科技猎中国工程院院士倪光南:发展安全可控的大数据产业
一、大数据产业要实现安全和发展的同步推进
当前,在全面建成小康社会的进程中,我们要贯彻落实“创新、协调、绿色、开放、共享”五大发展理念,而作为网信事业的工作者,还需要处理好安全和发展的关系。习主席在网络安全与信息化领导小组成立之时就指出,网络安全和信息化是一体之两翼、驱动之双轮。最近他又强调指出:网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。因此,如果将网络安全和信息化作为两项独立的工作,分别对待,分别处理,或者仅仅将网络安全作为信息化的辅助措施都是不正确的。
为了更好地反映网络安全和信息化的关系,以便更好地推进相关工作,我们可以将这个领域称为网信领域,将这个领域的事业称为网信事业。这当然不是简单的字面上的改变,而应该从认识到实践,真正体现安全和发展的同步推进。因此,当我们推进一个网信项目时,在确定需求,选择方案,采购设备,组织实施,运营维护等等各个环节中,都要首先考虑网络安全,有时甚至要将是否满足网络安全的要求放在“一票否决”的地位,即:如不能满足网络安全的要求就不能通过。
在网信领域,大数据是新一代信息技术的重要组成部分,大数据产业也与网络安全、信息安全密切相关。国家安全法第24条要求“加快发展自主可控的战略高新技术和重要领域核心关键技术”,其中包括了大数据。第25条要求“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。这里更明确提出要实现“数据的安全可控”。由此可见,发展大数据产业必须将实现安全可控放在首位。
对于大数据产业来说,实现安全可控是非常必要的,因为 大数据的安全 关系到各个领域的安全,在整个国家安全体系中,包括了政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等等领域,可以说哪一个领域的安全都与大数据有密切的关系,或者说,如果没有大数据的安全也就没有任何一个领域的安全可言。
鉴于评估安全可控的难度较高,而且往往与应用场景有关,需要通过较长时间的实践检验,才有可能得出结论。相比之下,自主可控的评估基本上不依赖于场景,只要制定了相关的标准,就可以由第三方机构进行评估,较易进行操作。为此我们认为,可以将自主可控的评估作为推进网信事业的一个例行程序。在审批引进、并购项目,选择方案,采购招标等等工作中,都可以引入自主可控评估作为决策的重要依据,甚至可以将其置于“一票否决”的重要地位,这样有助于防止日后出现严重的安全隐患。
二、核心技术不能受制于人
网信领域的一个特点是核心技术和基础设施具有特别重要的地位,这是因为信息产品和服务都基于信息,而信息可以零成本无限复制,从而使信息产品和服务具有极强的自然垄断性;同时,也使网信领域出现一些对整个产业和生态环境来说,具有基础和引领作用的关键核心技术,形成一些通用、泛在、不可或缺的基础设施。这样,整个网信产业和生态环境正是建立在这些核心技术和基础设施之上的,所以我们必须特别加以重视。
显然,对于这些核心技术和基础设施而言,更应满足安全可控、自主可控的要求。习主席在一次批示中指出:计算机操作系统等信息化核心技术和信息基础设施的重要性显而易见,我们在一些关键技术和设备上受制于人的问题必须及早解决。这一指示告诉我们,在这方面我们最应关注的不是性价比,而是是否受制于人的问题,应该意识到,核心技术受制于人是我们最大的隐患。
当前有人以“落后挨打”为由,主张全面引进外国核心技术,这种观点不符合网信领域的实际情况。实际上,与其说“落后挨打”不如说“受制于人挨打”,这是被许多国家的实践所证明了的。而就信息技术的水平而论,因为这个领域的技术更新快,因此我国与发达国家的差距比在传统领域小得多。但由于信息技术具有很强的自然垄断性,因此即使技术本身差距不大,但表现在市场份额上,我国技术仍远远落后于已占据垄断地位的外国技术。
面对这种局面,有人以实现产业化为由,主张引进垄断市场的那些外国技术,认为垄断市场的、被人们普遍使用的那些核心技术不可能存在后门。其实要驳斥这种观点恐怕还不需要引用权威检测机构的结论或斯诺登的材料,只需了解一般用户的体验就可以了。例如Windows的用户会抱怨,使用这个操作系统可能被停服、被黑屏、被升级;而如果用了Win10,那么要用什么新的软硬件都还需经过微软批准才行。总之,如果一项技术是受制于人的,那么存在后门是理所当然的,用户对此没有什么可说的。
不过有些人还存在着幻想,总希望能少花代价引进核心技术,抱有这种天真的想法的人们,应当认真领会习主席的指示:我国发展到现在这个阶段,不仅从别人那里拿到关键核心技术不可能,就是想拿到一般的高技术也是很难的。实际上过去几十年我国的发展历史已经证明,市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。如果说,你忽然发现目前外国跨国公司似乎更愿意与你商谈引进了,甚至主动表示想给你引进了,那也不足为奇,那可能是表明,我们的某些技术与他们的差距已经缩小了,在这种情况下,他们给你引进是希望你停止继续研发,他们可以降低要价,使你觉得有利,但归根到底,他们不会放弃对核心技术的控制权。
正是因为还存在着一些糊涂观念,我们主张对于引进、合资之类重要项目,实行上述关于自主可控的评估,这正是贯彻实行安全是发展的前提的需要。
三、大数据安全问题
大数据的安全既包括了大数据处理系统的安全,它所使用的核心技术和基础设施的安全,也包括了大数据本身的安全。
大数据本身的安全主要属于信息安全的范畴,当然,它也与运营管理有关,因此就涉及到法规、标准、制度、管理等等。由于大数据是新事物,因此相应的法规、标准、制度等等必然落后于实践,我们不可能等到它们完善了以后才去发展大数据,而应该边发展大数据,边加强和完善大数据相关的法制建设,希望能形成一个良性循环。
从信息安全的角度考察,我们可以将它看作是一个数据安全治理问题,包括数据库审计和保护、数据丢失防止、数字版权管理、移动数据保护等等。有些问题可以继承过去数据存储管理的成果,但大数据显然也提出了许多新问题,例如大数据在量的方面的发展,使其安全问题的重要性远远超过了过去的数据安全。
大数据在质的方面的发展也带来了新的安全问题。众所周知,大数据有许多格式,如数码、文字、图形、音频、视频??,也有许多来源,如政府运作数据、企业交易数据、移动互联数据、社交媒体数据、物联网和车联网数据??,当把这些不同类型的庞大数据融合在一起进行实时处理时,不仅对处理技术是一个挑战,而且对处理的合规合法性也是一个挑战。
如果说,在过去商业智能应用的时期,已经发生过泄露客户隐私权个案的话,那么到了 大数据时代 ,如果不加防范,泄露客户隐私问题就可能发展成为某种灾害。为此,我们希望有关部门及时制订相关法规和标准,把问题解决在萌芽状态,尽可能化解或缩小由此引起的风险。
当大数据大到一定程度,其价值会随着增大,以至于达到影响国家安全的程度。在这个时候,人们如果要对大数据安全进行自主可控或安全可控的评估,显然需要考虑更多的因素。例如需要评估的对象可能包括:进行大数据处理的数据中心采用的技术设备和基础设施,各种信息终端和物联网终端,数据本身的安全和处理的合规合法性,数据通信安全以及能否保证数据在境内,管理制度??
综上所述,我们应当遵循安全和发展同步推进的原则,加大自主创新力度,将核心技术牢牢掌握在自己手中,在确保大数据安全的前提下,大力发展大数据产业,为建设网络强国和全面建成小康社会而奋斗!
(本文刊登于《中国信息安全》2016年第5期)
责任编辑:陈近梅