万物皆可数据的当下,数据要素作为数字经济时代的“石油”,其流动所能够带来的资产价值,正引发越来越多企业、机构的重视和布局。然而这一过程中,与之伴生的数据安全问题,却并未得到行业足够的重视和相应的投入。
近日,蚂蚁集团副总裁兼首席技术安全官韦韬在接受新浪科技《科创100人》采访时指出,当前,数据爆炸正催生越来越多技术、数据链路的复杂性难题,然而大多数企业往往更倾向于把资源投入到IT研发而不是安全保障上,大多数企业和机构100名IT研发人员中,配备的安全工程师往往还不到0.5名。
令人忧心的是,当企业轻视安全投入的同时,越来越多的黑产机构却开始使用大数据技术获取受害人信息,并且利用认知差实施精准诈骗,令教授、研究生等高知群体也频频上当受骗。对社会和个人的隐私及资金安全造成严重威胁。
在韦韬看来,为了避免数据的泄露和被黑产等机构的滥用,在法律条文约束的基础上,还需要通过隐私计算、区块链等技术加持,让数据以密态的形式流通。也只有通过数据密态实现数据流通从主体信任到技术信任的过渡,才能让各数据要素持有方,能够更加积极地参与数据交易,这样才能最大化数据要素的价值。
韦韬展示了蚂蚁集团在推进数据安全和数据要素密态流通方面所做技术创新与落地检验成效,并进一步展望指出,未来的数据密态发展将经历三个阶段,分别是计算密态化阶段、大数据密态化阶段和数据要素密态化阶段。
“当黑产用大数据精准诈骗,这非常恐怖”
随着“十四五”规划的发布,中国正式提出“加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”的发展目标。这标志着中国“加快数字化发展,建设数字中国”的目标正式启航。
然而,在推进数字化发展的过程中,网络安全问题也相伴而生。世界范围内的个人隐私侵犯、知识产权侵犯、网络犯罪等时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。
韦韬指出,本质上,企业和机构的数字化转型发展正不断衍化为一个进化中的数字生命体,其基因就像人体的基因一样杂乱。而且,这种演进是持续的,不会停止甚至还在加速。然而,目前企业和机构在安全方面的投入远远不足。“在100个研发工程师的情况下,往往只有不到0.5个安全工程师来保障代码安全。”
而企业安全保障投入不够导致的结果是,现在大部分系统安全保障不完善,主要靠外挂式安全。但外挂安全提供的防护往往是隔靴挠痒,事倍功半。目前,虽然安全行业新提出的内生安全也开始尝试把安全做到业务系统里,但经常是固化在开发过程中。这导致后续安全技术部署慢且容易回滚,部署成本高且存在很大的更新迭代成本。
以一些大型传统企业和机构的底层安全系统更新为例,这些基础设施升级往往更新缓慢。但如果遇到一些重大的安全漏洞被发现并公布,许多黑客组织往往在一两天之内便能写出相应的攻击代码进行定向或全网扫描,这时候这些响应迟缓的数字生命体便往往可能成为被攻击的对象,进而导致数据泄露。
当数据泄露后,随之而来的滥用也随之产生。韦韬指出,目前一些黑产机构已经掌握了非常成熟的云计算和大数据技术。他们能够利用这些技术对特定对象实施精准诈骗,专门针对特定场景的特定群体实施诈骗。由于人们对于陌生领域往往存在认知盲区,加上人性的贪婪等各种弱点,掌握大量数据的黑产机构往往能够快速地施诈,即使是教授、硕士等高知群体也会因此成为受害者。
“只要黑产使用这些技术的成本小于收益,他们便会充分地利用这些技术,去伤害合法用户。这是非常恐怖的一件事情。”韦韬表示。
“走向技术信任,数据应密态流通”
一方面,企业的重视度不够,导致能够投入到企业系统乃至于数据安全上的资源有限。另一方面,技术的欠缺也限制了各类数据资产在遇到突发漏洞和网络攻击时升级防护。多重问题下,本就脆弱的数据要素市场,愈发的缺乏主体间信任。
韦韬介绍指出,对于当前企业而言,数据供应链已经成为常态,但由于企业缺乏安全意识和安全能力,且供应链中流通的数据往往处于明文状态,这导致了数据泄露的时有发生。而且这些明文流通的数据泄露后往往被黑产用于非法获利。因此,要想改善这种数据泄露或滥用的局面,“仅仅依靠法律与合同框架,但却缺乏相关的技术方案,是远远不够的。”
以2018年Facebook(现名Meta)“剑桥门”数据泄露事件为例。Facebook数据一开始确实是授权给剑桥分析公司使用的,但自2014年起,Facebook便通知该分析公司不能再使用平台上的用户数据,剑桥分析公司也承诺称已经删除数据。但直至2016年这些数据仍被用于特朗普总统竞选乃至于最终暴露,才被外界所知。
在韦韬看来,只有让数据以密态的方式来进行流通,那这样才能保障其在流转、计算、融合直到销毁的整个生命周期中全面可控。进而才能进一步解决人们数据交易的信任问题,最终真正有效的提升数据流通的效能。
“数据要素是在主体之间流动发挥价值,所以数据注定会离开持有者的运维域,但这并不代表着其责任就全部交出去了。我们需要有一系列的技术,以保证数据流转过程中使用权的跨域管控。”韦韬表示。
对此,蚂蚁集团布局了多路线的隐私计算产品,包括发布和开源了隐语隐私计算计算框架和首个国产金融安全级TEE方案“HyperEnclave”。这两项技术产品是蚂蚁“隐语可信隐私计算技术栈”里的重要产品,可实现隐私计算工业级应用,而且该技术栈完全自研,积累了千余项专利,成为全球专利最多的隐私计算技术栈。
据韦韬介绍,数据安全的另一项重要工作是在数据持有方运维域内的安全管控。对此蚂蚁集团创新性地提出了一种新的融合式安全架构——“安全平行切面”,构造了一个安全切面技术平台,把安全能力融入企业基础设施中,同时又使得安全能力与业务解耦,使安全能力深入业务逻辑却又能够实现双方的独立高速发展,让原生安全从宏观要求走向可落地实践。目前,相关技术已覆盖蚂蚁内部超过95%的应用服务,核心业务100%覆盖,并且能够保障双11、双12流量洪峰值不降级,安全策略检测2.2亿次/分钟。
“密态时代分三阶段,将产生新的密态枢纽”
展望未来数据密态流通的发展历程,韦韬介绍指出,未来数据密态的发展将会经历三个阶段,分别是计算密态化阶段、大数据密态化阶段以及数据要素密态化阶段。目前,我们正处于计算密态化朝大数据密态化过渡的阶段。
在计算密态化阶段,主要解决的是密态管道节点部署的问题,这一过程中需要用到大量的可信软件以及可信软件技术,一般需要有专门的技术公司参与部署。这一阶段主要面临的问题是安全合规问题,需要做大量的试点验证。
在大数据密态化阶段,随着大数据、AI等技术的发展,数据处理以及建模分析的难度以及壁垒也在不断提升,在建设好密态管道节点后,如何在保障安全的情况下降低技术门槛,让模态计算变得可用易用,成为了这一阶段最大的挑战。韦韬预测,“在这一阶段,将会出现一种新的分布式密态枢纽形式,对外提供各种密态管道节点的连接服务,同时提供更多更加低成本的密态计算服务。”
到了数据要素密态化阶段,此时已基本实现全行业数据密态流通,实现多方异构互联,这一阶段需要解决的是数据要素中长尾流通的难题,进一步实现密态计算的广域普惠。
在韦韬看来,实现分阶段实现三个阶段的过程中,目前阻碍密态计算发展最大的难题,是数据分析处理人才欠缺。未来,密态计算的普及和发展,将在互联网、金融等领域头部企业内经历技术探索与创新,然后慢慢的渗透至中小微企业业务当中。