术手段,国内外企业加强了数据匿名化技术的研究和应用。为了平衡个人隐私保护和业务发展,企业正在大力开发数据脱敏和匿名化技术。一是根据业务场景和需求,差异化应用数据脱敏技术方案。在机密场景下,通过加密技术对数据进行脱敏处理,有效保护个人数据。在群体信息统计场景中,利用数据失真技术实现个人信息去标识化,同时输出统计结果数据。在数据可逆需求的情况下,通过位置变换和表映射的方式实现数据脱敏,最大程度保证数据可用性。二是利用数据匿名化技术,有条件地发布数据,防止用户敏感数据泄露。匿名化技术是指按照特定的算法对数据进行变换,在保证数据可用性的同时,保证数据不能被定位和还原给个人,从而达到保护个人隐私信息的目的。目前,匿名化技术主要有差分隐私、K-匿名等。近年来,数据匿名化技术受到业界的广泛关注,并初步应用于数据交换、数据分析等环节。例如,在国际方面,苹果在搜索预测等方面应用了差分隐私技术;在国内,阿里巴巴的数据匿名化技术也取得了长足的进步。我国数据安全技术面临四大难题。一是法律法规要求不明确,技术手段研发动力不足。目前,我国数据安全管理体系已初步建立。《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规(工业和信息化部令第24号)对数据安全和个人信息保护提出了原则性要求,但技术手段的具体建设尚未明确澄清。要求和处罚规则不能有效促进企业数据安全技术手段的开发和应用。受运营成本、系统性能等因素影响,部分企业在数据安全技术方面的投入较少,数据安全技术的研发和应用相对滞后。一些管理要求如分类、权限管理等难以落实,进而影响企业整体的数据安全。能力。二是国家标准法规尚未制定,企业缺乏实施指南。目前,我国与数据安全技术相关的国家标准和行业标准较少,无法对企业形成有效的指导。在数据加密和数据脱敏方面,数据脱敏的方法、过程和效果没有统一的标准。各企业认识存在较大差距,数据安全技术手段的应用无法保证实施效果。在数据分级分类方面,国家和行业都没有形成分级分类目录指南,企业自行制定分级分类规则??,不能保证科学合理。三是数据安全技术研发起步较晚,部分技术尚未具备应用条件。随着数字经济的发展,数据处理场景显着增加,数据处理量级显着增加。传统的网络安全技术已经无法满足当前数据量巨大、数据更新速度极快的场景。数据安全技术作为一个新兴的技术领域,发展时间较短,部分技术手段和方案处于研发阶段,缺乏应用实践,无法有效保障数据安全。例如,数字血统追踪技术、数据字段标注技术还不成熟,对业务运营的影响有待进一步研究,大规模应用尚需时日。四是现有系统复杂,数据安全技术改造实施难度大。我国数据安全管理起步较晚,目前大部分企业都面临着现有业务系统的数据安全改造问题。一是数据资产难以梳理。早期,企业各个业务系统的数据字段名称不统一,数据类型复杂,数量庞大。数据资产整理作为数据安全技术手段的基础性工作难以有效开展。二是影响业务现有系统的性能,增加企业的投入。数据加密、解密、脱敏等技术在一定程度上占用系统资源,影响系统性能和用户体验。数据安全技术改造需要升级硬件设备,加大企业成本投入。三是影响业务系统运行的风险较大。数据安全保护技术的改造往往伴随着核心系统的改造,难度大、风险大。同时,数据安全技术改造是一个新兴的技术领域。目前,可供企业参考的成熟技术方案和实践案例较少,企业顾虑较大。对策建议一是加快出台数据安全法律法规,明确提出数据安全技术手段应用要求。一方面,建议加快制定出台《数据安全法》《个人信息保护法》《数据安全管理办法》、《数据出境安全评估办法》等相关法律法规,构建我国数据安全管理体系,明确我国数据安全管理体系建设的责任和义务。企业数据安全技术手段。另一方面,加快起草制定数据分级分类、数据加密、个人信息去标识化等重点领域相关标准规范,细化和明确分类规则、加密算法强度、去标识化算法和应用场景等研发提供支持。其次,研究提出数据安全技术手段的总体看法和市场报告,以促进数据安全技术产业的健康发展。建议开展数据安全技术体系研究,形成共识的数据安全技术产品体系总体观,明确数据安全技术保护手段的方式、类型、性能、应用场景和范围,引导需求端企业发展数据安全技术能力建设和加强数据安全综合保障能力。同时发布数据安全技术产品市场报告,涵盖我国数据安全技术产品供需关系、成熟度、技术短板等,支持供给方企业投入研发数据安全技术手段,促进市场健康发展。三是倡导数据安全“产学研”结合,鼓励数据安全新技术的研发和应用。鼓励高校、科研院所和企业共同在数据安全技术研发方面开展深入交流与合作,共同推进数据资产清查、数据特征值提取、数据加密、数据匿名化和数据安全。建立技术开发联盟和联合实验室。研究血统追踪、数据防泄露等数据安全技术。同时,针对数据安全新技术研发成果,积极开展试点应用工作。在提升产品性能的同时,加快成果转化应用,有效提升中国企业数据安全防护能力。
