数据安全的供应链建设(数据安全不能只关注数据本身)

共话网络安全《网络安全法》距今已施行五年,在数字化转型浪潮下,网络空间安全、软件和软件供应链安全、汽车自动驾驶数据安全、网络安全人才匮乏和人员缺口大、公共数据利用与安全保障等诸多焦点问题频频引发关注,我来为大家科普一下关于数据安全的供应链建设?下面希望有你要的答案,我们一起来看看吧!

数据安全的供应链建设(数据安全不能只关注数据本身)

数据安全的供应链建设

共话网络安全

《网络安全法》距今已施行五年,在数字化转型浪潮下,网络空间安全、软件和软件供应链安全、汽车自动驾驶数据安全、网络安全人才匮乏和人员缺口大、公共数据利用与安全保障等诸多焦点问题频频引发关注。

在2022年广东省网络安全宣传周举办之际,南方都市报专访了长期从事网络安全领域的国家信息技术安全研究中心总师组专家李京春。他认为,现在最为紧缺的数据安全人才是既懂网络安全也懂数据应用等信息化的复合型人才。在基础软件工具领域和软件与供应链安全等方面亟须加快填补空白,以减少受制于人等“卡脖子”“牵鼻子”的情况,软件和供应链安全是数据安全、网络安全的基础和前提。

据了解,今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办,广东省互联网业联合会、南方都市报、N视频联合承办,持续到9月11日。

谈网络安全:应扩展到全息网络空间

南都:你认为当前我国面临最重要的网络安全挑战是什么?

李京春:挑战非常多。我先说一个比较关键的问题,《网络安全法》中的“网络”实际上是Network(网络)的概念,是小概念,并非Cyberspace(网络空间)的概念,所以说“网络”安全的范围窄了、小了。我们不能只关注和应对Network“网络”安全风险与挑战,而忽视Cyberspace“网电光磁”全息的网络空间安全威胁。

具体来说,“网”是指互联网等IP网络的安全与对抗,“电”是动力电和电力载波通信中的安全与对抗,“光”是激光等各类光波通信的安全与对抗,“磁”是卫星、载波、短波、毫米波等通信和电磁频谱信号安全与对抗。随着互联网、物联网、星联网等互联范围的不断扩大,伴随“元宇宙”概念的“网络空间”安全问题也会进一步扩大,Cyberspace“网络”安全将是最大、最重要的挑战。

从俄乌冲突可以看出,未来的安全与对抗是全方位、多领域的混合型安全与对抗,这种小概念的“网络”安全已经无法应对全方位、立体化的“网络空间”威胁,无法应对“网电光磁”的协同式攻击。因此,在法律层面需要不断补充完善,与时俱进。

《网络安全法》也规定,关键信息基础设施要“在网络安全等级保护制度的基础上,实行重点保护”。我认为,重点保护要结合行业实际,不是说搞一个标准,大家就可以全部通用了,各行各业有各自的特点。电力工控系统、石油石化的工控系统、军工企业的工控系统都是不一样的,重点保护要结合实际、结合行业特点因地施策。安全意识和保护技术提高了,我们的策略和重点保护才能更有效,如何做好关键信息基础设施重点保护也是各保护部门面临的重要挑战。

南都:你曾说全国数据安全人才缺口在百万级以上,如何解决数据安全人才匮乏的问题?存在哪些瓶颈?

李京春:现在我国需要的数据安全、网络安全人才十分匮乏,既懂IP“网络”安全又懂“网络空间”安全还懂数据应用等信息化的复合型人才更匮乏。在“安全与发展并重”“网络安全与信息化双轮驱动”“安全与建设三同步”等新时代安全合规要求下,人才培养也要双轮驱动,既能让数据在流通的过程中发挥信息化应用和数据价值,又能保证数据全生命周期中的安全可控。国家各行各业都在数字化转型,人才培养、人员培训也需要数字化转型。

虽然我国在数字化转型等方面走在国际前列,但在很多基础研究、基础产业等方面落后于发达国家,比如高端数字处理工具、高端数字自动控制、集成电路和CAD辅助设计的工具、科学计算仿真工具、软件开发工具等方面,需要尽快填补空白,减少“卡脖子”的情况。

我国网络安全方面还容易忽视基础软件产业,“软件不值钱”“软件必须和硬件捆绑才值钱”“软件可以盗版”“开源软件随便用”等错误认识和乱象严重影响软件产业健康发展;基础软件、关键软件不单是“卡脖子”,还一直被国外“牵鼻子”走。

从互联网(自动化办公)、移动互联网(智能终端)、工业互联网(智能制造)到元宇宙(虚拟现实)可以看出,软件定义一切。因此,网络系统安全、数据安全的防护重点在软件和软件供应链安全上,掌控软件和供应链安全才是未来网络安全、数据安全的核心和瓶颈。

中央网信办出台《提升全民数字素养与技能行动纲要》,提出要从中小学培养数字兴趣和安全意识,大学和职业教育更要产学研协同办好信息化、数字化新技术、新知识和网络安全一流学科教育、培训,让更多优秀人才服务社会。还要改变安全人员只会安全不懂数字化、信息化的局面,只会简单堆叠各种安全产品,罗列各种安全措施,这种传统静态安全防护理念只会加重网络系统负担,影响系统运行性能和效率。尤其要重视基础软件、关键软件和软件安全,加快创新,防止“卡脖子”“牵鼻子”问题进一步加剧,防止更大程度地受制于人。

谈广东试点首席数据官制:权责关系需要明确

南都:在网络安全、数据安全方面,广东一直走在前列,比如率先试点首席数据官制度。你怎么看待?该制度还有哪些探索空间?

李京春:首先可以肯定的是,对这种新制度的探索和试点示范值得提倡。我认为,首席数据官制度有几个方面需要重点考虑。

一是要明确责任,首席数据官需要复合型人才,既要负责推进数据利用流通,还是兼顾数据安全,权责关系要明确;二是要重视策略研究,首席数据官制度设计要科学,策略要合理,制度便于操作,什么时候需要统筹协调,什么工作需要分工负责,什么情况不必请示按应急预案执行,如何兼顾发展与安全组织机构管理上的协调与平衡,处理好分级分工负责管理策略,以及系统管理员、系统审计员、数据管理员“三权分立”策略等。三是不断优化迭代,首席数据官制度不可能没有问题,要不断总结经验,改正错误,去粗取精,去伪存真,不断优化迭代,防止“内卷”和“躺平”,细化补充配套细则和工作流程。

还要强调的是,全面的管理不仅要管控好技术层面的安全隐患,还要兼顾非技术层面的安全风险,以及人为因素和利益冲突等方面问题。在强调合规性同时,强调数据流动利用和数据流动中的安全,让安全数据产生新动能,让安全软件定义一切,让安全智能技术服务社会,让安全人才留在本地。希望广东能在先行先试的过程中总结好的经验。

南都:去年11月《广东省公共数据管理办法》正式施行,提及要求各单位做好公共数据安全的管理工作。对于公共数据的安全保障,你有哪些建议?

李京春:首先,各单位需要加快制定公共数据治理相关技术标准和细则,提高《办法》的可操作性。比如疫情管控用的健康码数据就属于公共数据,防止公共数据滥用,造成个人隐私泄露。广东出台公共数据管理办法非常必要,但各单位怎么按照相关部门规章、地方法规去做好公共数据的安全管理值得关注,这件事必须要有一把尺子,这把尺子就是要执行相关数据安全标准。国家已经出台多个数据安全和个人信息保护相关技术标准,对解决公共数据利用和安全管理方面的问题提供指导和参考。

其次,在国家层面确保实名可追溯,在社会流通层面实现匿名、数据脱敏,充分保护个人信息主体权益。早期我国在推广实名制的时候,希望制度能遏制犯罪,威慑违法,一旦犯罪,立刻就溯源到人。但当时的实名制也带来一个问题,在居民身份证广泛使用的同时,身份证号、姓名、住址等个人敏感信息都会在社会流通层面被采集、被存储、被处理,甚至被泄露,给不法分子贩卖数据带来机会,引发的数据安全问题不可小视。针对这一问题,国家有关部门也在抓紧数字身份证(网络身份证)的技术研发和试点示范,让数字身份证和居民身份证有同等的法律效力,这种数字身份证可能是一种特殊二维码或其他编码,能保证个人信息的安全。

我希望在社会数据流通和数据处理层面,充分利用匿名化处理、脱敏处理的数据,参与大数据、云计算、区块链等智慧应用,而保证无法追溯到个人信息主体。这样既保护个人信息,又可以使数据更有效地流通利用。另外,在公共数据开放利用中,各数据处理的各环节都要坚持合法、必要、正当的原则,保护个人信息,防止一刀切,要加强监管,及时解决公众反映的热点问题。

谈自动驾驶:“数据不出车”

南都:你刚谈到公共数据的时候提到健康码。前段时间,健康码数据被超范围使用的事件引发广泛关注,你怎么看?

李京春:这确实是个问题,全社会都已经关注,有关部门也关注。推荐性国家标准《信息安全技术 网络数据处理安全要求》提出了突发公共卫生事件个人信息保护要求。现在,各个城市也在不断完善健康码系统,有些地方正在研究公共数据常态化开放和利用的解决方案。但是,如果对健康码等公共数据安全管理不当,超范围、超权限、不合规使用或忽视个人信息权益保护,就会出问题,造成严重的社会问题。

南都:近两年,国家层面、地方政府纷纷出台智能网联汽车的数据安全相关规范文件。你认为目前有哪些需要改进的地方?

李京春:在自动驾驶的数据采集、模型算法、数据训练等方面还是有比较多的问题。

首先,我认为自动驾驶的数据采集需要进一步纳入监管。比如某汽车外商企业每天采集的数据量非常大,可能达到几TB或几十TB,而且长期存在数据出境的问题。我国《网络安全法》《数据安全法》《个人信息保护法》,以及《网络数据安全管理条例》《数据出境安全评估办法》都对数据存储、数据出境提出了明确要求。自动驾驶地图数据采集国家有关部门也早有明确规定,国家多个部门制定相关技术标准,规范“地理位置数据、摄像头和雷达数据、个人信息数据”等采集和处理行为。

第二自动驾驶车端方面,希望在社会层面尽可能做到“数据不出车”。一些个人数据、敏感的地理位置、周边的环境数据,尤其是采集到的路人的人脸数据,尽可能不出车。当然,像是保障车辆安全的协议数据是可以出车的,国家制定相关标准规范出车数据使用和保存期限。

第三要加强自动驾驶后台存储服务器(或云平台)数据安全管理。各个车企还是各自为政状态比较多,后台数据安全保护强度能力存在差别,个人数据、地理环境、汽车周边环境数据都在后台存储,很容易造成数据泄露或安全事件,亟待规范和加强这些出车数据的安全管理。

出品:南方都市报 南都大数据研究院 京沪新闻中心

策划:戎明昌 刘江涛

统筹:邹莹 凌慧珊

采写:南都记者 孙朝 设计:刘寅杉

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页