欢迎进入中国计算机用户协会信息安全分会网站!
当前位置: 首页 >> 新闻动态 >>
  • 业界资讯
  • 业界资讯
    专题·原创 | 国家密码管理局总工徐汉良:推动密码与大数据的融合发展
  • 时间:2018-09-04
  • 来源:中国信息安全
  • 推动商用密码创新应用

     

    密码技术是网络安全最基础与最核心的技术,做好密码技术的研发、创新与应用是网络安全工作的重要抓手,发展商用密码则是当前网络安全工作的重要组成。自1996年中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》以来,我国商用密码已经应用到社会生产生活的方方面面,在网络和信息安全中发挥着越来越重要的基础支撑作用。

    在“互联网+”的新环境下,新技术新应用新业态的不断涌现,作为保障信息产品和服务安全的重要手段,密码技术迎来了全新的发展机遇和挑战。关键技术不断创新,产业生态日益完善,标准法规不断健全,我国的商用密码正在为数字经济的蓬勃发展打造一个坚实的安全防护体系。

    为推动网络强国建设,加快核心技术突破,在国家商用密码管理办公室指导下,我刊推出了密码应用专题,系统展示我国密码管理相关方针政策,介绍商用密码发展历程与展望、科技创新发展、产业生态培育、行业应用场景、应用实现探讨、密码人才培养、企业代表观点等,为推动我国商用密码健康发展创造良好条件。

    今日起,部分专题优秀文章将陆续在“中国信息安全”公众号刊出,以飨读者。

     

    ■ 国家密码管理局总工程师  徐汉良

    习近平总书记指出,大数据是信息化发展的新阶段。当今时代,以数据为关键要素的数字经济正在蓬勃发展。信息就是财富,安全才有价值;数据就是资源,安全才有保障。大数据密码应用是密码支撑信息化发展的新方向。

     

    一、必须高度重视大数据安全问题

    1.大数据安全是时代命题,要站在改革发展稳定的全局看待大数据安全

    党的十八大以来,习近平总书记关于实施网络强国和大数据发展战略进行了深入、系统的阐述,可以从三个层面来理解。一是服务经济发展和供给侧结构性改革。“发展数字经济”,“推动互联网、大数据、人工智能同实体经济深度融合”,“加快推动信息领域核心技术突破”,“构建自主可控的大数据产业链、价值链和生态系统”,以信息化培育新动能。二是支撑国家治理和民生服务保障。“打通信息壁垒”,“推动技术融合、业务融合、数据融合”,实现大数据慧治、大数据惠民。三是保障国家安全、经济社会稳定和人民权益。“贯彻落实总体国家安全观”,“强化关键基础设施防护”,“切实保障国家数据安全”,“维护人民群众合法利益”。

    实践充分证明,数据就是资源,是新的生产力,是治国惠民的利器。我国人口众多、经济体量大,既有大数据驱动改革发展的巨大优势,也有大数据影响安全稳定的巨大隐忧。因此,保安全、促发展、强产业、惠民生,需要统筹考虑、同步推进。

    2.大数据安全是全球挑战,要站在历史的维度和网络空间安全的高度看待大数据安全

    从历史看,大数据和因特网的发展有诸多相似之处:两者都源于军事需求,两者都推动着新的文明和进步,两者都存在安全性的先天不足。大数据的兴起源于美国的反恐情报共享需求。“9·11”事件暴露出美国情报数据孤岛的弊端,数据挖掘和情报分析能力跟不上数据搜集和截获能力,导致关键情报淹没在海量数据中。由此,大数据首先成为美国情报搜集和分析的重要手段,由足以存储今后100年全球因特网所有数据的犹他数据中心及遍布全球的信号采集设施组成,给美国情报侦察带来革命性突破。但由数据共享带来的大数据安全问题,就连NSA也未能有效解决,如2010年陆军士兵曼宁泄露了70多万份机密或敏感文件,2013年斯诺登事件对美国及全世界带来政治格局的发展和变化。由此可见,大数据安全与生俱来,大数据攻防如影随形,大数据安全是时代之痛。

    从现实看,大数据的爆发式增长,推动人类认识从偶然向必然转变,从局部向全局发展,从隐性向显性转化,从微观向宏观延伸。然而,在网络空间对抗空前激烈的时代,大数据因其数据汇聚、架构复杂等特点,更易成为攻击和窃取的对象。2018年,媒体曝出Facebook 8700多万条用户数据泄露,被“剑桥分析”用于干预2016年美国大选。这些事件充分说明,大数据安全事件危害巨大,不仅涉及大量公民隐私,而且能左右舆论导向,甚至影响政治进程、扰乱民主制度。

    从未来看,大数据技术将与虚拟现实、物联网、云计算、智能制造等深度融合,深刻影响科技进程、经济发展和社会变革。这些新业态既是大数据的主要生产来源,又是大数据的主要应用场景,数据安全渗透到网络空间的方方面面,成为影响网络空间全域安全的重要因素。如何处理好数据的隐私与共享、规模与效率、封闭与开放、应用与保护、安全与发展的关系,是全世界面临的共同挑战。近期瑞士苏黎世联邦理工大学计算社会学教授德克·黑尔宾发表题为“监控型资本主义”的文章中指出,数据驱动型经济可能摧毁民主。他认为,在数据驱动型经济中,算法成为新的社会法规,脸书、谷歌之类的公司近乎绝对的权力不仅延伸到商业推销的所有领域,而且还在塑造一种新的政治制度:充当可租用的平台,去操纵人们的观念和选民的选择,最终破坏民主制度。他提出,应当把宪法价值、社会价值、文化价值和生态价值,以及确保价值观的各种原则嵌入信息平台和信息技术,建立一套以信任为目标的竞争机制,最终建立以信任为目标的数字社会。这说明,大数据、数字经济的研究已经与政治学相融合,形成新的研究方向。

     

    二、着力构建以密码为基础的大数据安全新秩序

    1.构建自主可控的大数据安全新秩序势在必行

    面对大数据带来的机遇和挑战,需要树立全面科学的安全理念。大数据安全是联系的,而不是孤立的;是动态的,而不是静止的;是开放的,而不是封闭的;是相对的,而不是绝对的。在研究大数据安全时,许多安全理念需要变革。比如,从公开信息中利用大数据方法挖掘情报已经成为常态,传统概念上涉密与非涉密的划分标准在大数据条件下已经不适应;在总体国家安全范围内,涉及国家安全的数据信息范围远远突破了传统的涉密和非涉密领域的划分;等等。应当全面、科学地研究大数据的安全问题。

    面对大数据带来的机遇和挑战,需要认清大数据安全的客观规律。爱因斯坦曾用“大圆小圆”理论说明,人掌握的知识圆越大,与未知领域的接触面就越大,感受到的未知也越多。我认为,这种未知也包含安全和风险的认知,正所谓“无知者无畏”。同时,大数据承载海量数据、海量知识,较传统网络系统面临的未知安全风险更多,更需要在核心技术、底层架构、基础产品、关键流程上做到自主、自知,从而实现可管、可控。大数据安全不能拘泥受限于“小圆”,而应有“大圆”的认知。

    面对大数据带来的机遇和挑战,需要立足纵深系统的体系设计。大数据安全纵贯基础设施、数据平台、计算处理和行业应用,涉及数据的产生、传输、存储、处理、分析和使用,必须着眼全生命周期、全体系平台、全产业链条,系统解决不安全、不可控的问题,确保数据计算安全、运行安全、使用安全。

    我国正处在大数据发展的初期,必须从一开始就充分考虑好安全问题,掌握大数据安全体系架构的主动权,绝不能“把大楼建在沙滩上”。

    2.构建大数据安全新秩序需要发挥密码的基础支撑作用

    构建大数据安全新秩序,需要发挥密码在数字社会发展中的信任纽带作用。大数据时代的首要问题就是信任,没有信任,就无法实现可信可管可控,更难以长足发展。在数字社会中,信任已经由人际关系信任、法律契约信任变革为技术信任,这种技术信任主要靠密码算法和协议来维系。从大数据应用看,密码技术可用于解决网络空间人机物标识的真实性和安全交易、数字产权保护等问题,构建起真实不可抵赖的“数字契约”,为总书记提出的“数据资源确权、开放、流通、交易”提供信任基础。从大数据监管看,利用密码技术和数据标识的结合,可以实现大数据的追踪溯源,以及对数据使用行为的司法取证,为部门监管和打击犯罪提供有力武器。

    构建大数据安全新秩序,需要发挥密码在数据共享使用中的安全保障作用。密码是维护网络安全的核心技术和基础支撑。利用基于密码技术的身份鉴别、信任管理、访问控制、数据加密、可信计算、异构身份管理、密态计算、密文检索、数据脱敏等措施,构建采集、存储、传输、分析、应用安全为一体的大数据安全体系,解决隐私保护、数据源真实、防身份仿冒、可用不可见、异构存储节点上的灵活访问控制、使用处理权出让下的数据保护等问题,满足大数据基础资源防护、组织和共享防护、计算和分析防护、应用和服务防护等安全需求。

    构建大数据安全新秩序,需要发挥密码在产业科技创新中的协同促进作用。纵观信息科技发展史,新型计算、网络攻防和密码技术的交替演变,一直是推动科技进步的重要因素。二战时期的军事通信需求,催生了机械密码的巅峰时代;实现恩尼格密码破译的专用计算设备“炸弹”的研制,推动了电子计算机和现代密码学的出现;量子计算的快速发展,对密码安全和网络安全提出新的挑战;基于密码的区块链技术的广泛应用,为电子商务、数字金融等带来新的机遇。当前,我国自主研制的SM系列密码算法已达到国际先进水平并纳入国际标准,正在抓紧组织研制下一代密码算法。我们希望通过密码从业者与信息化从业者的自主创新、协同创新,改变核心技术和关键产品受制于人的局面,推动构建自主可控的信息技术体系和先进完备的产业体系。

    近年来,按照中央决策部署,国家密码管理局和各部门、社会各界一道,深入开展金融、交通、通信、能源、社保、政务等领域密码应用,提升网络安全密码保障能力;大力推进党政机关电子公文系统安全可靠应用,提升核心技术自主可控水平;积极推进密码法立法,配合制定关键信息基础设施和网络安全等级保护密码要求,出台密码应用安全性评估制度和系列标准。需要特别强调的是,合规使用密码,不仅是政策和管理要求,更是法定责任。

    近年来,围绕大数据领域密码应用和科技创新,国家密码管理局作了系列部署。一是加大理论研究,组织下达了同态加密、零知识证明、抗量子密码、多方计算等研究课题,并取得初步成果;二是夯实产业基础,支持超高速高可靠密码设备、适用云环境的密码资源虚拟化设备、安全数据库和安全存储芯片等产品研发,已有10余款产品通过审批;三是加快推进应用,在8个省(区、市)开展政务云和大数据密码应用试点,目标就是打造一个贯穿云平台侧和用户侧的密码安全防护体系。

     

    三、积极推动密码与大数据深度融合

    明者因时而变,知者随事而制。推动密码与大数据深度融合是时代所趋、形势所迫、发展所需,离不开各方共同努力。推动密码与大数据深度融合需要面向大数据发展的新需求、新形势,积极探索大数据密码应用的新成果、新实践。

    第一,开创合作新局面。加强国家重大战略、重要项目与密码应用的统筹规划、统筹实施,努力开创战略融合、政策配合、标准契合、强强联合的合作新局面。

    第二,营造产用新生态。科研、产业单位进一步加强密码技术、信息核心技术、基础软硬件、大数据基础架构和安全技术等的自主研发和上下游衔接配合,鼓励广大用户在保障安全的前提下多用真用实用,积极营造助力创新、支持创造的产用新生态。

    第三,树立安全新理念。秉承发展为人民、安全为人民,发展靠人民、安全靠人民的原则,推动构建以密码为基础支撑的统一有序的安全体系,牢固树立人民安全、行业安全、产业安全、国家安全为一体的大数据安全新理念。

    面对信息化发展的时代命题,面对大数据安全的全球挑战,广大密码从业者与大数据从业者应当携起手来,不畏挑战、砥砺奋斗、勇于创新、共担共享,推动密码与大数据的深度融合,为构建大数据安全新秩序和网络空间命运共同体贡献中国智慧、中国方案。

    (本文刊登于《中国信息安全》杂志2018年第8期)

    (责任编辑:aqxh)


    中国计算机用户协会信息安全分会版权所有

    Copyright© 1991-2023 中国计算机用户协会信息安全分会   京ICP备2021040407号

    技术支持:北京小鱼在线

    关注微信公众号