未雨綢繆做好新技術(shù)環(huán)境下數(shù)據(jù)安全管控

宜勇 秦燦輝

幾年前，美國(guó)商務(wù)部以違背美國(guó)國(guó)家安全為由，禁止向中國(guó)四家國(guó)家超級(jí)計(jì)算機(jī)中心出售“至強(qiáng)”（XEON）芯片，美國(guó)一貫高舉的“國(guó)家安全”大棒使中企在美投資屢屢受阻，最近華為事件和中美貿(mào)易戰(zhàn)愈演愈烈。隨著中國(guó)持續(xù)崛起和高速發(fā)展，美國(guó)對(duì)華的懷疑和敵意顯著上升，認(rèn)為中國(guó)是其霸權(quán)最根本、最嚴(yán)重的戰(zhàn)略挑戰(zhàn)。同時(shí)“棱鏡門”使我們認(rèn)識(shí)到，如果不掌握網(wǎng)絡(luò)信息領(lǐng)域的核心技術(shù)，就很難防止其他國(guó)家通過合理或者不合理的手段獲取信息，就很難有完善的對(duì)策防護(hù)類似“棱鏡門”這樣的監(jiān)控項(xiàng)目，作為網(wǎng)絡(luò)信息技術(shù)的發(fā)展中國(guó)家，我們面臨的安全風(fēng)險(xiǎn)仍然嚴(yán)峻。

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，云計(jì)算、人工智能、區(qū)塊鏈等高新前沿技術(shù)的廣泛應(yīng)用，新的科技手段層出不窮，信息量迅猛增加，呈現(xiàn)爆炸性增長(zhǎng)趨勢(shì)。據(jù)統(tǒng)計(jì)近30年來，人類生產(chǎn)的信息已超過過去五千年信息生產(chǎn)的總和，當(dāng)今世界已進(jìn)入大數(shù)據(jù)時(shí)代前夕。大數(shù)據(jù)已經(jīng)成為新發(fā)明和新服務(wù)的源泉，給世界各國(guó)經(jīng)濟(jì)、社會(huì)、民生、生態(tài)帶來了重大深遠(yuǎn)的影響，可以說大數(shù)據(jù)安全直接關(guān)乎國(guó)家命脈，民族興亡。目前，國(guó)內(nèi)外各行各業(yè)頻發(fā)的數(shù)據(jù)泄漏安全事件呈指數(shù)性增長(zhǎng)，利用大數(shù)據(jù)開展對(duì)抗已經(jīng)成為經(jīng)濟(jì)競(jìng)爭(zhēng)甚至軍事行動(dòng)的一個(gè)必選手段，解決好數(shù)據(jù)安全問題已經(jīng)刻不容緩，并提升到國(guó)家安全層面。為了應(yīng)對(duì)大數(shù)據(jù)時(shí)代的新挑戰(zhàn)，應(yīng)該從頂層設(shè)計(jì)開始，加強(qiáng)統(tǒng)籌、集智攻關(guān)、同步展開，邊研究、邊試驗(yàn)、邊部署，實(shí)現(xiàn)數(shù)據(jù)從產(chǎn)生到銷毀全流程全壽命周期管控，建設(shè)數(shù)據(jù)可視可控可追溯的安全體系，塑造一個(gè)堅(jiān)不可摧的數(shù)據(jù)安全堡壘。

網(wǎng)絡(luò)自誕生之日起，網(wǎng)絡(luò)信息安全問題就隨之而來。我國(guó)雖然是網(wǎng)絡(luò)大國(guó)但還不是網(wǎng)絡(luò)強(qiáng)國(guó)，相比歐美等網(wǎng)絡(luò)強(qiáng)國(guó)，我們?cè)跀?shù)據(jù)安全上還存在軟硬件技術(shù)受制于人，網(wǎng)絡(luò)本身安全性差，部分行業(yè)安全意識(shí)差等突出弱點(diǎn)，數(shù)據(jù)泄露事件時(shí)有發(fā)生，且頻率呈上升趨勢(shì)。數(shù)據(jù)一旦泄露，將對(duì)國(guó)家經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)防安全造成不可估量的損失。特別是隨著物聯(lián)網(wǎng)、云和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展和深入應(yīng)用，各行業(yè)數(shù)據(jù)綜合集成、深度融合與匯聚，其數(shù)據(jù)安全問題將更加突出，如果處置不當(dāng)將導(dǎo)致災(zāi)難性后果。

網(wǎng)絡(luò)系統(tǒng)軟硬件受制于人，難以真正掌控?cái)?shù)據(jù)主權(quán)。當(dāng)前，我國(guó)國(guó)產(chǎn)自主化還處于初級(jí)階段，基礎(chǔ)通信網(wǎng)絡(luò)、信息安全防護(hù)、服務(wù)器、存儲(chǔ)設(shè)備、操作系統(tǒng)、開發(fā)編譯工具等核心信息技術(shù)產(chǎn)品缺乏自主可控，還依賴于國(guó)外進(jìn)口。據(jù)統(tǒng)計(jì)，我國(guó)三大運(yùn)營(yíng)商、政府、軍隊(duì)、能源、金融等關(guān)系到國(guó)計(jì)民生行業(yè)所用到的核心信息技術(shù)產(chǎn)品中，國(guó)外廠商設(shè)備占到90%以上比例。這意味著我國(guó)在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，小到各類終端，大到服務(wù)器、信息安全設(shè)備、數(shù)據(jù)存儲(chǔ)設(shè)備等核心信息技術(shù)產(chǎn)品仍然受國(guó)外控制。國(guó)外產(chǎn)品的原生性后門、內(nèi)置病毒和木馬等隱患，一旦被遠(yuǎn)程激活，大量數(shù)據(jù)信息將完全曝光在敵對(duì)勢(shì)力的視野下，隨意竊取、篡改、破壞的安全風(fēng)險(xiǎn)極大。

新一代信息技術(shù)運(yùn)用新模式，增加了數(shù)據(jù)泄漏風(fēng)險(xiǎn)系數(shù)。一是國(guó)計(jì)民生各行業(yè)大力加速云、物聯(lián)網(wǎng)、大數(shù)據(jù)等新一代技術(shù)的應(yīng)用，大量涉及個(gè)人隱私、軍事情報(bào)信息，以及各種政府、公司行為的敏感數(shù)據(jù)大規(guī)模集中存儲(chǔ)增加了泄露風(fēng)險(xiǎn)系數(shù);二是大數(shù)據(jù)應(yīng)用是人工智能、商業(yè)智能、信息技術(shù)等多個(gè)跨領(lǐng)域技術(shù)的集成，數(shù)據(jù)大規(guī)模頻繁網(wǎng)際交換增加了泄露風(fēng)險(xiǎn)系數(shù);三是大數(shù)據(jù)是網(wǎng)絡(luò)中易攻難守的顯著目標(biāo)，攻擊成本低，收獲多，“性價(jià)比”好，無形中降低了黑客、國(guó)外敵對(duì)勢(shì)力、商業(yè)競(jìng)爭(zhēng)對(duì)手?jǐn)?shù)據(jù)竊取成本，數(shù)據(jù)的易受攻擊性增加了泄露風(fēng)險(xiǎn)系數(shù);四是黑客可利用大數(shù)據(jù)挖掘和分析技術(shù)更加精準(zhǔn)的發(fā)起攻擊，疊加效應(yīng)大大強(qiáng)化了網(wǎng)絡(luò)攻擊能力并增加了泄露風(fēng)險(xiǎn)系數(shù);五是傳統(tǒng)的安全防護(hù)措施，跟不上數(shù)據(jù)爆炸性增長(zhǎng)的速度，安全防護(hù)能力弱增加了泄露風(fēng)險(xiǎn)系數(shù)。

網(wǎng)絡(luò)強(qiáng)國(guó)利用技術(shù)不平衡優(yōu)勢(shì)，不斷窺視大數(shù)據(jù)信息。美國(guó)作為全球最大的信息強(qiáng)國(guó)，與英國(guó)、加拿大、澳大利亞、新西蘭組成了“五眼”情報(bào)聯(lián)盟，利用其信息技術(shù)優(yōu)勢(shì)肆無忌憚的對(duì)全球互聯(lián)網(wǎng)數(shù)據(jù)和他國(guó)涉及政治、軍事、經(jīng)濟(jì)等數(shù)據(jù)進(jìn)行搜集、存儲(chǔ)、挖掘，從中刺探他國(guó)的各類情報(bào)，嚴(yán)重威脅主權(quán)國(guó)家的數(shù)據(jù)安全，引發(fā)全球信息安全危機(jī)，而且這種技術(shù)上的不平衡目前難以打破。

關(guān)鍵領(lǐng)域數(shù)據(jù)進(jìn)一步共享開放，數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)管控難度加大。隨著未來大數(shù)據(jù)的廣泛應(yīng)用，政府和公共事業(yè)領(lǐng)域涉及國(guó)家安全的大量數(shù)據(jù)資源也將逐漸實(shí)現(xiàn)共享和進(jìn)一步開放，但目前由于相關(guān)配套法律法規(guī)、數(shù)據(jù)安全防護(hù)體系和監(jiān)管機(jī)制尚不健全，加大了國(guó)計(jì)民生關(guān)鍵數(shù)據(jù)資源流失風(fēng)險(xiǎn)程度。

缺乏數(shù)據(jù)安全防護(hù)體系頂層設(shè)計(jì)，易引發(fā)核心數(shù)據(jù)資產(chǎn)失控。我國(guó)尚未建立系統(tǒng)完善有效的數(shù)據(jù)安全防護(hù)體系，防數(shù)據(jù)竊取、破壞的安全防護(hù)能力還比較薄弱，其信息安全防護(hù)體系還停留在以邊界安全防護(hù)為主的傳統(tǒng)思維上，在現(xiàn)有的安全防護(hù)手段逐漸失去防護(hù)效果，傳統(tǒng)的系統(tǒng)安全、邊界安全無法有效及時(shí)發(fā)現(xiàn)、防御和處置像棱鏡門監(jiān)聽、國(guó)外廠商設(shè)備原生性后門、APT攻擊等深層次、高復(fù)雜、隱蔽性的安全威脅，極易導(dǎo)致涉及國(guó)家政治、國(guó)防、核心商業(yè)機(jī)密數(shù)據(jù)大規(guī)模泄露。

近年來，我國(guó)高度重視數(shù)據(jù)安全，在數(shù)據(jù)安全防護(hù)頂層設(shè)計(jì)上相繼出臺(tái)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等多部涉及數(shù)據(jù)保護(hù)的法律法規(guī)和部門規(guī)章，發(fā)布國(guó)家的個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)，在行業(yè)層面開展以數(shù)據(jù)安全為重點(diǎn)的安全防護(hù)檢查，取得了很好的成效。但目前還缺少對(duì)應(yīng)技術(shù)手段來支撐國(guó)家數(shù)據(jù)安全頂層設(shè)計(jì)的加速落地，“封門堵漏”的被動(dòng)防御思想和安全防御手段，已逐漸喪失防護(hù)優(yōu)勢(shì)，無法有效應(yīng)對(duì)多樣化、智能化、自動(dòng)化的網(wǎng)絡(luò)攻擊手段，傳統(tǒng)意義上的網(wǎng)絡(luò)防護(hù)長(zhǎng)城正在崩塌，新型網(wǎng)絡(luò)數(shù)據(jù)防護(hù)體系亟待建立。我們需要在體系構(gòu)建和技術(shù)體制等方面不斷推陳出新，要以先進(jìn)的數(shù)據(jù)安全理論為引導(dǎo)，采用基于人工智能的主動(dòng)防御技術(shù)、增強(qiáng)數(shù)據(jù)自身免疫的可信密碼技術(shù)等數(shù)據(jù)安全防護(hù)新技術(shù)、新手段，構(gòu)建能夠覆蓋數(shù)據(jù)采集、傳輸、訪問、存儲(chǔ)、銷毀全生命周期，全面、先進(jìn)、完善的數(shù)據(jù)安全防護(hù)體系。并通過采取以下安全保護(hù)措施維護(hù)數(shù)據(jù)安全：

建立數(shù)據(jù)資產(chǎn)安全態(tài)勢(shì)感知系統(tǒng)，改變數(shù)據(jù)資產(chǎn)管理的混沌狀態(tài)。有效的數(shù)據(jù)安全狀況梳理、清晰的數(shù)據(jù)資產(chǎn)分布、明確的數(shù)據(jù)分類分級(jí)是保護(hù)數(shù)據(jù)資產(chǎn)安全的前提;

建立數(shù)據(jù)安全主動(dòng)智能防御系統(tǒng)，精準(zhǔn)識(shí)別和實(shí)時(shí)攔截?cái)?shù)據(jù)攻擊。智能大數(shù)據(jù)時(shí)代的到來，傳統(tǒng)網(wǎng)絡(luò)邊界逐漸消失，傳統(tǒng)的被動(dòng)安全防護(hù)手段無法有效監(jiān)視、發(fā)現(xiàn)、跟蹤、阻止正在實(shí)施的攻擊，業(yè)務(wù)數(shù)據(jù)將遭受日益未知、愈發(fā)復(fù)雜的網(wǎng)絡(luò)安全威脅;

建立基于可信密碼技術(shù)的數(shù)據(jù)安全存儲(chǔ)環(huán)境，有效阻止非授權(quán)訪問。存儲(chǔ)在數(shù)據(jù)庫(kù)的關(guān)系型數(shù)據(jù)或文件系統(tǒng)的非結(jié)構(gòu)化數(shù)據(jù)，被網(wǎng)絡(luò)上眾多計(jì)算機(jī)和用戶，通過多訪問途徑訪問與共享，使得聚集數(shù)據(jù)的數(shù)據(jù)庫(kù)管理系統(tǒng)和文件存儲(chǔ)系統(tǒng)已成為外部攻擊者和內(nèi)部惡意人員的首選目標(biāo);

建立多因子身份認(rèn)證系統(tǒng)，提升用戶身份認(rèn)證過程的靈活性安全性。用戶身份認(rèn)證作為訪問系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的鑰匙，傳統(tǒng)如用戶名口令、手機(jī)短信、二維碼等認(rèn)證方式極易被釣魚網(wǎng)站、木馬程序竊取，或被暴力破解，導(dǎo)致用戶身份被他人冒充;

建立高彈性的超融合架構(gòu)，完善新技術(shù)應(yīng)用下數(shù)據(jù)安全防護(hù)體系?；趥鹘y(tǒng)的安全防護(hù)技術(shù)和被動(dòng)防御模式已不能適應(yīng)和解決云、大數(shù)據(jù)環(huán)境下不復(fù)存在的隔離安全域、業(yè)務(wù)多樣性帶來的防御復(fù)雜度和大規(guī)模攻擊效應(yīng)等安全問題。

（本文第一作者單位系軍事科學(xué)院系統(tǒng)工程研究院后勤科學(xué)與技術(shù)研究所，第二作者任廣東省信息安全工程技術(shù)研究中心副主任）