二、数据产业新生态的安全需求与挑战
2.1 数据产业新生态及发展趋势
在新一轮科技革命和产业变革浪潮中,基于数据发展的数字经济已成为不可逆转的时代潮流。可以预见,未来几年全球数字经济仍将以高速增长态势驱动社会经济增长。数据产业创新演进升级,传统行业数字化转型大有可为,发达国家将通过强化技术创新巩固数据产业先发优势,发展中国家则将通过深化行业数字化努力实现赶超,数字经济领域的竞争将愈发激烈。
产业数字化已成为全球数字经济发展的主脉络。我国数字产业发展的关键是促进数字化技术在各个行业各个产业渗透和应用,催生新产业、新模式、新业态,释放数据产业经济活力。产业数字化不仅对数据的安全感知、安全存储、安全传输、安全处理等提出更大挑战,还对数据治理、服务平台、应用平台等带来新的安全需求。为构建完善的数据产业生态,建设新型数据基础设施势必需要:提高数据获取效率,打通数据流动通道,提供快速的数据分析能力,为行业用户提供一站式的服务,盘活数据资产,帮助各行业用户深度挖掘数据价值,实现转型和创新融合发展。
我国正处于从工业经济迈向数字经济的攻坚阶段,实体经济数字化、智能化转型需求越发迫切。数据技术日新月异,数据产业融合发展,相关政策持续完善,数据与实体经济融合发展正迈入前所未有的重大机遇期。在中国政府的高度重视和大力推动下,各部委相继出台大数据相关文件并加快落地实施,融合发展机制实施、资金支持、人才培养等政策保障持续强化,数据与实体经济融合发展的进程正在提速。
中国政府通过了《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》,对“十四五”时期我国经济社会发展作出了贯彻新发展理念、构建新发展格局的重要部署,并作出了我国进入新发展阶段的重要判断。新发展理念的核心是创新,创新是发展的第一动力。随着数字经济蓬勃发展,数据保存量逐年倍增,建设创新、安全、绿色的数据基础设施将是支撑数据产业长期可持续发展的重要要素。
2.2 数据产业新商业模式对数据安全的需求
数据是二十一世纪的石油。近几年来,数据交易商业实践无论在广度上还是在深度上均有所突破,数据要素市场改革进一步加速了这个趋势的发展。数据产业发展服务于数字经济,需要建立在数据流通繁荣之上,围绕数据产业商业模式的创新至关重要。
图2-1 数据产业商业模式(源自:数据交易的商业模式《概要版》,2019)
据《数据交易的商业模式》研究报告 ,数据交易商业模式的框架主要由3+4+1要素构成。其中,3表示“数据交易的环境”“数据交易的基础设施”“法律环境和市场机制”,4表示“主体”“客体”“流程”和“标准”,1表示“数据交易的商业实践”。
经过多年探索和实践,当前市场存在直接交易模式、授权转移模式、数据市场模式、一般数据平台模式、具备授权和问责制数据平台模式、数据银行模式和数据信托模式7种数据交易商业模式。未来,可能还会产生更多的商业模式。但是无论何种商业模式创新,都需要建立在安全、高效的数据采集、存储、流通和交易基础之上。多样化的数据交易模式对数据安全提出了迫切需求,需要通过安全的信息基础设施、创新的技术手段、完善的法律法规来满足数据安全、隐私保护等高可用需求。
2.3 产业升级和技术发展对数据安全提出了新挑战
如前述,产业数字化已成为全球数字经济发展的主脉络。我国数字经济正处于快速发展阶段,尤其在抗击疫情的过程中,各行各业加快了数字化转型的步伐。据《中国数字经济发展白皮书(2020)》 报告数据显示,2019年我国数字经济增加值规模占GDP比重提升到36.2%,数字经济在国民经济中的地位进一步凸显。
推动新型基础设施建设(以下简称新基建)是我国数字经济快速发展重要举措。从建设范畴看,新基建覆盖信息基础设施、融合基础设施和创新基础设施三类,分别对应产业、行业及科技。新基建的本质是建设信息数字化的基础设施,关键在于数据基础设施建设和传统基础设施的数字化转型,并以数据为中心,深度整合计算、存储、网络和软件资源,充分挖掘数据价值,加快数据共享和融合,使数据“存得下、流得动、用的好”。
随着新基建的持续推进,各行业对数据感知、存储、传输、处理等能力提出了更高要求。同时,数据特点也在不断演进,主要如下:
首先,海量、多元和非结构化成为数据新发展常态。数据环境呈现多样化、复杂化特征,大量文本、图片、视频等非结构化数据被产生、存储和使用。例如,在智慧城市场景中,各类传感设备采集的数据从单一内部小数据形态向多元动态大数据形态发展,产生的海量数据给数据安全存储、管理及使用带来压力。
其次,数据实时性处理变得更为迫切。随着新一代信息技术的快速发展,社会运行效率不断被优化和提升,企业新生业务对数据实时性要求日益增加。例如,在金融反欺诈风险评估、无人驾驶、工业检测、流程化制造等许多场景中,需要快速实时的数据安全采集、安全存储和安全分析处理。
第三,新型数字技术催生海量数据呈现多元化处理特征。在云计算、物联网、大数据、人工智能、区块链、边缘计算、5G等一系列新型数字技术对社会各个行业的渗透和场景中,产生海量数据,提出了多元化处理需求,这对数据中心应用更安全、高效支撑新型数字技术提出了挑战。例如,在无人驾驶场景下,原始图像数据处理就需要经过云计算、大数据、边缘计算、人工智能、5G等一系列新型数字技术的综合使用。
2.3.1 人工智能领域
据《人工智能数据安全白皮书(2019)》 ,人工智能因其技术局限性和应用广泛性,给网络安全、数据安全、算法安全和信息安全带来风险,其中,数据安全是人工智能安全的关键。
人工智能快速发展的核心在于算法和数据,数据规模和质量对人工智能决策结果有着决定性的影响。同时,随着人工智能化水平的提升,在数据管理和数据挖掘方面将更容易引入数据安全风险。综合来看,人工智能领域涉及关键数据安全挑战主要有:
数据泄露风险
人工穿戴设备、视频采集设备等与人们日常生活息息相关,通过这些设备可以直接采集敏感个人信息(如人脸、指纹等),保护不当可能造成个人隐私泄露。
数据滥用风险
利用人工智能技术预测用户喜好和习惯,极大程度地提升了人们日常生活便利,改善了生活方式。但大数据“杀熟”、隐私跟踪等也频频发生,引发政府及公众对数据滥用的关注和担心。
数据治理挑战
随着互联网企业的业务国际化,全球搜索、位置定位、即时通信等软件在全球范围推广和应用,加剧了数据违规跨境流动风险。
2.3.2 超算领域
超算广泛应用于科学研究、气候气象、海洋科学、生物医药、油气勘探、工业创新、商业金融、社会公共服务等领域。由于涉及海量数据的存取和计算,同样面临各种数据安全挑战:
数据泄露风险
对于国家重大科技类任务,数据常常需要高度机密保护,不能随意访问,更不能对外泄露暴露。同时,要考虑数据销毁技术,避免恶意恢复数据。因此,需要更加全面的安全防护体系,其中,数据全生命周期加密、芯片级加密、可信执行环境等尤为重要。
数据高性能存储风险
各领域都迎来了数据量的爆发式增长。例如,一台L3级别的自动驾驶测试车,每天产生60TB的数据,多辆车产生的PB级热数据要求在24小时内完成数据处理,上百PB原始数据则需要存储30年以上,用于后续机器学习。同样的,基因测序和宇宙探索等场景下每天产生的热数据也需要提供每天级甚至小时级的快速处理能力,宝贵的原始数据则需要长期保存。
数据流通效率低
超算流程不同阶段可能用到文件、大数据、对象等不同的存储服务。而传统存储设备通常只支持一种存储类型,数据需要在不同存储设备间多次拷贝,会导致数据流通效率偏低。
计算性能和自主创新风险
传统的计算型超算存在故障点多,索引无冗余,可靠性差等问题。同时,因其基于开源软件实现,存在不可信的安全风险。
2.3.3 数据中心
根据IDC的调研报告,目前企业50%的数据保存在自己的数据中心或者租用的第三方数据中心,另有22%保存在云服务商数据中心,19%保存在边缘数据中心 。随着我国数据中心使用增加,数据中心能耗大、效率低的问题日益突出,同时,由于数据交换更加频繁,核心业务数据、个人隐私数据保护等也面临更多安全风险:
图 2-2 存储在不同类别数据中心的分布
业务中断、数据丢失风险
数据中心具有设备种类多、集中、自动化程度高的特点,且长时间不间断运行,容易出现因系统故障导致的业务中断风险,需要考虑数据的容灾保护(如两地三中心),保障业务连续性。同时,因恶意破坏或非恶意操作导致的数据丢失,需要考虑数据的本地或异地备份,保障数据完整可用。
数据破坏、泄露风险
数据中心为企业提供了大量的应用、服务和解决方案,已成为企业关键资源。数据中心一旦被恶意攻击成功,大量数据被破坏、窃取、泄露,将会对企业、个人及社会经济造成极大影响。
高能耗风险
2018年中国数据中心总用电量为1609亿kWh,占中国全社会用电量2.4%。预计2024年中国数据中心总用电量将达3000亿kWh,年均增长率10.6% 。能源是国家战略资源,是数据中心安全持续运行的保障。2019年我国企业数据存量约148EB,每年新增约35EB ,预估数据存储耗能为194亿kWh,约占我国数据中心总能耗的12%。随着数据分析需求不断增加、物联网设备逐渐普及以及云迁移活动的驱动,2020至2022年企业创建的数据量将每年增加42.2% ,数据存储所产生的能耗还将大幅增长。数据的计算和存储都将耗费电能,随着数据量加速井喷,如何有效借助技术创新降低数据中心每TB数据的计算、存储耗能将会是数据中心节能增效必须关切的问题。
2.3.4 金融领域
金融是现代经济的核心,是国家重要的核心竞争力。对于金融业务,业务实时性要求很高,业务呈现高度数字化、信息化。数据安全关乎金融企业“生死存亡”。
《2018-2019 年度金融科技安全分析报告》 表明,所有被调研企业均表示发生过不同类型的网络安全事件。其中,针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,占比44%(其中,“客户资料”泄露和 “企业敏感信息泄露”各占一半)。关键数据安全成为持续影响金融科技企业最主要的网络安全风险,主要挑战有:
数据丢失风险
金融系统需要可靠的存储、完备的灾备系统。无论自然灾害、系统错误或是人为损坏,金融核心数据要实时可恢复,以避免造成严重金融损失。
数据泄露风险
随着金融业务的不断发展,线上服务更加丰富便捷。如何保障数据的安全使用,保护用户个人隐私信息,也成为金融领域的安全挑战之一。
数据完整性风险
交易记录等数据通常需要提供有效性追溯和防抵赖证明,这种高安全要求也是金融行业在数据安全方面区别其他行业的一个明显特征。
2.3.5 工业互联网领域
工业互联网日益成为提升制造业生产力、竞争力、创新力的关键要素。发达国家纷纷以工业互联网作为发展先进制造业的战略重点。与此同时,工业互联网面临的数据安全风险隐患日益突出。工业和信息化部发布《关于工业大数据发展的指导意见》,根据工业和信息化部的《意见》解读,工业数据已成为黑客攻击的重点目标,我国34%的联网工业设备存在高危漏洞,这些设备的厂商、型号、参数等信息长期遭恶意嗅探,仅在2019年上半年嗅探事件就高达5151万起。
目前工业数据安全责任体系建设正在推进,云计算、大数据、人工智能、5G等新技术新应用,进一步加剧了工业数据安全隐患。工业互联网数据安全防护面临以下两点关键挑战:
数据泄露风险
随着越来越多的工业控制系统与互联网、大数据平台连接,相对传统封闭的工业生产环境被开放,网络攻击面扩大,外部威胁更容易攻击到工业环境中,可造成重要工业数据泄露、勒索等严重后果。
数据全生命周期管理风险
因行业及企业间差异,数据接口规范、通信协议不统一,数据采集过程容易导致过度采集、隐私泄露等问题。工业数据传输、处理实时性要求高,工业互联网数据多路径、跨组织、跨地域的复杂流动,容易导致数据传输过程追踪溯源问题。
2.3.6 医疗领域
随着大数据、人工智能等新技术在医疗领域的渗透和应用,现代医学技术发展迅速,新兴重点领域如医学影像、辅助诊断、健康管理、疾病预测等对数据的依赖程度持续增加。从数据的角度出发,关键数据安全挑战有:
数据泄露风险
医疗数据具有极强的隐私性,一旦泄露会对患者生活、工作带来负面影响。同时,大量医疗数据开始提供第三方开发测试使用,也容易造成个人隐私数据泄露。
涉及国家人类遗传资源、基因编辑等高价值生物数据的新兴的生物技术产业,一旦发生数据泄漏,后果也非常严重。
数据不可用风险
勒索软件攻击对医疗行业数据安全带来严重威胁。关键医疗数据、文件被勒索加密,如果不能及时恢复数据,将严重威胁患者的生命健康数据管理以及进一步的治疗。根据 Verizon 2019 年的数据泄露调查报告,针对医疗领域的勒索软件攻击连续两年占到其所有恶意软件事件的 70% 以上。
通过以上分析,数据安全对各行业/领域的生产与运营举足轻重,承载企业核心数据的关键信息基础设施都面临着共性的安全挑战。如何构建全方位的数据安全体系,保障数据的安全与合规有序流动,在数据全生命周期过程中确保数据不丢失、不泄露、不被篡改、业务永远在线、可追溯和隐私合规等,已成为数字经济时代对数据安全的核心要求。
2.4 数据安全对核心技术能力的诉求
根据《GB/T37988-2019信息安全技术 数据安全能力成熟度模型》国家标准,数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段。从产业生态面临数据安全挑战看,各领域在数据全生命周期的不同阶段面临不同程度安全风险。因此,对数据安全提出如下(不限于)核心技术能力要求,通过构建和融合这些能力,可以系统化、端到端地全生命周期的保护数据安全。
表 2-1 数据安全核心技术能力诉求
