鄔賀銓：從網(wǎng)絡(luò)安全到數(shù)據(jù)安全

來(lái)源：數(shù)據(jù)觀 時(shí)間：2018-06-04 15:30:02 作者：

　　5月26日，數(shù)博會(huì)期間，鄔賀銓院士在“構(gòu)建數(shù)據(jù)安全新秩序”高端對(duì)話中從大數(shù)據(jù)支撐數(shù)字安全的新秩序、網(wǎng)絡(luò)安全構(gòu)建數(shù)據(jù)安全的基礎(chǔ)、人工智能提升數(shù)據(jù)安全的能力、數(shù)據(jù)安全推動(dòng)制度法規(guī)的建設(shè)四個(gè)方面探討了“從網(wǎng)絡(luò)安全到數(shù)據(jù)安全”的相關(guān)問題。

　　一、大數(shù)據(jù)支撐數(shù)字安全的新秩序

　　中國(guó)電子商務(wù)、互聯(lián)網(wǎng)金融、移動(dòng)支付的發(fā)展非常的迅速，但往往伴隨著網(wǎng)絡(luò)詐騙，偽欺詐、個(gè)人信息泄露、金融風(fēng)險(xiǎn)和監(jiān)管的挑戰(zhàn)等。黑客可以最大限度地從線上網(wǎng)絡(luò)、郵件、電子商務(wù)、家庭地址等搜集用戶數(shù)據(jù)，只要了解你到過的四個(gè)位置，就可以識(shí)別出95%的個(gè)人信息。

　　數(shù)字業(yè)態(tài)的出現(xiàn)，給網(wǎng)絡(luò)安全帶來(lái)新的挑戰(zhàn)，現(xiàn)在可以利用大數(shù)據(jù)的技術(shù)幫助我們改進(jìn)對(duì)這些風(fēng)險(xiǎn)的防范。實(shí)際上，加密是一種辦法，但不同的用戶防范等級(jí)不同，加密也不能完全一樣，因?yàn)檫@些是有代價(jià)的。要分析用戶行為，本來(lái)是有難度的，這么多的用戶怎么能一每個(gè)都知道?所以根據(jù)用戶上網(wǎng)的操作習(xí)慣，系統(tǒng)會(huì)檢測(cè)出這個(gè)用戶平時(shí)是怎么走的，這一次怎么會(huì)變?這異常的行為，究竟是用戶被人家劫持了，還是別人冒充了用戶身份上網(wǎng)，可以判別用戶的異常，分析這種異常是通過哪種途徑進(jìn)來(lái)的，意圖是什么?可以提升報(bào)警的準(zhǔn)確性。

　　此外，大數(shù)據(jù)技術(shù)可以用來(lái)打擊電信詐騙。以前很多電信詐騙是偽基站，是移動(dòng)的，要定位它很困難?，F(xiàn)在通過云端機(jī)器學(xué)習(xí)，可以準(zhǔn)確定位偽基站。另外可以建成一個(gè)防電信詐騙的防范系統(tǒng)。現(xiàn)在很多詐騙是仿冒公檢法，我們可以把公檢法電話號(hào)碼進(jìn)行監(jiān)控。這樣，詐騙的發(fā)生率就大大降低了。

　　另外基于大數(shù)據(jù)網(wǎng)絡(luò)安全防御可以彌補(bǔ)數(shù)據(jù)中心不足?，F(xiàn)有的數(shù)據(jù)中心主要是針對(duì)小數(shù)據(jù)，它的處理能力并沒有專門針對(duì)大數(shù)據(jù)，而且傳統(tǒng)的分析方法主要是基于規(guī)則和引擎。我們有規(guī)則庫(kù)，但沒有預(yù)先知道威脅，就建立不了規(guī)則。而且非結(jié)構(gòu)化的數(shù)據(jù)，需要特別的數(shù)據(jù)庫(kù)，這種數(shù)據(jù)庫(kù)安全只是中間件，沒有太多的擴(kuò)展能力，所以大數(shù)據(jù)安全需要利用更多的支持，更多的感知，我們叫情景要素、情景感知，包括資產(chǎn)、身份、位置等。

　　第二、網(wǎng)絡(luò)安全構(gòu)建數(shù)據(jù)安全基礎(chǔ)

　　網(wǎng)絡(luò)地址現(xiàn)在轉(zhuǎn)到IPV6，IPsec不是IPv6的要求，并不會(huì)因?yàn)樗氖褂脤?duì)內(nèi)容管理增加風(fēng)險(xiǎn)。另外IPV6海量地址可以實(shí)行實(shí)名制，通過IPV6的地址很多，可以規(guī)范地分配，可以從地址上準(zhǔn)確看出用戶所在地域、用戶使用什么業(yè)務(wù)，可以很好地按區(qū)域、按業(yè)務(wù)精準(zhǔn)管理，而且海量地址空間可以有效防止被攻擊。

　　對(duì)于云安全，云本身有一些安全措施，并且后臺(tái)還有一大批專業(yè)人員做云安全審查。總的來(lái)講，使用云應(yīng)該是有安全性的。但是因?yàn)樵浦写鎯?chǔ)了大量用戶數(shù)據(jù)和客戶數(shù)據(jù)，云計(jì)算會(huì)成為黑客攻擊的重點(diǎn)。在硬件上要多層次保護(hù)，云計(jì)算從數(shù)據(jù)備份，采用不同加密等保護(hù)處理。這里要說(shuō)明，很多工業(yè)互聯(lián)網(wǎng)和政府內(nèi)網(wǎng)都是隔離的，本來(lái)以為隔離網(wǎng)絡(luò)是很安全的，去年5月份發(fā)現(xiàn)，內(nèi)網(wǎng)反而更容易受攻擊。因?yàn)閮?nèi)網(wǎng)系統(tǒng)沒有在線，不小心外網(wǎng)木馬帶入內(nèi)網(wǎng)，就很難得到補(bǔ)丁，也沒有及時(shí)響應(yīng)。

　　工業(yè)互聯(lián)網(wǎng)也有同樣的問題，所以需要采取嚴(yán)格的安全防范技術(shù)。物聯(lián)網(wǎng)也會(huì)面臨嚴(yán)重的安全挑戰(zhàn)。物聯(lián)網(wǎng)里面，2017年美國(guó)麻省理工評(píng)論里，就把僵尸物聯(lián)網(wǎng)列為十大突破技術(shù)之一。前年美國(guó)東海岸網(wǎng)絡(luò)都癱瘓了，由于大量攝像頭中了木馬，黑客組織在2016年發(fā)動(dòng)了木馬攻擊，10萬(wàn)個(gè)攝像頭，每個(gè)以8兆的速度，同時(shí)對(duì)每一個(gè)域名服務(wù)器進(jìn)行訪問，導(dǎo)致服務(wù)器癱瘓，癱瘓后其他很大流量就轉(zhuǎn)到另一個(gè)域名服務(wù)器，其他的也都癱瘓了。未來(lái)區(qū)塊鏈物聯(lián)網(wǎng)，可以幫助解決對(duì)物聯(lián)網(wǎng)安全的防護(hù)。

　　就車聯(lián)網(wǎng)而言，一輛汽車就是一個(gè)巨型的物聯(lián)網(wǎng)和大型的移動(dòng)智能終端，本身就是一個(gè)很大的電子系統(tǒng)，里面有CPU，有復(fù)雜的軟件，加上無(wú)人駕駛車的出現(xiàn)，這里面安全性就越來(lái)越嚴(yán)重了。如果說(shuō)以前中東一些恐怖分子，是用汽車人肉炸彈來(lái)做恐怖活動(dòng)，現(xiàn)在不需要人了，只要有汽車就可以做炸彈。那汽車的網(wǎng)絡(luò)安全可以通過區(qū)塊鏈技術(shù)幫助改進(jìn)。

　　實(shí)際上，區(qū)塊鏈的每一個(gè)區(qū)塊里面包含著交易信息，還有哈希值。哈希值是交易形式的摘要，根據(jù)一種算法算出來(lái)的摘要，不管有多長(zhǎng)，哈希值都是156個(gè)比特。哈希值跟交易信息的關(guān)聯(lián)，可以發(fā)現(xiàn)這個(gè)區(qū)塊有沒有被更改。而且這個(gè)區(qū)塊還被復(fù)制到所有跟交易有關(guān)聯(lián)的節(jié)點(diǎn)。所有節(jié)點(diǎn)應(yīng)該是一樣的，如果某一個(gè)節(jié)點(diǎn)發(fā)生變化，說(shuō)明它是錯(cuò)誤的，可以很容易把它更正過來(lái)。前一個(gè)區(qū)塊跟后一個(gè)區(qū)塊通過哈希值關(guān)聯(lián)，假設(shè)你有能力改變一個(gè)區(qū)塊，你不需要算到前面的時(shí)間，去更改前面的哈希值。所以區(qū)塊鏈在整個(gè)網(wǎng)絡(luò)安全上也會(huì)起到很好的作用。

　　第三、人工智能提升了數(shù)據(jù)安全能力

　　機(jī)器深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)，已經(jīng)通過多層次的迭代。最次姿勢(shì)識(shí)別靜止的東西還是動(dòng)物，是人還是動(dòng)物，然后再區(qū)別是大動(dòng)物還是小動(dòng)物，區(qū)別小動(dòng)物耳朵是什么特征，眼睛是什么特征，分類以后，人介入以后再告訴它這是貓。根據(jù)這個(gè)分類得到的經(jīng)驗(yàn)，同樣需要一層層識(shí)別，最后可以識(shí)別出這是什么。

　　人工智能可以通過學(xué)習(xí)，不用再在機(jī)器手臂內(nèi)置程序，而是通過模仿人的手臂就可以動(dòng)作了。另外隨著概率論技術(shù)的進(jìn)步，使得不確定的數(shù)據(jù)現(xiàn)在可以計(jì)算了，所以人工智能現(xiàn)在發(fā)展很快。我們知道AlphaGo，通過多臺(tái)設(shè)備，48個(gè)TPU，搜集了所有圍棋棋譜，通過三個(gè)月的培訓(xùn)就可以了。新的阿爾法PLUS只學(xué)習(xí)了圍棋規(guī)則，跟AlphaGo對(duì)弈是100：1，所以未來(lái)人工智能在安全領(lǐng)域也會(huì)發(fā)揮大量的作用。

　　人工智能本身是雙刃劍，利用人工智能發(fā)展漏洞，黑客也可以利用人工智能發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，人工智能降低了黑客的門檻，黑客不需要多少知識(shí)就可以變成黑客了。現(xiàn)在利用人工智能可以模仿熟人的聲音，可以變聲，可以實(shí)現(xiàn)釣魚工具。

　　所以說(shuō)，人工智能本身就是把雙刃劍，可以要更好地利用人工智能。最重要的一點(diǎn)，人工智能可以干很多需要大量人力去重復(fù)的工作。比如很多網(wǎng)站都需要大量安全分析師去審查是否存在黃色照片，而現(xiàn)在人工智能技術(shù)一分鐘就能完成一個(gè)安全分析師一年的工作量。人工智能可以大大提高工作效率，可以對(duì)流量進(jìn)行異常監(jiān)測(cè)，也可以識(shí)別很多偽文件。

　　第四、數(shù)據(jù)安全推動(dòng)制度法規(guī)建設(shè)。

　　工信部出臺(tái)了《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的規(guī)劃》，2016年國(guó)家出臺(tái)了《網(wǎng)絡(luò)安全法》，這些都對(duì)大數(shù)據(jù)開發(fā)利用有了基本的規(guī)范，但還有待于基本化。各政府部門的數(shù)據(jù)是不是應(yīng)該完全共享?不見得。監(jiān)察部的數(shù)據(jù)不能跟其他部門完全共享，全國(guó)人大的數(shù)據(jù)不太可能跟國(guó)務(wù)院數(shù)據(jù)完全共享，所有共享都是不對(duì)稱的。中央政府對(duì)地方政府的數(shù)據(jù)共享也是不對(duì)稱的。政府?dāng)?shù)據(jù)共享到什么層次;省級(jí)、市級(jí)共享到什么程度，政府跟企業(yè)數(shù)據(jù)共享都是不對(duì)稱的。

　　政府提供給企業(yè)的數(shù)據(jù)，既能提供給企業(yè)，也能提供給公眾，所以企業(yè)不可能有特殊性。另外從國(guó)家安全出發(fā)，政府是有權(quán)調(diào)動(dòng)企業(yè)數(shù)據(jù)的。但企業(yè)是不是有義務(wù)向政府提供數(shù)據(jù)?我認(rèn)為企業(yè)沒有義務(wù)把自己的所有數(shù)據(jù)都提供給政府。

　　政府從企業(yè)調(diào)用數(shù)據(jù)以后，誰(shuí)來(lái)保證企業(yè)商業(yè)秘密不泄漏。誰(shuí)調(diào)用誰(shuí)就有責(zé)任，企、事業(yè)單位之間的數(shù)據(jù)是可以共享的，但企業(yè)單位之間的共享，本身利益平衡實(shí)際上是交易行為。

　　一般來(lái)講，數(shù)據(jù)開放方面，除了國(guó)家機(jī)密、企業(yè)秘密和個(gè)人隱私，這些政府的數(shù)據(jù)原則上都是開放的。但開放本身是要進(jìn)行過濾和脫敏，不是原封不動(dòng)的，而且開放需要經(jīng)過清洗。也需要有一定的規(guī)則。

　　目前我國(guó)數(shù)據(jù)開放做得不是很好，政府部門不知道哪些東西可以開放，哪些不能開放，也不知道怎么過濾和脫敏。數(shù)據(jù)在進(jìn)行交易之前，需要對(duì)數(shù)據(jù)進(jìn)行確權(quán)，另外交易的數(shù)據(jù)必須要有質(zhì)量評(píng)定與估價(jià)。政府的開放數(shù)據(jù)可以免費(fèi)，隱私數(shù)據(jù)，給多少錢也不能賣。所以政府?dāng)?shù)據(jù)沒有交易的問題。我們有些交易中心拿政府?dāng)?shù)據(jù)來(lái)交易，這是不對(duì)的。

　　運(yùn)營(yíng)商和互聯(lián)網(wǎng)內(nèi)容供應(yīng)商所搜集的用戶數(shù)據(jù)，原則上所有權(quán)不是他的，是用戶的。但運(yùn)營(yíng)商和互聯(lián)網(wǎng)企業(yè)擁有對(duì)數(shù)據(jù)脫敏和挖掘以后加工數(shù)據(jù)的所有權(quán)，可以挖掘以后提供咨詢報(bào)告給政府，交易平臺(tái)也不能截留數(shù)據(jù)。所以數(shù)據(jù)交易上，數(shù)據(jù)源的穩(wěn)定性、更新頻率等方面還需要明確責(zé)任。

　　現(xiàn)在，歐盟開始實(shí)現(xiàn)GDPR，有人說(shuō)，這個(gè)法律是有史以來(lái)對(duì)個(gè)人數(shù)據(jù)保護(hù)最嚴(yán)的。他規(guī)定個(gè)人數(shù)據(jù)是指歐盟內(nèi)部的，但執(zhí)行法律的對(duì)象不限于歐盟內(nèi)部。歐盟之外，只要涉及到歐盟公民的數(shù)據(jù)，都受這個(gè)法律管制。如果你違反，罰款是一千萬(wàn)歐元，或者企業(yè)上一財(cái)年全球營(yíng)業(yè)總額的2%。哪個(gè)數(shù)字高就罰哪個(gè)。按照他的規(guī)則，他認(rèn)為嚴(yán)重就加倍，如果你的營(yíng)業(yè)額是幾百美元，你就叫交4%。

　　另外一個(gè)問題，范圍太寬。個(gè)人數(shù)據(jù)是講什么?跟個(gè)人隱私、個(gè)人數(shù)據(jù)有關(guān)的銀行帳戶、醫(yī)療信息、IP地址。目前看來(lái)，只要跟歐洲有關(guān)系的中國(guó)的互聯(lián)網(wǎng)企業(yè)，絕對(duì)已經(jīng)觸犯這個(gè)法律了。在這點(diǎn)上，我認(rèn)為中國(guó)需要制定個(gè)人數(shù)據(jù)保護(hù)，但不能效仿歐盟GDPR。如果太嚴(yán)了，就不利于互聯(lián)網(wǎng)事業(yè)發(fā)展了。

責(zé)任編輯：陳卓陽(yáng)