DT时代的安全思考

2017-07-08 08:00赵艳秋
IT经理世界 2017年13期
关键词:永胜数据安全加密

赵艳秋

一个预计是700人规模的会议,结果吸引了1400多人。而这个会议的主题并不是大热的AI、Fintech、智慧医疗等等,而是国内第一个以数据安全为主题的峰会。

不难看出,伴随数据时代(DT时代)的到来,数据安全正成为一个业界热点,吸引着用户、业界学者和产业链服务商的关注。

被操控的智能设备

中国科学院院士何积丰教授走访了多家国内外飞机、汽车、化工等企业,调研智能制造与工业大数据。他发现,自从工业大数据与互联网建立起联系,就失去了“天然屏障”。其所引发的数据安全隐患,需要行业人士高度关注。

“很多数据安全问题,目前业界还没有好的解决之道。” 何积丰说,比如,工业企业现在也要采集社交媒体、电子商务数据,来直接与消费者互动,而采集环节不可避免地出现了数据安全漏洞。同样,在数据存储和管理系统(这是工业设计和产品信息的“集中地”)数据加密要求越来越高。一些人认为,采用更高级的加密方法,如明文加密变成密文加密,数据就会更安全。“其实并没有那么简单,这样的加密方法让数据访问和检索都遇到了问题”。

在数据应用场景中,像工厂流水线上工人手中的移动办公设备,还有近年来火爆的智能医疗和智能交通,都采用无线数据传输链路,因此很容易被黑客入侵。黑客由此就能轻松改变生产指标,变换病人的注射药物剂量,让车主失去对汽车的控制,甚至因此很多国外家庭的车库可以对自家汽车自动敞开大门……一系列在美国大片中的场景,会在现实中上演,数据安全涉及的问题太广太深。

即使问题层出不穷,数据安全并沒有引起重视。工业企业引入大数据和智能制造,首要考虑的是效率,对安全还没有足够的关注。去年,黑客通过操纵摄像头,造成美国大范围的互联网瘫痪;生产流水线上“发疯”的机器人,曾“打死”了现场的工作人员。而电网和水网的安全,并不像我们想象得那么乐观。未来越来越多的智能家电,能为黑客所操控。 “希望政府和行业人士能关注工业大数据的安全。”何积丰强调说。

捉襟见肘的安全投入

不仅是工业大数据,数据已经成为国家核心基础战略资源。从斯诺登事件到永恒之蓝,从希拉里邮件门到徐玉玉跳楼事件,数据安全已涉及国家、社会的方方面面。

“但国内在数据安全上的投入还非常微小。” 浙江华途信息安全技术股份有限公司总裁谢永胜说。在这方面,从事了10年数据安全的谢永胜深有感触。

根据市场调研公司IDC的最新报告,2016年全球安全市场投入为736亿美元,其中美国占到43%,达315亿美元。相比之下,中国仅占市场的4%,为30亿美元。再从安全细分市场——数据泄露防护领域来看,它占安全市场总体的15%。“如果中国去掉容灾备份等老三样投入,估计在数据泄露防护上的投入不足5%。”谢永胜说,“这个投入,我认为是远远不够的。”

即便是从2015年到2020期间,中国在安全投入的年复合增长率达到20.6%,到2020年也只有70亿美元,这与中国“世界第二大经济体”相比,捉襟见肘。

“我们现在就如同在裸奔——服装设计图、机械设计图、药品配方……企业在研发创新中投入越来越多,但被别人拿走的也会越来越多。” 谢永胜直言。

如何改变现状?谢永胜提出了他的三个思考。

首先,要改变的是DT时代的安全建设体系。在传统信息安全体系中,网络安全是核心。“而在DT时代,我们要以数据安全为核心,从同心圆的圆心‘数据安全往外走,构建从数据安全到应用安全、主机和系统安全、网络安全,再到物理安全的多层立体防护体系”。

其次,形成良好的数据安全生态氛围,这不单单是技术问题,而是囊括国家政策、法律制度、社会文化、用户意识到行为的一系列事情。

再次,打造相融合的数据安全产业链。有报告显示,大多数企业采用了5家以上安全供应商的产品服务,这让安全问题变得更加复杂。“安全是一个多层立体体系,应该是你中有我,我中有你。”谢永胜说,“你做网络安全时把我的数据安全做进去;我做数据安全应该考虑引入你的网络安全。”

谢永胜在数据安全大会上,抛出橄榄枝,希望有更多的企业合纵连横。首先是业界方案的整合,然后走向融合,“这需要时间培育”。

数据安全元年

不仅是安全技术的融合,数据的安全共享是企业迫切的需求。

华能和宝钢是《中央企业商业秘密信息系统安全技术指引》示范性企业。他们在试点过程中感到,目前共享安全数据谈得少,做得少,但这是他们的刚需。

这方面国家立法不可或缺。“到目前为止,除了非洲和中东,全球各区域都有数据安全立法。”华为大数据安全首席战略规划师张锐刚在峰会上说,“如欧盟《数据保护指令》、美国《消费者隐私权法案》草案。”

特别是欧盟将于2018年5月生效的《一般数据保护法案》,对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。张锐刚相信,中国管理公民隐私的法案一定也会建立起来。

这两年,出现了黑市数据,泄漏了个人隐私数据。“我们大数据产业的人感到,大数据不能这样快速去搞,要关注安全。大数据的商业模式究竟在哪里,数据是属于谁的?我购买了这个电信套餐,那么上网记录,通话记录是谁的?大家都在思考。我认为2017年是大数据安全和隐私的元年,到2018年,大家将想清楚这些问题。”张锐刚说。

一个好的大数据安全管控究竟是什么样的?张锐刚认为,首先要对现有系统具备无扰性。其次,安全管控要对内产生威慑力,通过大数据实时技术,实时取证,让人们意识到安全是头上一把剑。再次,安全对所有用户是可视化的。此外,未来安全一定走向智能化。

华途股份谢永胜则认为,数据安全与网络安全有本质区分。数据安全要做深做透一定要懂业务,数据流与业务流要集成。数据安全也要关注底层操作系统、数据库等技术,才能产生稳定扎实的产品。

在首届数据安全峰会上,长安保险与华途股份共同发布首个中国数据安全险。这让数据安全领域在技术驱动和管理驱动之外,第一次通过保险金融手段,为用户提供更多的数据安全保障范畴。

“我们与保险公司谈了很多次,这如同当年车险一样,是行业的进化。”谢永胜说,“保险公司与我们都知道,还有很多路要走。像国家认可的裁定机构这样的产业链环节。我们先提出来,推动这件事往前走。”

猜你喜欢
永胜数据安全加密
韩永胜
唱一首祖国的赞歌
云计算中基于用户隐私的数据安全保护方法
一种基于熵的混沌加密小波变换水印算法
建立激励相容机制保护数据安全
谢永胜
大数据云计算环境下的数据安全
认证加密的研究进展
大数据安全搜索与共享
基于ECC加密的电子商务系统