“‘法’‘治’并举 数据长安——中国大数据安全发展峰会”在贵阳顺利召开

2017年5月27日上午,由中国国际大数据产业博览会组委会主办,信息安全与通信保密杂志社、中国密码学会承办的“‘法’‘治’并举 数据长安——中国大数据安全发展峰会”在贵阳国际生态会议中心隆重召开。

作为本届“数博会”的专业安全分论坛,旨在汇集专家灼见及企业实践真知,厘清大数据生态环境存在的问题,梳理当前较为成熟的大数据隐私保护技术与实践经验,就大数据平台中的运行机制,特别是大数据的密码应用、法制和共享平台建设等相关问题展开交流,并由富有经验的业界专家进行点评,为大数据安全提供可借鉴的思路与方法,为大数据产业生态融合创新提供一场高质量的智慧盛宴。 
    本次论坛由上海社会科学院信息安全研究中心高级研究员惠志斌主持,中国工程院院士沈昌祥、倪光南,中国科学院院士郑建华,国家密码管理局副局长徐汉良,国家密码管理局商用密码管理办公室副主任安晓龙,四川省经济和信息化委员会副主任、中国网安副总经理王文胜,中国科学院信息工程研究所副所长、中国密码学会常务理事荆继武,提升政府治理能力大数据应用技术国家工程实验室副主任、中国电子科技集团公司首席专家董贵山,上海市经济信息化委员会信息安全处副处长刘山泉,中国科学院信息安全国家重点实验室教授、博士生导师翟起滨,网络情报与反情报专家、网络政策专家、美国海军陆战队上校William T.Hagestad II,中国网安云计算与大数据事业部大数据产品线总监陈天莹,北京得安信息技术有限公司总经理刘磊,北京江南天安科技有限公司副总经理李国,上海云签网络科技有限公司董事长宫文浩,西安交通大学信息安全法律研究中心主任马民虎,上海国际问题研究院全球治理研究所副研究员鲁传颖,白帽黑客团队KEEN创始人兼CEO王琦,鹏博士电信传媒集团股份有限公司CIO李慧等多位领导、院士及专家发表了致辞和演讲。
    国家密码管理局副局长徐汉良在致辞中表示,社会信息化和网络化的发展导致数据爆炸式增长,大数据已经成为国家战略资源。安全合理利用大数据对于推动经济发展、提升政府服务和监管能力具有重大而深远的影响。未来大数据技术与虚拟技术、物联网、云计算、智能制造等技术的深度融合将可能改变现代科技发展进程,推动社会的深刻变革。密码是解决网络与信息安全最可靠和最有效的手段,在大数据发展中,急需的机密保护、访问控制、安全交易、数据脱密、信任管理等方面发挥着其他手段不可替代的重要作用。面向国家战略需求充分发挥密码的支撑作用,既是推动密码事业可持续发展的不竭动力,更是我们维护国家安全、促进经济发展、保护人民群众利益的职责所系。要解决好大数据的安全问题,必须确立准确的安全理念,强化密码应用,推进密码科技创新和应用创新。  
    四川省经济和信息化委员会副主任、中国网安副总经理王文胜在致辞中谈到,2015年国务院发布了《促进大数据发展行动纲要》,基于国家战略的大数据顶层设计,从政府大数据、新兴产业大数据、安全保障体系三个方面着手推进大数据领域十大工程建设,全面促进大数据发展和应用,加快政府数据开放共享,深化大数据在各行业的创新应用。 “没有网络安全就没有国家安全”的科学论断不应仅停留在纸面上,信息安全已经成为大数据发展的首要问题。如何将网络信息安全立法统一起来,如何将信息安全保障放在大数据发展之前,如何明确信息安全的责任主体等问题,需要“法”“治”并举,各界协同,合力发展,来积极营造良好的大数据产业发展生态。

中国工程院院士倪光南在致辞中表示,随着云计算、物联网等新一代技术的发展,以及不断对传统产业的渗透、延伸和重塑,大数据当之无愧地成为了新的产业革命核心,大数据安全也成为我们亟待解决的问题。习近平总书记在网信工作座谈会上特别强调:要依法加强对大数据的管理。大数据本身的安全属于信息安全的范畴,但同时也与运营管理有关,涉及到法规、标准、制度、管理等等。由于大数据是近年来的新事物,因此相应的法规、标准、制度等必然落后于实践,我们应该边发展大数据,边加强和完善大数据相关的法制建设,建立良性循环。
     大数据安全自主可控非常必要,应当遵循安全和发展同步推进的原则,加大自主创新力度,将核心技术牢牢掌握在自己手中,在确保大数据安全的前提下,大力发展大数据产业,为建设网络强国而奋斗。

中国科学院院士郑建华做了“面向大数据安全的密码技术”的主题演讲。他表示,大数据安全比一般信息系统安全更为复杂,需要针对不同的大数据应用,建立相应的安全模型。一般从两个维度考虑安全需求,即数据所有者、数据的管理者(云服务提供者)、数据的使用者、第四方和身份识别权限管理、数据保护审计、检索查询、安全计算外包。在数据管理者不可信的基础上,多个密码系统、密码协议的有机融合,可以全面解决大数据安全问题,并简要介绍了全同态密码及其相关密码技术。同时指出要高度重视大数据的安全建设,大数据建设和大数据安全建设同步开展,促进大数据建设的健康发展。要加大投入,国家、科研机构、企业三方共同努力,同时要坚持自主创新和自主可控,学术研究面向实际需求,勇于提出新的概念,企业加快新技术落地,推进大数据安全技术标准化。

中国工程院院士沈昌祥发表了题为“网络身份可信认证”的演讲,他说,网络身份认证和管理是网络可信体系的核心内容,也是确保网络安全首要抓手和基础。“网络空间是公共场所,网络社会也是法制社会”,以法治网,推动网络秩序,保障网络安全是每个公民的责任和义务。
    网络实名制可信身认证要坚持“三据”、“四不”原则。“三据”是指执法的依据、认证的根据、追踪的证据。“四不”是指不危及实体身份隐私、不改变现有各种认证协议流程、不影响国家居民身份证系统安全、不重建国家利用法律证件认证系统平台。
    国家密码管理局商用密码管理办公室副主任安晓龙做题为“商用密码技术与应用”的主题演讲。他说,“法”“治” 并举,商用密码才能稳步发展。1999年国家出台了《商用密码管理条例》,后来又陆续出台了一些商用密码管理法规,这对商用密码的发展起到了很好的促进作用。安晓龙副主任还详细介绍了商用密码相关组织、基本密码体制、商用密码标准算法、商用密码标准体系以及商用密码产业产品等问题。他表示,推进商用密码应用,可以保障国家数据长安,保障重要领域网络与信息系统安全,支撑新业态、新模式、新应用发展。

中国科学院信息工程研究所副所长、中国密码学会常务理事荆继武在会上介绍了“大数据交易与处理中的数据脱敏技术研究”。 他表示,目前我国大数据产业规模巨大,在北京、上海、贵阳、武汉等全国各地纷纷成立了大数据交易中心 。而在大数据交易与处理中涉及大量个人隐私数据,比如年龄、工资、身份证号、电话号码、email地址、银行卡信息等。要想实现敏感隐私数据的可靠保护,就需要进行数据脱敏,需要对某些敏感信息通过脱敏规则(一般为特定算法)进行数据的变形和隐藏,转换为虚构数据,使数据挖掘者无法获取真正的隐私敏感信息。数据脱敏后,就不能访问和重构原始、真实数据,也就是不可逆,同时基于失真数据挖掘的知识与基于原始数据挖掘得到的知识相同或类似,也就是性质不变。荆继武还对基于数据失真的数据脱敏和基于加密技术的数据脱敏进行了详细的介绍。

提升政府治理能力大数据应用技术国家工程实验室副主任、中国电子科技集团公司首席专家董贵山在会上发表了题为“政府治理大数据安全与应用思考 ”的主题演讲。他谈到,政府治理大数据安全保障不是独立的安全保障体系,不能抛开大数据管理和应用谈安全,需要充分考虑大数据应用、管理架构,以大数据安全与应用一体化支撑为核心理念,实现:“数据用的好、数据防的住、数据管的细”。从全球来看,运用大数据推动经济发展、完善国家治理、提升政府服务和监管能力正成为趋势,世界各国相继制订实施大数据战略性文件,大力推动大数据发展和应用。从我国来看,党中央、国务院高度重视大数据发展及创新应用,要求坚持创新驱动发展,加快大数据部署,深化大数据应用,是稳增长、促改革、调结构、惠民生和推动政府治理能力现代化的内在需要和必然选择。政务大数据能否安全、高效应用,是我国突破政府治理瓶颈、打破部门壁垒、支撑政府职能转型的关键所在。

上海市经济信息化委员会信息安全处副处长刘山泉在会上跟大家分享了“大数据时代网络安全思考与实践”。他谈到,深化大数据应用,已成为推动政府治理现代化的内在要求和必然选择。但随着海量数据资源在不同主体间的实时流动、开发和利用,传统的基于国家、企业、个人的信息安全管理边界趋于模糊,迫切需要构建适用大数据时代的信息安全管理范式与技术保障框架。
    大数据给安全带来了一系列挑战,大数据的脆弱性加大了被攻击及信息泄露风险,为黑客攻击提供了更多机会和手段,带来用户隐私和数据权属问题,恶意数据源将威胁经济安全与社会秩序,加大了网络舆情的管控难度。同时大数据也给安全带来了一些机遇,如提升系统信息安全防护水平,对信息安全宏观态势的监测预警,催生新的安全产业链,促进技术创新等。

网络情报与反情报专家、网络政策专家、美国海军陆战队上校William T.Hagestad II在会上发表了题为“企业数据安全的思考与实践”的主题演讲。他认为:中国在大数据安全与应用方面处于世界领先地位,有很多网络安全领域的人才。保障数据安全是有策略性的,必须从使用者的角度去想。很多软件的应用都是非常脆弱的,因为当数据在硬件上的时候,我们必须用软件去保持数据的准入。当我们知道漏洞在哪里的时候,我们就会知道如何去修补漏洞,如何保存数据。加密技术已经众所周知,但是和实践还是有一定区别的,知道加密的理念,然后去实践之后,就会发现安全是很容易实现的。不管是政府、组织、还是军方,都必须要确认数据的准入,然后找出一种方式,让黑客没有办法攻破漏洞。

中国网安云计算与大数据事业部大数据产品线总监陈天莹在会上详细介绍了“公安大数据应用与实践”。她表示,近年来,公安行业的大数据应用越来越广泛,针对不同警种的需求开展了各类大数据分析应用。公安大数据是以信息化应用为支撑、以情报信息研判为主要内容、以服务于警务决策、以多警种合成作战为主要手段的工作体系,是大数据环境下,传统警务工作向数据警务的转型。公安数据包括:技术手段获取的信息、平安城市建设的天网视频数据、外采设备采集数据、各警种信息系统数据外,急需各种社会资源,如社保、房屋、水电气、暂住人口、旅店、运营商、交通出行信息、教育、人社、医社保等生活信息,构建关联信息资源库,为打防控、情报分析研判、线索挖掘等公安工作提供强大的数据支撑。公安大数据的使用还存在脏数据清洗、人为数据关联性错误、数据失效带来的关联性错误这三道鸿沟。公安局大数据采集及分析平台依托现有数据积累,利用大数据分析技术,结合视频图侦技术的优势,探索一套对公安侦查线索等方面的情报支撑保障服务体系以及大数据分析预警工作模式。

北京得安信息技术有限公司总经理刘磊在会上向大家介绍了“金融大数据中的密码服务”。他认为,大数据是我们面临的共同挑战,需要制定相应的法律法规,健全安全的法律体系,共同维护网络的有效流动。大数据的快速发展给金融行业带来了巨大的机遇,金融改革加速前行,理论市场化深入推进,金融竞争愈演愈烈,大数据的诞生为商业银行扩大了盈利空间。金融行业应用大数据主要有业务驱动,主要是建立以客户为中心的重要模式。
    密码技术具有系统理论基础的系数,是能够被数学证明的安全;密码技术是主动防御的安全技术,在认证、授权、访问控制和数据保护上具有意识;密码技术是信息系统同步规划、同步实施,和数据处理流程紧密结合。为了有效支撑新一代的业务系统,对应相关的服务建设目标,应用全流程安全体系,得安公司采用统一的安全策略、一体化安全管理机制,实现功能组件化、安全配置参数化、安全服务多样化。以降低业务风险为导向,全面加强内部管理机制,显著提高管控能力,构建了统一的安全架构模式,从开发、测试、运行到栽培的全流程管理。在统一的安全架构下,借鉴国际的安全相关标准,提供登录等全流程安全服务。

 北京江南天安科技有限公司副总经理李国在会上发表了题为“加密技术在云计算中的运用实践”的主题演讲。他谈到,在传统应用环境下的密码应用技术体系中,包含了密码设备服务层、通用密码服务层、典型密码服务层和基础设施安全支撑平台几大部分,共同保障了应用系统对密码应用的需求。在这个体系中,基于硬件保护机制的密码设备服务层是保证安全性的核心,通用密码服务层和典型密码服务层提供了服务的多样性,保证了密码支撑体系的易用性。通过调研,发现云端应用系统对密码支撑体系的功能需求没有变化,仍然需要保证各种敏感数据在传输、存储过程中的机密性、完整性和不可抵赖性,并且为了保证核心密钥的安全性,仍然需要各种基于硬件的保护措施。
     在对“云计算密码应用技术体系”研究的同时,江南天安项目组也对一些云端的热点密码应用技术和模式进行了研究。未来云端密码应用无疑会获得快速发展,从目前来看,主要发展方向有四个。首先是传统密码产品的云化;第二是密码技术与新兴业务应用的结合;第三是密码技术与PAAS服务的结合;最后是密码技术和云平台的结合。

上海云签网络科技有限公司董事长宫文浩在会上发表了题为“云签密盾,传递信任”的主题演讲。他表示,企业的计算架构从传统的主机终端到互联网架构,这个过程发生很大的变化,现在的互联网对于交易的高效和安全也有新的需求,同时网络安全上升到了国家战略高度,因此对数据管理、信息安全的要求也会提高。对于满足电子签名用户的需求,还面临数字证书多头发放、多头管理;对多个CA的兼容性差,操作繁琐;服务器布局分散,资源浪费,增加资金和人力的投入;缺少统一服务平台和统一管理;企业重复领证,增加管理成本;浏览器的兼容性差,应用对接麻烦等诸多挑战。云签网络作为一个一站式第三方云安全服务平台,可为互联网+平台提供一站式的可信身份认证、可靠电子签名、可信电子签章、电子文件批签以及可信链路网关等应用安全加固与交易无纸化解决方案服务,可以很好的解决客户的问题,体现客户价值。

西安交通大学信息安全法律研究中心主任马民虎在会上发表了题为“大数据时代密码安全态势及法律应对”的主题演讲。他表示,大数据时代密码安全态势可以体现在以下几个方面:大泄密、密码漏洞、密码滥用、证书被盗 、可信粒度结构化、虚拟货币威胁和法律争议 。
     大数据时代数据安全权利边界模糊甚至崩溃,密码保护措施是必然的选择。密码保障性与脆弱性并存,密码保护是数据安全法的必然内容。密码的两用属性,决定了分类管理在综合性法律框架中战略挑战性。我国密码法立法确定的中国方案,对世界密码法制建设具有重要价值。

上海国际问题研究院全球治理研究所副研究员鲁传颖在会上跟大家分享了“大数据安全的国际治理与中美博弈”。他谈到,大数据的国际治理议题包含隐私保护、市场准入、国家安全以及国际安全。大数据与隐私保护成为国际治理中的重点议题。
    棱镜门以及美国政府在棱镜门之后的应对塑造了今天网络空间国际安全架构现状:缺乏国际性的制度安排,具有“前维斯特伐利亚时代特征”;各国在行使“数据主权”上各行其是,缺乏统一标准;各国在网络空间行动上缺乏国际法、国际制度约束;数据成为各国情报和军事机构网络空间行动的主要目标; 大数据能力成为衡量各国情报和军事机构能力的主要标准。

白帽黑客团队KEEN创始人兼CEO王琦在会上发表了题为“虚拟大杀器”的主题演讲,介绍了GeekPwn近些年所做的工作。他谈到,GeekPwn上的IoT漏洞,所有都是高危的,能够导致完全控制目标设备(PWN);收集到的漏洞大多数简单直接,既不需要内存破坏,也不需要组合利用。安全物联网现状,其一体现在漏洞数量多,厂商还在忙于实现和改进核心功能,而忽视安全;其二体现在危害大,巨大的设备数量、长期在线、设备没屏幕,普通用户很难发现异常,这都是产生大危害的重要因素。

鹏博士电信传媒集团股份有限公司CIO李慧在会上发表了题为“基于家庭运营商的大数据应用实践与安全管控”的主题演讲。她谈到, 2016年中国大数据市场规模达168亿元,预计2017年达234亿元。在国家政策支持下,在大数据价值和利益驱动下,大数据得到政府、企业和个人的高度重视,整个产业呈现爆炸式增长,但是,近来不断爆出的数据安全事件,对大数据产业健康发展构成严重威胁和深度挑战,政府、企业和个人必须肩负起数据安全管控责任,才能让大数据应用向纵深处发展。鹏博士集团高度重视数据安全问题,制定了适合集团大数据健康发展的《鹏博士信息安全管理规范》,包括保密制度、系统对接要求、审计制度、服务和使用要求等。
     大数据发展的潮流不可阻挡,政府和企业必须通过开放大数据提升社会管理水平和企业运行效率,促进生产力的发展,释放大数据的红利。政府、企业和个人必须提高数据安全意识,增强自身的社会责任感和行业自律精神,协同治理数据安全隐患,保持大数据产业的绿色健康发展。通过大数据安全立法,为大数据发展保驾护航,依法对大数据安全问题进行监管,保证大数据应用运行在法治轨道上。
    本次论坛在国家密码管理局和中国电子科技集团的指导下,在中国电子科技网络信息安全有限公司、提升政府治理能力大数据应用技术国家工程实验室、中国智能终端操作系统产业联盟、贵州省公共大数据重点实验室的协助下,在北京得安信息技术有限公司、北京江南天安科技有限公司、上海云签网络科技有限公司、深圳昂楷科技有限公司、鹏博士电信传媒集团股份有限公司等众多企业的大力支持下,论坛获得圆满成功。
    本次论坛由经济日报、通信产业报、中国网络空间安全网、E 行网、IT168、赛迪网、网安视界等知名媒体、专业媒体进行了跟踪报道。