構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全治理體系
——訪杭州安恒信息技術(shù)股份有限公司首席科學(xué)家、高級副總裁劉博

本刊記者 王 超

當前的行業(yè)共識認為數(shù)據(jù)是驅(qū)動數(shù)字經(jīng)濟發(fā)展的核心動力。以數(shù)據(jù)為基礎(chǔ)的云計算、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等經(jīng)濟生態(tài)及相關(guān)產(chǎn)業(yè)鏈，在智慧城市升級、國家重大基建產(chǎn)業(yè)發(fā)展等方面發(fā)揮著積極的作用。與之相對的是，因數(shù)據(jù)安全和隱私保護水平有限，重要數(shù)據(jù)和個人信息的泄露和濫用問題依舊突出，極大地限制了我國數(shù)字經(jīng)濟的健康發(fā)展和國際競爭力。

為此，信息安全與通信保密雜志社記者對杭州安恒信息技術(shù)股份有限公司首席科學(xué)家、高級副總裁劉博進行了專訪，就我國數(shù)據(jù)安全發(fā)展的契機與挑戰(zhàn)、數(shù)據(jù)安全治理體系建設(shè)、數(shù)據(jù)全生命周期安全內(nèi)涵等方面進行了深入溝通和探討。

記者：請您談一下目前數(shù)據(jù)安全面臨的契機與挑戰(zhàn)。

劉博：目前，數(shù)據(jù)安全正在迎來一個重要契機，就是數(shù)據(jù)要素市場的建設(shè)。數(shù)據(jù)安全是建立數(shù)據(jù)要素市場的必要條件，而不是先有數(shù)據(jù)要素市場再做安全。個人隱私保護、敏感數(shù)據(jù)使用、數(shù)據(jù)確權(quán)等難題都是數(shù)據(jù)要素市場化的“攔路虎”。而針對這些難題，我們可以引入“數(shù)據(jù)安全島”模式，利用安全計算沙箱、安全多方計算、區(qū)塊鏈等技術(shù)，實現(xiàn)原始數(shù)據(jù)不出本地，只交換計算結(jié)果，做到數(shù)據(jù)共享的“可用不可見”。由此，解決數(shù)據(jù)信任和隱私保護、溯源等難題，讓流動數(shù)據(jù)成為數(shù)字經(jīng)濟發(fā)展的新動能。

目前，傳統(tǒng)的安全措施難以適配新型數(shù)據(jù)安全問題。再者，跨機構(gòu)、跨行業(yè)的數(shù)據(jù)融合，導(dǎo)致了數(shù)據(jù)應(yīng)用訪問的控制愈加復(fù)雜。總體來說，我國數(shù)據(jù)安全趨向于集合數(shù)據(jù)全生命周期防護、數(shù)據(jù)安全治理、數(shù)據(jù)安全運營等方面的系統(tǒng)化和工程化方向發(fā)展。

當前，各個領(lǐng)域的數(shù)據(jù)安全問題呈現(xiàn)出不同的發(fā)展特征，帶來了多種多樣的挑戰(zhàn)。從數(shù)據(jù)的應(yīng)用場景來看，數(shù)據(jù)安全問題主要包括數(shù)據(jù)自身的安全問題和數(shù)據(jù)跨行業(yè)、跨組織使用過程中帶來的數(shù)據(jù)共享交換安全問題。前者主要包括數(shù)據(jù)泄露、敏感數(shù)據(jù)使用和數(shù)據(jù)監(jiān)管等，后者主要包括數(shù)據(jù)信任、隱私數(shù)據(jù)使用和數(shù)據(jù)的主動遺忘等。

數(shù)據(jù)安全方面的挑戰(zhàn)主要包括三個方面：第一，跨組織、跨部門的異構(gòu)多源數(shù)據(jù)共享交換場景中的信任、數(shù)據(jù)安全和隱私保護的挑戰(zhàn)；第二，數(shù)據(jù)融合使用帶來的敏感數(shù)據(jù)全流程監(jiān)管、數(shù)據(jù)血緣關(guān)系分解和數(shù)據(jù)溯源等挑戰(zhàn)；第三，增量數(shù)據(jù)或動態(tài)數(shù)據(jù)的訪問權(quán)限管控，以及動態(tài)鑒權(quán)等新型數(shù)據(jù)模型帶來的管理挑戰(zhàn)。

記者：如何利用新一代技術(shù)建設(shè)數(shù)據(jù)要素市場？

劉博：首先是政策方面。目前我國出臺了不少利好政策，很多省、市或區(qū)縣級單位已經(jīng)開始探索新一代數(shù)據(jù)交易及數(shù)據(jù)價值的對外開放。

接下來我重點談一下數(shù)據(jù)共享的難點與技術(shù)。

我們應(yīng)著重考慮如何利用新一代技術(shù)更好地服務(wù)數(shù)據(jù)共享或數(shù)據(jù)要素市場的戰(zhàn)略。我們最終希望實現(xiàn)原始數(shù)據(jù)“可用不可見”，或者，雖然對方可以看到部分脫敏數(shù)據(jù)，但不可任意取用這些數(shù)據(jù)，這是我們希望實現(xiàn)的目標。

目前，我們主要使用的技術(shù)是可信執(zhí)行環(huán)境。數(shù)據(jù)只有在最終執(zhí)行的過程中呈現(xiàn)明文狀態(tài)，但無法通過攻擊的方式被獲取。安恒信息AiLand數(shù)據(jù)安全島平臺目前不僅支持可信執(zhí)行環(huán)境技術(shù)，還支持數(shù)據(jù)全生命周期的加密、多方安全計算、以密碼學(xué)為基礎(chǔ)的一些算法和協(xié)議，包括聯(lián)邦學(xué)習(xí)的一些算法，同時對數(shù)據(jù)全生命周期安全進行全流程的審計、審批及保護。

目前，還沒有發(fā)布針對大數(shù)據(jù)可信執(zhí)行環(huán)境的行業(yè)標準，但行業(yè)內(nèi)部就某些方面已經(jīng)達成了共識。

一是執(zhí)行環(huán)境的隔離，我們將操作環(huán)境、調(diào)試環(huán)境和真正的執(zhí)行環(huán)境隔離，在模型調(diào)試的過程中只能看到脫敏數(shù)據(jù)或是一些測試類數(shù)據(jù)，只有在執(zhí)行時才計算真實的數(shù)據(jù)。二是身份驗證。三是數(shù)據(jù)加密，目前我們也是使用國密認證的算法在數(shù)據(jù)流轉(zhuǎn)過程中進行全流程的加密。四是溯源。五是可驗證，所有操作必須是可驗證的，安全島里我們也使用了區(qū)塊鏈技術(shù)對所有操作進行上鏈，避免風(fēng)險操作導(dǎo)致篡改或用戶的惡意行為。

安全島涉及的主要應(yīng)用場景有四個。一是賦能政數(shù)局的數(shù)據(jù)開放，除了賦能政務(wù)還要賦能到各行各業(yè)。二是公安數(shù)據(jù)，無論是對外開放，還是開放給委辦局或政府其他單位。三是大數(shù)據(jù)交易中心，安全島支撐數(shù)據(jù)交易平臺來服務(wù)數(shù)據(jù)流轉(zhuǎn)。四是數(shù)據(jù)服務(wù)公司，很多擁有大量數(shù)據(jù)的數(shù)據(jù)服務(wù)公司，可以利用數(shù)據(jù)安全島技術(shù)在保證安全的情況下賦能到更多企業(yè)。

舉個例子，如何在保護學(xué)生隱私的同時合理規(guī)劃學(xué)區(qū)和師資力量？杭州的外來人口多，人員流動大，如何保證教育資源合理分配，這需要結(jié)合教育局、公安局和房管局三方的數(shù)據(jù)計算得出。

我們可以通過“安全島”技術(shù)將各方數(shù)據(jù)匯聚起來放在島內(nèi)進行計算。用于計算的數(shù)據(jù)都是密文存儲的，每一方的數(shù)據(jù)必須經(jīng)過各自審批才能使用。我們可以保證在各方數(shù)據(jù)不被他人看到的情況下實現(xiàn)多方安全融合計算，計算結(jié)束后再及時銷毀，相當于一次性任務(wù)。最終計算結(jié)果交付給教育局，實現(xiàn)數(shù)據(jù)“可用不可見”。

最后，數(shù)據(jù)安全監(jiān)管責(zé)任重大。相應(yīng)的法律法規(guī)與政策是技術(shù)發(fā)展的依托，能夠促進技術(shù)手段的迭代和規(guī)范，就像美國在落實《通用數(shù)據(jù)保護條例（GDPR）》和《加利福尼亞州消費者隱私保護法案（CCPA）》的時候一樣。

如何通過技術(shù)化手段幫助監(jiān)管機構(gòu)實現(xiàn)對于數(shù)據(jù)安全的保護、開放及合規(guī)，是一個非常有挑戰(zhàn)性的問題，也是一個必須要解決的問題。

記者：如何構(gòu)建科學(xué)合理的數(shù)據(jù)安全治理體系？

劉博：數(shù)據(jù)安全作為大數(shù)據(jù)時代的盔甲，有著不可動搖的地位。企業(yè)和國家應(yīng)在完善數(shù)據(jù)處理和分析能力的同時，加快數(shù)據(jù)安全治理能力的建設(shè)，才能讓大數(shù)據(jù)驅(qū)動的新時代變得更加安全。

數(shù)據(jù)安全治理體系的建設(shè)要以數(shù)據(jù)全生命周期為核心，實現(xiàn)數(shù)據(jù)安全全方位治理。傳統(tǒng)的數(shù)據(jù)安全監(jiān)管方法以系統(tǒng)為中心，但目前，數(shù)據(jù)的共享交換已經(jīng)變成同一個部門、不同層級之間流動的常態(tài)化過程，所以構(gòu)建數(shù)據(jù)全生命周期的監(jiān)管體系勢在必行。

數(shù)據(jù)安全治理體系框架通過三個維度構(gòu)建而成，包括政策法規(guī)、技術(shù)層面和安全組織人員。數(shù)據(jù)安全治理體系框架在符合政策法規(guī)及標準規(guī)范的同時，需要在技術(shù)上實現(xiàn)對數(shù)據(jù)的實時監(jiān)管，并配合經(jīng)過規(guī)范培訓(xùn)的安全組織人員，構(gòu)成數(shù)據(jù)安全治理體系框架的建設(shè)。

在整個體系中，核心監(jiān)管技術(shù)體現(xiàn)在技術(shù)架構(gòu)層面，包括安全運營中心、數(shù)據(jù)中心以及安全基礎(chǔ)資源。通過提供最基礎(chǔ)的技術(shù)保障，使安全運營中心對整個數(shù)據(jù)中心進行實時的響應(yīng)控制。安全運營中心集中體現(xiàn)在資產(chǎn)管理、合規(guī)監(jiān)管、實時監(jiān)測、數(shù)據(jù)安全態(tài)勢以及通報預(yù)警等方面。安全運營中心的實現(xiàn)是采集數(shù)據(jù)中心數(shù)據(jù)，進行數(shù)據(jù)匯聚、分析以及治理從而實現(xiàn)對數(shù)據(jù)的實時管控。數(shù)據(jù)安全基礎(chǔ)資源是整體技術(shù)框架的支持組件，提供最基礎(chǔ)的技術(shù)保障的同時，以工具的形式保障數(shù)據(jù)安全。

記者：數(shù)據(jù)全生命周期分為哪幾個階段？

劉博：數(shù)據(jù)安全可分為六個生命周期階段：數(shù)據(jù)采集認證和風(fēng)險評估、數(shù)據(jù)傳輸加密控制、數(shù)據(jù)存儲加密、數(shù)據(jù)授權(quán)和脫敏使用、數(shù)據(jù)安全共享交換以及數(shù)據(jù)銷毀追溯與責(zé)任。

第一，數(shù)據(jù)采集階段。要明確采集規(guī)范，制定采集策略，完善數(shù)據(jù)采集風(fēng)險評估以及保證數(shù)據(jù)采集的合規(guī)合法性。數(shù)據(jù)采集規(guī)范中明確數(shù)據(jù)采集的目的、用途、方式、范圍、采集源、采集渠道等內(nèi)容，對數(shù)據(jù)來源進行源鑒別和記錄。制定明確的采集策略，體現(xiàn)在采集周期和采集內(nèi)容的定義，只采集經(jīng)過授權(quán)的數(shù)據(jù)并進行日志記錄。對數(shù)據(jù)采集過程中的風(fēng)險項進行定義，形成數(shù)據(jù)采集風(fēng)險評估規(guī)范，包括評估方式和周期細節(jié)等。最后，在數(shù)據(jù)采集全過程中，需要符合相關(guān)法律法規(guī)和監(jiān)管要求，做到合規(guī)、合法采集。

第二，數(shù)據(jù)傳輸階段。使用合適的加密算法對數(shù)據(jù)進行加密傳輸，其中主要用到的是對稱加密算法和非對稱加密算法。“對稱加密算法”（又稱“私鑰加密算法”或“傳統(tǒng)密碼算法”），指加密和解密使用相同密鑰的加密算法，也就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來。目前主要的對稱加密算法有DES、IDEA、AES、SM1（國密算法）等。“非對稱加密算法”需要一對密鑰，即公開密鑰（public key）和私有密鑰（private key）。公開密鑰與私有密鑰是一對，用公開密鑰對數(shù)據(jù)進行加密,只有對應(yīng)的私有密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法稱為非對稱加密算法。常用的非對稱加密算法有RSA、ECC、SM2（國密算法）。

第三，數(shù)據(jù)存儲階段。制定存儲介質(zhì)標準和存儲系統(tǒng)的安全防護是重要標準。存儲介質(zhì)標準需要覆蓋存儲介質(zhì)的定義和質(zhì)量、存儲介質(zhì)的收發(fā)運輸、存儲介質(zhì)的使用記錄及管理以及存儲介質(zhì)維修規(guī)范的制定。對存儲系統(tǒng)的安全防護，需要包括數(shù)據(jù)備份、歸檔和恢復(fù)以及對存儲系統(tǒng)的弱點進行識別及維護。

第四，數(shù)據(jù)處理階段。明確數(shù)據(jù)脫敏的業(yè)務(wù)場景和統(tǒng)一使用適宜的脫敏技術(shù)，是數(shù)據(jù)處理的關(guān)鍵。在這一階段，不同場景使用不同的脫敏規(guī)則和方法，根據(jù)申請使用敏感信息的場景、申請人背景及情況，評估提供真實數(shù)據(jù)的必要性和脫敏技術(shù)的使用。

脫敏技術(shù)主要分為靜態(tài)脫敏和動態(tài)脫敏。靜態(tài)脫敏直接通過屏蔽、變形、替換、隨機、格式保留加密（FPE）和強加密算法（如AES）等多種脫敏算法，針對不同數(shù)據(jù)類型進行數(shù)據(jù)掩碼擾亂，并將脫敏后的數(shù)據(jù)按用戶需求，裝載至不同環(huán)境中。導(dǎo)出的數(shù)據(jù)是以脫敏后的形式存儲于外部存儲介質(zhì)中，實際上已經(jīng)改變了存儲的數(shù)據(jù)內(nèi)容。動態(tài)脫敏通過精確解析SQL語句匹配脫敏條件。例如，訪問IP、MAC、數(shù)據(jù)庫用戶、客戶端工具、操作系統(tǒng)用戶、主機名、時間、影響行數(shù)等，在匹配成功后改寫查詢SQL或者攔截防護返回脫敏后的數(shù)據(jù)到應(yīng)用端，從而實現(xiàn)敏感數(shù)據(jù)的脫敏，實際上存儲于生產(chǎn)庫的數(shù)據(jù)未發(fā)生任何變化。

第五，數(shù)據(jù)使用階段。要完善相應(yīng)的安全保障機制、數(shù)據(jù)信任體系和手段。基于數(shù)據(jù)共享交換過程中存在的數(shù)據(jù)共享難、遺忘難、安全保障難等問題，秉承“數(shù)據(jù)可用不可見”“可用不可取”的安全理念，應(yīng)用大數(shù)據(jù)可信執(zhí)行環(huán)境、MPC、聯(lián)邦學(xué)習(xí)等多種隱私計算前沿技術(shù)，實現(xiàn)共享數(shù)據(jù)的所有權(quán)和使用權(quán)分離，保障多方數(shù)據(jù)聯(lián)合計算過程的可靠、可控和可溯。

第六，數(shù)據(jù)銷毀階段。結(jié)合場景保障銷毀技術(shù)的多樣性。根據(jù)不同的存儲介質(zhì)和設(shè)備對應(yīng)匹配不可逆的銷毀技術(shù)及流程，實現(xiàn)針對磁盤、光盤等各類數(shù)據(jù)存儲介質(zhì)的不同銷毀技術(shù)及流程，建立銷毀監(jiān)察機制，嚴防數(shù)據(jù)銷毀階段可能出現(xiàn)的數(shù)據(jù)泄露問題。

在建設(shè)數(shù)據(jù)全生命周期監(jiān)管的過程中，為了實現(xiàn)監(jiān)控和審計，數(shù)據(jù)分類分級是必不可少的。在這之前，我們需要通過數(shù)據(jù)測繪來發(fā)現(xiàn)敏感數(shù)據(jù)以及數(shù)據(jù)主要存儲的位置。對數(shù)據(jù)進行結(jié)構(gòu)化分類分級，實現(xiàn)對數(shù)據(jù)資產(chǎn)安全進行敏感分級管理，并依據(jù)各級別部署相對應(yīng)的數(shù)據(jù)安全策略，以保障數(shù)據(jù)資產(chǎn)全生命周期中數(shù)據(jù)的保密性、完整性、真實性和可用性。

記者：新基建時代，數(shù)據(jù)安全工作應(yīng)如何開展？

劉博：網(wǎng)絡(luò)安全企業(yè)應(yīng)該具備體系化工程思維。網(wǎng)絡(luò)安全本身就是一個交叉行業(yè)，在國家倡導(dǎo)“新基建”的背景下，網(wǎng)絡(luò)安全企業(yè)應(yīng)當參與到新基建項目的頂層規(guī)劃中，運用工程思維建設(shè)網(wǎng)絡(luò)能力，提升自身產(chǎn)品和服務(wù)水平，給各行業(yè)帶來安全力量，促進網(wǎng)絡(luò)安全向服務(wù)化轉(zhuǎn)型。網(wǎng)安企業(yè)應(yīng)當成為新一代信息基礎(chǔ)設(shè)施的運營者，服務(wù)數(shù)字城市和數(shù)字社會的管理，保障數(shù)字經(jīng)濟的安全平穩(wěn)運行。

“安于責(zé)任，恒于創(chuàng)新”是安恒信息始終堅持的文化。依托多年積累的研究和行業(yè)經(jīng)驗，未來將繼續(xù)圍繞“云、大、物、工、智”開發(fā)適用于“新基建”、新場景下的新一代網(wǎng)絡(luò)信息安全新產(chǎn)品，研發(fā)具備真正的城市級智能感知防護產(chǎn)品和全天候安全應(yīng)急運營能力。以大數(shù)據(jù)安全、安全分析大腦、5G及物聯(lián)網(wǎng)安全和人工智能安全的研發(fā)為基礎(chǔ)，打造“新基建”安全中國樣板，同時服務(wù)政府和企業(yè)的數(shù)字化轉(zhuǎn)型。

數(shù)據(jù)安全是“新基建”中的基礎(chǔ)問題，從個人隱私、場景業(yè)務(wù)應(yīng)用（比如工業(yè)互聯(lián)網(wǎng)）、數(shù)據(jù)流通等方面來看，保障數(shù)據(jù)安全十分關(guān)鍵。對此，應(yīng)當建立完善的數(shù)據(jù)安全制度。

首先，應(yīng)當根據(jù)業(yè)務(wù)使用場景、數(shù)據(jù)熟悉實施數(shù)據(jù)分類分級工作。建立數(shù)據(jù)分類分級組織，按照國家有關(guān)規(guī)定，建立數(shù)據(jù)安全分類分級規(guī)范，建立數(shù)據(jù)資產(chǎn)分類分級清單，根據(jù)數(shù)據(jù)分類分級結(jié)果設(shè)計相應(yīng)的數(shù)據(jù)分析防護策略。

其次，做好數(shù)據(jù)安全頂層規(guī)劃，構(gòu)建全生命周期的數(shù)據(jù)安全綜合防御體系，注重數(shù)據(jù)環(huán)境安全建設(shè)，保護網(wǎng)絡(luò)安全和物理安全等；加強在隱私保護核心技術(shù)上的投入，兼顧數(shù)據(jù)利用和隱私保護雙重需求。

為了保障數(shù)據(jù)安全，構(gòu)建良好的行業(yè)發(fā)展生態(tài)，劉博表示應(yīng)當樹立新的觀念，明確數(shù)據(jù)安全建設(shè)將會轉(zhuǎn)變?yōu)椤皵?shù)據(jù)安全工程”建設(shè)，充分認識數(shù)據(jù)安全工程的重要性、復(fù)雜性，以工程化思維做好數(shù)據(jù)安全頂層規(guī)劃。

具體而言，可以圍繞以下幾個方面展開：第一，構(gòu)建數(shù)據(jù)安全責(zé)任體系，明確企業(yè)安全責(zé)任主體和各級政府管理責(zé)任；第二，加強態(tài)勢感知、測試評估、預(yù)警處置等數(shù)據(jù)安全能力建設(shè)，實現(xiàn)閉環(huán)管理，全面保障數(shù)據(jù)安全；第三，國家和地方出臺數(shù)據(jù)安全策略，聯(lián)合各數(shù)據(jù)監(jiān)管單位，摒棄傳統(tǒng)的以單位內(nèi)部管理為核心的安全管理理念，上升到區(qū)域公共數(shù)據(jù)管理組織為核心的理念，形成“行業(yè)、區(qū)域一盤棋一體化”的管理局面；第四，大數(shù)據(jù)監(jiān)管部門與數(shù)據(jù)安全企業(yè)成立“市場化數(shù)據(jù)安全運營中心”，通過“頂層設(shè)計、健全管理、創(chuàng)新技術(shù)、聯(lián)動運營、夯實基礎(chǔ)”的規(guī)劃思路，形成具有主動防御、聯(lián)動運營能力的數(shù)據(jù)安全保障體系；第五，加大數(shù)據(jù)安全測評技術(shù)研發(fā)，構(gòu)建合理的數(shù)據(jù)安全測評方法，并成立專門的數(shù)據(jù)安全測評機構(gòu)。

希望國家和相關(guān)數(shù)據(jù)監(jiān)管部門能夠跟進數(shù)據(jù)安全工程與數(shù)字化經(jīng)濟共贏發(fā)展模式的課題研究，重點研究數(shù)據(jù)作為生產(chǎn)要素的主要特征，探索以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展路徑和模式，提出數(shù)據(jù)安全工程與數(shù)字化經(jīng)濟的共贏模式，為數(shù)據(jù)產(chǎn)業(yè)提供頂層指導(dǎo)。