电子发烧友网报道(文/黄山明)11月1日,《中华人民共和国个人信息保护法》正式生效,标志着我国对于个人信息安全的保护进入到了新的阶段。而纵览近几年来的相关政策,会发现国内密集发布了多款数据安全相关法规。
有汽车数据安全方面的,在今年4月份,全国信息安全标准化技术委员会发布了《信息安全技术网联汽车采集数据的安全要求(草案)》,6月份,工业和信息化部发布《车联网(智能网联汽车)网络安全标准体系建设指南》并公开征求意见,10月份全国信息安全标准化技术委员会发布《汽车采集数据处理安全指南》(TC260-001)。
还有针对所有数据进行防护的《中华人民共和国数据安全法》在9月1日正式实施,以及此前在7月份发布的《网络安全审查办法(修订草案征求意见稿)》。此外,《电子商务法》、《网络安全法》等多个法律共同组成了中国数据信息保护网。
有意思的是,随着信息保护法的不断完善,对于国内的各大应用都产生了相应的约束,为了保护个人数据安全,不少手机APP更新了用户的隐私数据保护措施。
不仅是中国,全球各国对于数据安全都尤为重视,近日,Facebook宣布,将关闭人脸识别系统,并删除10亿人的扫描数据,就是为了数据安全。此前Facebook人脸识别系统可以自动识别用户的数码照片,这也是Facebook得以建立全球最大人脸数据库的关键。
问题来了,为何现今要如此重视数据安全,对于普通人而言数据安全到底意味着什么?
被大众忽视的数据安全
尽管国家出台了大量的数据安全相关法规,但具体到普通用户,对于数据安全的认知也许并不是那么清晰。近几日,央视网的“焦点访谈”节目曝光了一些特殊的安全案件,比如一位无线电爱好者多年来持续泄露我国船舶敏感信息,某航空摄影爱好者泄露国内飞机飞行数据等。
当然这些案例对于普通人而言可能较为遥远,不过在生活当中,信息泄露的事件却时有发生,比如登录某购物软件,需要提供联系人方式以及位置信息等关键数据,登录某阅读软件需要电话信息或者通讯录,而在使用过程中这些应用并不需要这些数据。
收集这些用户数据自然是为了更好的盈利,好的方面是给用户画像,在购物时能够及时推送希望购买的商品,节省选择时间,而不好的方面是可能会产生大数据杀熟。并且由于个人与平台天然的不对等性,即便是被杀熟了,也很难察觉。
当然目前随着相关法案的推出,有不少公司因为涉及违规搜集、使用用户信息等行为被下架整改或者被罚款。
这些都是对于个人用户的一些影响,而收集到海量的信息后,通过大数据计算将可能严重威胁到国家安全。
如今数据被称为企业或者国家最重要的资产,普通的数据可能价值不大,但是海量的数据加上大数据计算后得出的精华就好比从地底深处挖掘出来提炼好的石油,是每个国家都希望获得的重要资源。
以地图信息为例,当我们使用具有定位功能的应用时,会自动记录我们的行程路线,将许多用户的行程路线汇聚起来,再与如今的地图进行对比,就能够得到一份非常精确的地图,以及用户出行信息,建筑信息、交通规律等。
有人会疑问,如今我们使用的地图难道不精确吗?我国在1992年发布的《中华人民共和国测绘法》上,便已经规定,没有政府许可下自行绘制我国地图是非法的。并且不只是中国一家,德国、俄罗斯等国都对地理数据和测绘有严格的限制。
并且我国在测绘地图时会使用GCJ-02编码系统,俗称火星坐标系,会将真实的GPS坐标在算法中进行一定程度的偏移,因此在许多地图中,街道实际场景与卫星地图之间相差50-500米不等,方位不定。
而模糊的地理位置可以有效的保护国内的某些特殊单位,这些单位在真实地图中的数据非常少,尤其在掌握真实用户出行数据后,就如同黑洞一般,让数据掌控机构很容易辨别,对国防安全造成极大的威胁。
当这些海量的数据被泄露后,那些拿到数据的机构可以针对这一地区的企业或个人进行有预谋的财产侵吞,或者根据用户社会画像培养反动者,或者有目的性的针对各关键领域重要的科学家进行收买或者物理清除,而这些都是已经在发生。
对于个人而言,需要加强对数据泄露危害的认知,正确保护好自己的数据,建立证据的个人数据防护意识。而对于相关企业而言,从硬件与软件上加强对数据泄露的防护,杜绝违规收集、使用数据是当务之急。
国内数据安全产业
网络安全产业是一个巨大的行业,从产业规模上来看,目前全球的市场规模在1300亿美元左右,中国的产业规模在1600亿人民币左右,并且近几年中国的相关市场规模增速都达到了10%以上。而在工信部所发布的相关文件中可以看到,到2025年,我国的行业产值目标为2000亿人民币。
从产业机遇上来看,当前各个行业都处于数字化转型的增长期,随着各类网络安全的配套法规密集出台后,国内也开始不断涌现大量网络安全公司,并且网络安全作为企业的必要配套,其市场规模也在连年增长。
与此同时,行业的快速发展,导致目前网络安全行业从业人员仍然相对短缺,并且从事该行业技术门槛相对较高,人才培养大多依赖于厂商或者培训机构。当然,目前有些高校中也开始增设网络安全专业,不过培养人才还需要时间。
通常网络安全防护除了培养消费者相关意识外,在产品上通常是在端、管、云、芯等方面进行防护。
“端”即终端设备,在终端设备上通过系统、防火墙等,阻止用户的关键信息泄露,这里通常以软件为主;“管”指传输管道,在信息传输过程中进行加密,即便是产生数据泄露,没有解密的情况下也无法使用,一般在通信模组中内置加密模块,或者通过加密算法来实现。
“云”即云端存储,由于需要将数据上传至云端,因此对于数据安全的需求更为明显,大多云服务厂商都会在云端对于数据进行重点防护,避免数据的泄露以及丢失。“芯”指的是加密芯片,尤其是芯片底层的加密IP,而这一块,目前国内仍处于刚起步阶段。
数据安全防护现状
网络安全本质上就是附属产品,并不是云计算、5G、大数据等相关技术可以用于生产力的基础设施,网络安全是依附于这些基础设施之上的。其实很好理解,当能满足一个功能的基本要求之后,才会考虑到安全问题。
国内尽管这几年在国家政策的带动下,越来越重视网络安全问题,但在具体技术上,近三十年以来,仍然没有大的基础创新,比如类似PKI体系、非对称算法等的基础创新。如今的技术大多都是沿袭过去的成果进行迭代升级,包括UEBA、区块链、态势感知等,不过是在老的技术上创造一个新的业务安全架构。
另一方面,数据安全本身并不创造价值,只是减少损失,这就导致网络安全行业很难吸引许多具备实力的玩家。举个很浅显的例子,据最新数据显示,2021年9月份,有39家中国厂商入围全球手游发行商收入榜前百名,米哈游、腾讯等知名网络公司更是名列前二。
但与国内互联网应用领先地位严重不符的是,中国在国际数据规则制定话语权上非常孱弱,比如在2020年便有多个国家以数据安全为由,联合对TikTok进行围剿。近期美国更是以可能导致信息泄露为由,撤销中国电信在美国的运营权。
并且国内的许多企业也并不愿意花费太多的成本建设网络安全防护措施,因此每隔不久就能听到某某互联网企业数据遭到泄露。一方面是数据安全感知不强,正如善战者无赫赫之功;另一方面数据泄露对于一些企业而言影响不大,反而对于国家是一个安全隐患。
从成本角度来看,加强数据安全防护会减少企业的利润,毕竟数据安全很难创造利润。并且不管是从软件上或是硬件上进行数据安全防护,都会显著降低设备的运行效率,毕竟数据在传输前、中、后期都需要进行加密或者解密,这反而会造成用户体验的下降。
因此许多企业对于网络安全防护并不太积极,一般是由白帽(从事网络安全防护的电脑高手)对某企业或者网站进行漏洞检测,如果发现漏洞后反馈给厂商进行修复并获取酬金,当然也有许多企业会主动邀请白帽对自己的产品发起攻击,如果能够破解还会给予奖励,包括苹果、微软、特斯拉等企业都举行过类似的活动。
不过随着国内对于数据安全的不断重视,企业也必须在这方面加大投入,带动整个数据安全产业的快速发展。另一方面,也会促使国内类似于乌云、补天等漏洞报告平台的增多,进一步为企业做数据安全防护服务。同时,也利好研发加密芯片或底层加密IP的相关企业与机构。