随着数据时代的来临,不可避免的也会伴随着泄露等安全事件的频发,小到威胁个人权益,大到影响国家安全和经济发展以及社会稳定。为保障数据安全我国也出台了相关法规及措施。未来数据安全技术会发展如何呢?面对数据类型繁杂,数量巨大,数据资产的梳理作为数据安全技术手段建设的基础工作有时也会难以开展,但是随着数据加密技术分场景细化发展,新型加密手段也逐渐涌现,我们倡导数据安全“产学研”相结合,也鼓励数据安全新技术的研发应用,因此未来数据安全技术能力发展也会越来越好。
我国数据安全技术发展现状
1、敏感数据识别技术向智能化发展,企业探索部署数据安全防泄露工具。
敏感数据识别技术作为数据防泄露、数据分级分类管控和敏感数据加密等数据安全防护技术的基础受到国内外高度重视。一是在传统的关键字识别基础上,相关企业通过引入规则匹配、自然语言处理等技术扩大识别范围,提高识别精度。二是结合聚类分析等机器学习技术,通过大数据的累积训练提升敏感数据识别的智能化程度。在此基础上,国内外各企业积极探索实践,针对数据的使用、存储、传输等数据泄露高风险阶段,以敏感数据识别技术为核心研发数据安全防泄露产品,通过部署在企业数据流动的关键节点,实现对数据泄露行为的泄露预警发现和拦截处置。
2、结构化数据库事前、事中、事后全流程安全保障技术体系成熟,非结构化数据库安全防护手段单一。数据库根据存储架构、存储数据类型不同,主要分为结构化数据库和非结构化数据库两种。在结构化数据库安全方面,构建以事前评估加固、事中安全管控和事后分析追责3种方式为主的安全防护体系。其中,事前评估加固主要采用数据库漏洞扫描技术,事中安全管控主要采用数据库防火墙及数据加密、脱敏技术,事后分析追责主要采用数据库审计技术。例如华为云数据库安全服务建立了以数据库防火墙、数据库安全审计等技术为核心的商用数据库安全体系,截至目前,华为已经为100余家企业提供该安全服务,保障数据库安全。
在非机构化数据库安全防护方面,由于其数据类型的多样性,目前各企业尚无典型有效的安全防护技术,主要从网络、存储、终端3方面部署数据防泄露、防病毒等相关产品,保障非结构化数据安全。
3、数据追踪溯源技术处于研究发展阶段,大规模应用实践尚未开展。
国内外企业聚焦数据水印和数据血缘追踪技术进行探索研究,提升数据安全事件溯源处置的能力,降低安全风险。一是数字水印技术,其技术实现原理是在不影响数据读取和应用的前提下,将数据水印通过信息处理嵌入到数据内容中,实现对数据的标记与追踪。目前数字水印技术因其对处理资源和存储资源的高占用、高依赖,多适用于相对稳定的小型数据集,无法大规模应用于云计算、大数据等大量数据汇聚的场景。二是数据血缘追踪技术,主要技术原理是通过建立数据血缘图谱,对数据流转过程进行实时记录,追踪分析数据安全事件的原因,降低安全风险。目前该技术正处在研究验证阶段,仅阿里、顺丰等部分企业探索应用,产业化应用尚不成熟。
数据加密技术分场景细化发展,新型加密手段逐渐涌现。数据加密技术作为最基本、有效的数据安全防护技术,得到广泛应用,根据应用场景和加密方式的不同,分为可逆加密和不可逆加密两种。一是可逆加密,对数据通过特定算法加密后变成密文,只有通过相应密钥才能将密文解密成明文。在网络支付中的数字证书、日常文件加密等均采用可逆加密技术。二是不可逆加密,经过不可逆加密算法处理的数据无法恢复出明文,只能利用同一算法对相同数据再次加密,比对密文进行验证。
数据脱敏成为个人信息保护重点技术手段,国内外企业加强数据匿名化技术研究应用。为平衡个人隐私保护和业务发展,各企业大力发展数据脱敏技术和匿名化技术。一是根据业务场景及需求,差异化应用数据脱敏技术方案。在保密场景下,使用加密技术对数据进行脱敏,有效保护个人数据。在群体信息统计场景下,使用数据失真技术,实现个人信息去标识化,同时输出统计结果数据。在数据可逆需求场景下,采用位置变换、表映射等方式实现数据脱敏,最大限度保障数据的可用性。二是利用数据匿名化技术实现有条件地发布数据,防止用户敏感数据的泄露。匿名化技术是指根据特定算法对数据进行变换,在保证数据可用性的同时确保数据无法定位到个人且无法还原,从而达到保护个体隐私信息的目的。目前匿名化技术主要包括差分隐私、K匿名等。近年来,数据匿名化技术得到业界广泛关注并在数据交换、数据分析等环节初步开展应用。
未来数据安全技术能力发展可观
1、加快出台数据安全法律法规,明确提出数据安全技术手段应用要求。
一方面,建议加快推动《数据安全法》《个人信息保护法》《数据安全管理办法》和《数据出境安全评估办法》等相关法律法规的制定出台,构建我国数据安全管理体系,明确企业数据安全技术手段建设的责任和义务。另一方面,在数据分级分类、数据加密、个人信息去标识化等重点领域加快起草制定相关标准规范,细化明确分级分类规则、加密算法强度、去标识化算法及应用场景等,为技术产品研发提供支撑。
2、研究提出数据安全技术手段总体视图与市场报告,促进数据安全技术产业健康发展。建议开展数据安全技术体系研究,形成具有共识性的数据安全技术产品体系总体视图,明确数据安全技术防护手段的方式、类型、性能以及应用场景、适用范围等,指引需求侧企业开展数据安全技术能力建设,增强数据安全综合保障能力。同时,发布数据安全技术产品市场报告,涵盖我国数据安全技术产品供需关系情况、成熟度情况、技术薄弱环节等,支撑供给侧企业开展数据安全技术手段研发投入,促进市场良性发展。
3、导数据安全产学研相结合,鼓励数据安全新技术的研发应用。鼓励高校、科研院所和企业联合开展数据安全技术研发深度交流合作,通过组建技术发展联盟、成立联合实验室等方式,合力推进数据资产盘查、数据特征值提取、数据加密、数据匿名化、数据血缘追踪以及数据防泄露等数据安全技术的研究。
同时,对于新型数据安全技术研发成果,积极开展试点应用工作。在完善产品性能的同时,加速成果转化与落地应用,切实提高了我国企业数据安全防护能力。如果您想了解更多关于数据安全技术的信息,请您继续关注中培教育。