趙艷秋
一個預計是700人規(guī)模的會議,結果吸引了1400多人。而這個會議的主題并不是大熱的AI、Fintech、智慧醫(yī)療等等,而是國內第一個以數據安全為主題的峰會。
不難看出,伴隨數據時代(DT時代)的到來,數據安全正成為一個業(yè)界熱點,吸引著用戶、業(yè)界學者和產業(yè)鏈服務商的關注。
被操控的智能設備
中國科學院院士何積豐教授走訪了多家國內外飛機、汽車、化工等企業(yè),調研智能制造與工業(yè)大數據。他發(fā)現,自從工業(yè)大數據與互聯網建立起聯系,就失去了“天然屏障”。其所引發(fā)的數據安全隱患,需要行業(yè)人士高度關注。
“很多數據安全問題,目前業(yè)界還沒有好的解決之道?!?何積豐說,比如,工業(yè)企業(yè)現在也要采集社交媒體、電子商務數據,來直接與消費者互動,而采集環(huán)節(jié)不可避免地出現了數據安全漏洞。同樣,在數據存儲和管理系統(tǒng)(這是工業(yè)設計和產品信息的“集中地”)數據加密要求越來越高。一些人認為,采用更高級的加密方法,如明文加密變成密文加密,數據就會更安全?!捌鋵嵅]有那么簡單,這樣的加密方法讓數據訪問和檢索都遇到了問題”。
在數據應用場景中,像工廠流水線上工人手中的移動辦公設備,還有近年來火爆的智能醫(yī)療和智能交通,都采用無線數據傳輸鏈路,因此很容易被黑客入侵。黑客由此就能輕松改變生產指標,變換病人的注射藥物劑量,讓車主失去對汽車的控制,甚至因此很多國外家庭的車庫可以對自家汽車自動敞開大門……一系列在美國大片中的場景,會在現實中上演,數據安全涉及的問題太廣太深。
即使問題層出不窮,數據安全并沒有引起重視。工業(yè)企業(yè)引入大數據和智能制造,首要考慮的是效率,對安全還沒有足夠的關注。去年,黑客通過操縱攝像頭,造成美國大范圍的互聯網癱瘓;生產流水線上“發(fā)瘋”的機器人,曾“打死”了現場的工作人員。而電網和水網的安全,并不像我們想象得那么樂觀。未來越來越多的智能家電,能為黑客所操控。 “希望政府和行業(yè)人士能關注工業(yè)大數據的安全?!焙畏e豐強調說。
捉襟見肘的安全投入
不僅是工業(yè)大數據,數據已經成為國家核心基礎戰(zhàn)略資源。從斯諾登事件到永恒之藍,從希拉里郵件門到徐玉玉跳樓事件,數據安全已涉及國家、社會的方方面面。
“但國內在數據安全上的投入還非常微小。” 浙江華途信息安全技術股份有限公司總裁謝永勝說。在這方面,從事了10年數據安全的謝永勝深有感觸。
根據市場調研公司IDC的最新報告,2016年全球安全市場投入為736億美元,其中美國占到43%,達315億美元。相比之下,中國僅占市場的4%,為30億美元。再從安全細分市場——數據泄露防護領域來看,它占安全市場總體的15%?!叭绻袊サ羧轂膫浞莸壤先龢油度耄烙嬙跀祿孤斗雷o上的投入不足5%?!敝x永勝說,“這個投入,我認為是遠遠不夠的。”
即便是從2015年到2020期間,中國在安全投入的年復合增長率達到20.6%,到2020年也只有70億美元,這與中國“世界第二大經濟體”相比,捉襟見肘。
“我們現在就如同在裸奔——服裝設計圖、機械設計圖、藥品配方……企業(yè)在研發(fā)創(chuàng)新中投入越來越多,但被別人拿走的也會越來越多?!?謝永勝直言。
如何改變現狀?謝永勝提出了他的三個思考。
首先,要改變的是DT時代的安全建設體系。在傳統(tǒng)信息安全體系中,網絡安全是核心?!岸贒T時代,我們要以數據安全為核心,從同心圓的圓心‘數據安全往外走,構建從數據安全到應用安全、主機和系統(tǒng)安全、網絡安全,再到物理安全的多層立體防護體系”。
其次,形成良好的數據安全生態(tài)氛圍,這不單單是技術問題,而是囊括國家政策、法律制度、社會文化、用戶意識到行為的一系列事情。
再次,打造相融合的數據安全產業(yè)鏈。有報告顯示,大多數企業(yè)采用了5家以上安全供應商的產品服務,這讓安全問題變得更加復雜?!鞍踩且粋€多層立體體系,應該是你中有我,我中有你?!敝x永勝說,“你做網絡安全時把我的數據安全做進去;我做數據安全應該考慮引入你的網絡安全?!?/p>
謝永勝在數據安全大會上,拋出橄欖枝,希望有更多的企業(yè)合縱連橫。首先是業(yè)界方案的整合,然后走向融合,“這需要時間培育”。
數據安全元年
不僅是安全技術的融合,數據的安全共享是企業(yè)迫切的需求。
華能和寶鋼是《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術指引》示范性企業(yè)。他們在試點過程中感到,目前共享安全數據談得少,做得少,但這是他們的剛需。
這方面國家立法不可或缺。“到目前為止,除了非洲和中東,全球各區(qū)域都有數據安全立法?!比A為大數據安全首席戰(zhàn)略規(guī)劃師張銳剛在峰會上說,“如歐盟《數據保護指令》、美國《消費者隱私權法案》草案。”
特別是歐盟將于2018年5月生效的《一般數據保護法案》,對個人信息保護及其監(jiān)管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案。張銳剛相信,中國管理公民隱私的法案一定也會建立起來。
這兩年,出現了黑市數據,泄漏了個人隱私數據。“我們大數據產業(yè)的人感到,大數據不能這樣快速去搞,要關注安全。大數據的商業(yè)模式究竟在哪里,數據是屬于誰的?我購買了這個電信套餐,那么上網記錄,通話記錄是誰的?大家都在思考。我認為2017年是大數據安全和隱私的元年,到2018年,大家將想清楚這些問題?!睆堜J剛說。
一個好的大數據安全管控究竟是什么樣的?張銳剛認為,首先要對現有系統(tǒng)具備無擾性。其次,安全管控要對內產生威懾力,通過大數據實時技術,實時取證,讓人們意識到安全是頭上一把劍。再次,安全對所有用戶是可視化的。此外,未來安全一定走向智能化。
華途股份謝永勝則認為,數據安全與網絡安全有本質區(qū)分。數據安全要做深做透一定要懂業(yè)務,數據流與業(yè)務流要集成。數據安全也要關注底層操作系統(tǒng)、數據庫等技術,才能產生穩(wěn)定扎實的產品。
在首屆數據安全峰會上,長安保險與華途股份共同發(fā)布首個中國數據安全險。這讓數據安全領域在技術驅動和管理驅動之外,第一次通過保險金融手段,為用戶提供更多的數據安全保障范疇。
“我們與保險公司談了很多次,這如同當年車險一樣,是行業(yè)的進化?!敝x永勝說,“保險公司與我們都知道,還有很多路要走。像國家認可的裁定機構這樣的產業(yè)鏈環(huán)節(jié)。我們先提出來,推動這件事往前走?!?