DT時代的安全思考

趙艷秋

一個預計是700人規(guī)模的會議，結果吸引了1400多人。而這個會議的主題并不是大熱的AI、Fintech、智慧醫(yī)療等等，而是國內第一個以數據安全為主題的峰會。

不難看出，伴隨數據時代（DT時代）的到來，數據安全正成為一個業(yè)界熱點，吸引著用戶、業(yè)界學者和產業(yè)鏈服務商的關注。

被操控的智能設備

中國科學院院士何積豐教授走訪了多家國內外飛機、汽車、化工等企業(yè)，調研智能制造與工業(yè)大數據。他發(fā)現，自從工業(yè)大數據與互聯網建立起聯系，就失去了“天然屏障”。其所引發(fā)的數據安全隱患，需要行業(yè)人士高度關注。

“很多數據安全問題，目前業(yè)界還沒有好的解決之道?！?何積豐說，比如，工業(yè)企業(yè)現在也要采集社交媒體、電子商務數據，來直接與消費者互動，而采集環(huán)節(jié)不可避免地出現了數據安全漏洞。同樣，在數據存儲和管理系統(tǒng)（這是工業(yè)設計和產品信息的“集中地”）數據加密要求越來越高。一些人認為，采用更高級的加密方法，如明文加密變成密文加密，數據就會更安全?！捌鋵嵅]有那么簡單，這樣的加密方法讓數據訪問和檢索都遇到了問題”。

在數據應用場景中，像工廠流水線上工人手中的移動辦公設備，還有近年來火爆的智能醫(yī)療和智能交通，都采用無線數據傳輸鏈路，因此很容易被黑客入侵。黑客由此就能輕松改變生產指標，變換病人的注射藥物劑量，讓車主失去對汽車的控制，甚至因此很多國外家庭的車庫可以對自家汽車自動敞開大門……一系列在美國大片中的場景，會在現實中上演，數據安全涉及的問題太廣太深。

即使問題層出不窮，數據安全并沒有引起重視。工業(yè)企業(yè)引入大數據和智能制造，首要考慮的是效率，對安全還沒有足夠的關注。去年，黑客通過操縱攝像頭，造成美國大范圍的互聯網癱瘓；生產流水線上“發(fā)瘋”的機器人，曾“打死”了現場的工作人員。而電網和水網的安全，并不像我們想象得那么樂觀。未來越來越多的智能家電，能為黑客所操控。 “希望政府和行業(yè)人士能關注工業(yè)大數據的安全?！焙畏e豐強調說。

捉襟見肘的安全投入

不僅是工業(yè)大數據，數據已經成為國家核心基礎戰(zhàn)略資源。從斯諾登事件到永恒之藍，從希拉里郵件門到徐玉玉跳樓事件，數據安全已涉及國家、社會的方方面面。

“但國內在數據安全上的投入還非常微小。” 浙江華途信息安全技術股份有限公司總裁謝永勝說。在這方面，從事了10年數據安全的謝永勝深有感觸。

根據市場調研公司IDC的最新報告，2016年全球安全市場投入為736億美元，其中美國占到43%，達315億美元。相比之下，中國僅占市場的4%，為30億美元。再從安全細分市場——數據泄露防護領域來看，它占安全市場總體的15%?！叭绻袊サ羧轂膫浞莸壤先龢油度耄烙嬙跀祿孤斗雷o上的投入不足5%?！敝x永勝說，“這個投入，我認為是遠遠不夠的。”

即便是從2015年到2020期間，中國在安全投入的年復合增長率達到20.6%，到2020年也只有70億美元，這與中國“世界第二大經濟體”相比，捉襟見肘。

“我們現在就如同在裸奔——服裝設計圖、機械設計圖、藥品配方……企業(yè)在研發(fā)創(chuàng)新中投入越來越多，但被別人拿走的也會越來越多?！?謝永勝直言。

如何改變現狀？謝永勝提出了他的三個思考。

首先，要改變的是DT時代的安全建設體系。在傳統(tǒng)信息安全體系中，網絡安全是核心?！岸贒T時代，我們要以數據安全為核心，從同心圓的圓心‘數據安全往外走，構建從數據安全到應用安全、主機和系統(tǒng)安全、網絡安全，再到物理安全的多層立體防護體系”。

其次，形成良好的數據安全生態(tài)氛圍，這不單單是技術問題，而是囊括國家政策、法律制度、社會文化、用戶意識到行為的一系列事情。

再次，打造相融合的數據安全產業(yè)鏈。有報告顯示，大多數企業(yè)采用了5家以上安全供應商的產品服務，這讓安全問題變得更加復雜?！鞍踩且粋€多層立體體系，應該是你中有我，我中有你?！敝x永勝說，“你做網絡安全時把我的數據安全做進去；我做數據安全應該考慮引入你的網絡安全?！?/p>

謝永勝在數據安全大會上，拋出橄欖枝，希望有更多的企業(yè)合縱連橫。首先是業(yè)界方案的整合，然后走向融合，“這需要時間培育”。

數據安全元年

不僅是安全技術的融合，數據的安全共享是企業(yè)迫切的需求。

華能和寶鋼是《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術指引》示范性企業(yè)。他們在試點過程中感到，目前共享安全數據談得少，做得少，但這是他們的剛需。

這方面國家立法不可或缺。“到目前為止，除了非洲和中東，全球各區(qū)域都有數據安全立法?！比A為大數據安全首席戰(zhàn)略規(guī)劃師張銳剛在峰會上說，“如歐盟《數據保護指令》、美國《消費者隱私權法案》草案。”

特別是歐盟將于2018年5月生效的《一般數據保護法案》，對個人信息保護及其監(jiān)管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案。張銳剛相信，中國管理公民隱私的法案一定也會建立起來。

這兩年，出現了黑市數據，泄漏了個人隱私數據。“我們大數據產業(yè)的人感到，大數據不能這樣快速去搞，要關注安全。大數據的商業(yè)模式究竟在哪里，數據是屬于誰的？我購買了這個電信套餐，那么上網記錄，通話記錄是誰的？大家都在思考。我認為2017年是大數據安全和隱私的元年，到2018年，大家將想清楚這些問題?！睆堜J剛說。

一個好的大數據安全管控究竟是什么樣的？張銳剛認為，首先要對現有系統(tǒng)具備無擾性。其次，安全管控要對內產生威懾力，通過大數據實時技術，實時取證，讓人們意識到安全是頭上一把劍。再次，安全對所有用戶是可視化的。此外，未來安全一定走向智能化。

華途股份謝永勝則認為，數據安全與網絡安全有本質區(qū)分。數據安全要做深做透一定要懂業(yè)務，數據流與業(yè)務流要集成。數據安全也要關注底層操作系統(tǒng)、數據庫等技術，才能產生穩(wěn)定扎實的產品。

在首屆數據安全峰會上，長安保險與華途股份共同發(fā)布首個中國數據安全險。這讓數據安全領域在技術驅動和管理驅動之外，第一次通過保險金融手段，為用戶提供更多的數據安全保障范疇。

“我們與保險公司談了很多次，這如同當年車險一樣，是行業(yè)的進化?！敝x永勝說，“保險公司與我們都知道，還有很多路要走。像國家認可的裁定機構這樣的產業(yè)鏈環(huán)節(jié)。我們先提出來，推動這件事往前走?！?