鄔賀銓：從網(wǎng)絡(luò)安全到數(shù)據(jù)安全

來源：數(shù)據(jù)觀 時間：2018-06-04 15:30:02 作者：

　　5月26日，數(shù)博會期間，鄔賀銓院士在“構(gòu)建數(shù)據(jù)安全新秩序”高端對話中從大數(shù)據(jù)支撐數(shù)字安全的新秩序、網(wǎng)絡(luò)安全構(gòu)建數(shù)據(jù)安全的基礎(chǔ)、人工智能提升數(shù)據(jù)安全的能力、數(shù)據(jù)安全推動制度法規(guī)的建設(shè)四個方面探討了“從網(wǎng)絡(luò)安全到數(shù)據(jù)安全”的相關(guān)問題。

　　一、大數(shù)據(jù)支撐數(shù)字安全的新秩序

　　中國電子商務(wù)、互聯(lián)網(wǎng)金融、移動支付的發(fā)展非常的迅速，但往往伴隨著網(wǎng)絡(luò)詐騙，偽欺詐、個人信息泄露、金融風(fēng)險和監(jiān)管的挑戰(zhàn)等。黑客可以最大限度地從線上網(wǎng)絡(luò)、郵件、電子商務(wù)、家庭地址等搜集用戶數(shù)據(jù)，只要了解你到過的四個位置，就可以識別出95%的個人信息。

　　數(shù)字業(yè)態(tài)的出現(xiàn)，給網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)，現(xiàn)在可以利用大數(shù)據(jù)的技術(shù)幫助我們改進對這些風(fēng)險的防范。實際上，加密是一種辦法，但不同的用戶防范等級不同，加密也不能完全一樣，因為這些是有代價的。要分析用戶行為，本來是有難度的，這么多的用戶怎么能一每個都知道?所以根據(jù)用戶上網(wǎng)的操作習(xí)慣，系統(tǒng)會檢測出這個用戶平時是怎么走的，這一次怎么會變?這異常的行為，究竟是用戶被人家劫持了，還是別人冒充了用戶身份上網(wǎng)，可以判別用戶的異常，分析這種異常是通過哪種途徑進來的，意圖是什么?可以提升報警的準確性。

　　此外，大數(shù)據(jù)技術(shù)可以用來打擊電信詐騙。以前很多電信詐騙是偽基站，是移動的，要定位它很困難。現(xiàn)在通過云端機器學(xué)習(xí)，可以準確定位偽基站。另外可以建成一個防電信詐騙的防范系統(tǒng)。現(xiàn)在很多詐騙是仿冒公檢法，我們可以把公檢法電話號碼進行監(jiān)控。這樣，詐騙的發(fā)生率就大大降低了。

　　另外基于大數(shù)據(jù)網(wǎng)絡(luò)安全防御可以彌補數(shù)據(jù)中心不足?，F(xiàn)有的數(shù)據(jù)中心主要是針對小數(shù)據(jù)，它的處理能力并沒有專門針對大數(shù)據(jù)，而且傳統(tǒng)的分析方法主要是基于規(guī)則和引擎。我們有規(guī)則庫，但沒有預(yù)先知道威脅，就建立不了規(guī)則。而且非結(jié)構(gòu)化的數(shù)據(jù)，需要特別的數(shù)據(jù)庫，這種數(shù)據(jù)庫安全只是中間件，沒有太多的擴展能力，所以大數(shù)據(jù)安全需要利用更多的支持，更多的感知，我們叫情景要素、情景感知，包括資產(chǎn)、身份、位置等。

　　第二、網(wǎng)絡(luò)安全構(gòu)建數(shù)據(jù)安全基礎(chǔ)

　　網(wǎng)絡(luò)地址現(xiàn)在轉(zhuǎn)到IPV6，IPsec不是IPv6的要求，并不會因為它的使用對內(nèi)容管理增加風(fēng)險。另外IPV6海量地址可以實行實名制，通過IPV6的地址很多，可以規(guī)范地分配，可以從地址上準確看出用戶所在地域、用戶使用什么業(yè)務(wù)，可以很好地按區(qū)域、按業(yè)務(wù)精準管理，而且海量地址空間可以有效防止被攻擊。

　　對于云安全，云本身有一些安全措施，并且后臺還有一大批專業(yè)人員做云安全審查?？偟膩碇v，使用云應(yīng)該是有安全性的。但是因為云中存儲了大量用戶數(shù)據(jù)和客戶數(shù)據(jù)，云計算會成為黑客攻擊的重點。在硬件上要多層次保護，云計算從數(shù)據(jù)備份，采用不同加密等保護處理。這里要說明，很多工業(yè)互聯(lián)網(wǎng)和政府內(nèi)網(wǎng)都是隔離的，本來以為隔離網(wǎng)絡(luò)是很安全的，去年5月份發(fā)現(xiàn)，內(nèi)網(wǎng)反而更容易受攻擊。因為內(nèi)網(wǎng)系統(tǒng)沒有在線，不小心外網(wǎng)木馬帶入內(nèi)網(wǎng)，就很難得到補丁，也沒有及時響應(yīng)。

　　工業(yè)互聯(lián)網(wǎng)也有同樣的問題，所以需要采取嚴格的安全防范技術(shù)。物聯(lián)網(wǎng)也會面臨嚴重的安全挑戰(zhàn)。物聯(lián)網(wǎng)里面，2017年美國麻省理工評論里，就把僵尸物聯(lián)網(wǎng)列為十大突破技術(shù)之一。前年美國東海岸網(wǎng)絡(luò)都癱瘓了，由于大量攝像頭中了木馬，黑客組織在2016年發(fā)動了木馬攻擊，10萬個攝像頭，每個以8兆的速度，同時對每一個域名服務(wù)器進行訪問，導(dǎo)致服務(wù)器癱瘓，癱瘓后其他很大流量就轉(zhuǎn)到另一個域名服務(wù)器，其他的也都癱瘓了。未來區(qū)塊鏈物聯(lián)網(wǎng)，可以幫助解決對物聯(lián)網(wǎng)安全的防護。

　　就車聯(lián)網(wǎng)而言，一輛汽車就是一個巨型的物聯(lián)網(wǎng)和大型的移動智能終端，本身就是一個很大的電子系統(tǒng)，里面有CPU，有復(fù)雜的軟件，加上無人駕駛車的出現(xiàn)，這里面安全性就越來越嚴重了。如果說以前中東一些恐怖分子，是用汽車人肉炸彈來做恐怖活動，現(xiàn)在不需要人了，只要有汽車就可以做炸彈。那汽車的網(wǎng)絡(luò)安全可以通過區(qū)塊鏈技術(shù)幫助改進。

　　實際上，區(qū)塊鏈的每一個區(qū)塊里面包含著交易信息，還有哈希值。哈希值是交易形式的摘要，根據(jù)一種算法算出來的摘要，不管有多長，哈希值都是156個比特。哈希值跟交易信息的關(guān)聯(lián)，可以發(fā)現(xiàn)這個區(qū)塊有沒有被更改。而且這個區(qū)塊還被復(fù)制到所有跟交易有關(guān)聯(lián)的節(jié)點。所有節(jié)點應(yīng)該是一樣的，如果某一個節(jié)點發(fā)生變化，說明它是錯誤的，可以很容易把它更正過來。前一個區(qū)塊跟后一個區(qū)塊通過哈希值關(guān)聯(lián)，假設(shè)你有能力改變一個區(qū)塊，你不需要算到前面的時間，去更改前面的哈希值。所以區(qū)塊鏈在整個網(wǎng)絡(luò)安全上也會起到很好的作用。

　　第三、人工智能提升了數(shù)據(jù)安全能力

　　機器深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)，已經(jīng)通過多層次的迭代。最次姿勢識別靜止的東西還是動物，是人還是動物，然后再區(qū)別是大動物還是小動物，區(qū)別小動物耳朵是什么特征，眼睛是什么特征，分類以后，人介入以后再告訴它這是貓。根據(jù)這個分類得到的經(jīng)驗，同樣需要一層層識別，最后可以識別出這是什么。

　　人工智能可以通過學(xué)習(xí)，不用再在機器手臂內(nèi)置程序，而是通過模仿人的手臂就可以動作了。另外隨著概率論技術(shù)的進步，使得不確定的數(shù)據(jù)現(xiàn)在可以計算了，所以人工智能現(xiàn)在發(fā)展很快。我們知道AlphaGo，通過多臺設(shè)備，48個TPU，搜集了所有圍棋棋譜，通過三個月的培訓(xùn)就可以了。新的阿爾法PLUS只學(xué)習(xí)了圍棋規(guī)則，跟AlphaGo對弈是100：1，所以未來人工智能在安全領(lǐng)域也會發(fā)揮大量的作用。

　　人工智能本身是雙刃劍，利用人工智能發(fā)展漏洞，黑客也可以利用人工智能發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，人工智能降低了黑客的門檻，黑客不需要多少知識就可以變成黑客了?，F(xiàn)在利用人工智能可以模仿熟人的聲音，可以變聲，可以實現(xiàn)釣魚工具。

　　所以說，人工智能本身就是把雙刃劍，可以要更好地利用人工智能。最重要的一點，人工智能可以干很多需要大量人力去重復(fù)的工作。比如很多網(wǎng)站都需要大量安全分析師去審查是否存在黃色照片，而現(xiàn)在人工智能技術(shù)一分鐘就能完成一個安全分析師一年的工作量。人工智能可以大大提高工作效率，可以對流量進行異常監(jiān)測，也可以識別很多偽文件。

　　第四、數(shù)據(jù)安全推動制度法規(guī)建設(shè)。

　　工信部出臺了《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的規(guī)劃》，2016年國家出臺了《網(wǎng)絡(luò)安全法》，這些都對大數(shù)據(jù)開發(fā)利用有了基本的規(guī)范，但還有待于基本化。各政府部門的數(shù)據(jù)是不是應(yīng)該完全共享?不見得。監(jiān)察部的數(shù)據(jù)不能跟其他部門完全共享，全國人大的數(shù)據(jù)不太可能跟國務(wù)院數(shù)據(jù)完全共享，所有共享都是不對稱的。中央政府對地方政府的數(shù)據(jù)共享也是不對稱的。政府?dāng)?shù)據(jù)共享到什么層次;省級、市級共享到什么程度，政府跟企業(yè)數(shù)據(jù)共享都是不對稱的。

　　政府提供給企業(yè)的數(shù)據(jù)，既能提供給企業(yè)，也能提供給公眾，所以企業(yè)不可能有特殊性。另外從國家安全出發(fā)，政府是有權(quán)調(diào)動企業(yè)數(shù)據(jù)的。但企業(yè)是不是有義務(wù)向政府提供數(shù)據(jù)?我認為企業(yè)沒有義務(wù)把自己的所有數(shù)據(jù)都提供給政府。

　　政府從企業(yè)調(diào)用數(shù)據(jù)以后，誰來保證企業(yè)商業(yè)秘密不泄漏。誰調(diào)用誰就有責(zé)任，企、事業(yè)單位之間的數(shù)據(jù)是可以共享的，但企業(yè)單位之間的共享，本身利益平衡實際上是交易行為。

　　一般來講，數(shù)據(jù)開放方面，除了國家機密、企業(yè)秘密和個人隱私，這些政府的數(shù)據(jù)原則上都是開放的。但開放本身是要進行過濾和脫敏，不是原封不動的，而且開放需要經(jīng)過清洗。也需要有一定的規(guī)則。

　　目前我國數(shù)據(jù)開放做得不是很好，政府部門不知道哪些東西可以開放，哪些不能開放，也不知道怎么過濾和脫敏。數(shù)據(jù)在進行交易之前，需要對數(shù)據(jù)進行確權(quán)，另外交易的數(shù)據(jù)必須要有質(zhì)量評定與估價。政府的開放數(shù)據(jù)可以免費，隱私數(shù)據(jù)，給多少錢也不能賣。所以政府?dāng)?shù)據(jù)沒有交易的問題。我們有些交易中心拿政府?dāng)?shù)據(jù)來交易，這是不對的。

　　運營商和互聯(lián)網(wǎng)內(nèi)容供應(yīng)商所搜集的用戶數(shù)據(jù)，原則上所有權(quán)不是他的，是用戶的。但運營商和互聯(lián)網(wǎng)企業(yè)擁有對數(shù)據(jù)脫敏和挖掘以后加工數(shù)據(jù)的所有權(quán)，可以挖掘以后提供咨詢報告給政府，交易平臺也不能截留數(shù)據(jù)。所以數(shù)據(jù)交易上，數(shù)據(jù)源的穩(wěn)定性、更新頻率等方面還需要明確責(zé)任。

　　現(xiàn)在，歐盟開始實現(xiàn)GDPR，有人說，這個法律是有史以來對個人數(shù)據(jù)保護最嚴的。他規(guī)定個人數(shù)據(jù)是指歐盟內(nèi)部的，但執(zhí)行法律的對象不限于歐盟內(nèi)部。歐盟之外，只要涉及到歐盟公民的數(shù)據(jù)，都受這個法律管制。如果你違反，罰款是一千萬歐元，或者企業(yè)上一財年全球營業(yè)總額的2%。哪個數(shù)字高就罰哪個。按照他的規(guī)則，他認為嚴重就加倍，如果你的營業(yè)額是幾百美元，你就叫交4%。

　　另外一個問題，范圍太寬。個人數(shù)據(jù)是講什么?跟個人隱私、個人數(shù)據(jù)有關(guān)的銀行帳戶、醫(yī)療信息、IP地址。目前看來，只要跟歐洲有關(guān)系的中國的互聯(lián)網(wǎng)企業(yè)，絕對已經(jīng)觸犯這個法律了。在這點上，我認為中國需要制定個人數(shù)據(jù)保護，但不能效仿歐盟GDPR。如果太嚴了，就不利于互聯(lián)網(wǎng)事業(yè)發(fā)展了。

責(zé)任編輯：陳卓陽