研 网络安全究 赛迪研究院主办 2024年2月15日 第1期 总第78期 本期主题 □新技术新应用数据安全风险、治理困境及对策建议 『所长导读』 近些年,新兴数字技术不断涌现、层出不穷,催生出了各类具有变革性的新应用新业态,对经济社会发展产生颠覆性影响。但随着新技术在各行业各领域的普及应用,新技术新应用的数据安全风险也日益凸显,除了高价值数据被泄露、窃取和滥用等传统风险外,还带来了数据投毒、数据逆向还原、虚拟设施攻击等新型风险,对政治、经济和社会等方面安全构成威胁。针对上述问题,开展新技术新应用数据安全治理专题研究,在掌握科技前沿趋势、摸清安全风险的基础上,分析我国现有治理措施的主要不足及治理需求,进而研究提出我国新技术新应用数据安全治理的措施建议,将促进对风险的有效防范和应对,促进治理能力的快速提升,有力支撑我国数字经济高质量发展和数据要素市场化发展。 为有效跟踪研究新兴数字技术发展形势,我们梳理了Gartner、《麻省理工科技评论》等国际知名智库或杂志近三年发布的技术榜单,希望从中选择出有可能引领变革且对人类生产生活产生巨大影响的新兴技术应用。经过分析发现,三年内上榜频率较高的技术应用可主要归纳为以下三类:大数据存储计算类技术、沉浸式体验类技术、AI新业态。本报告从三类中各选择出了边缘计算、元宇宙、无人驾驶三项发展相对迅速且得到普遍关注的代表性技术进行深入分析。 本报告梳理了上述技术的数据安全风险,及数据安全治理现状、痛点难点,并提出了数据安全治理的相关建议。希望本期内容能为政府部门、企业机构和社会组织提供参考和借鉴,并欢迎各界读者不吝赐教。 赛迪研究院网络安全研究所所长刘权 2024年2月15日 目录 CONTENTS 本期主题:新技术新应用数据安全风险、治理困境及对策建议 一、大数据存储计算类技术——边缘计算技术…1 (一)基本介绍1 (二)数据安全风险分析2 (三)我国数据安全治理现状2 (四)数据安全治理的痛点和难点3 (五)加强数据安全治理的建议4 二、沉浸式体验类技术——元宇宙…5 (一)基本介绍5 (二)数据安全风险分析5 (三)我国数据安全治理现状6 (四)数据安全治理的痛点和难点7 (五)加强数据安全治理的建议8 三、AI新业态——无人驾驶…8 (一)基本介绍8 (二)数据安全风险分析9 (三)数据安全治理现状10 (四)数据安全治理的痛点和难点11 (五)加强数据安全治理的建议11 本期主题:新技术新应用数据安全风险、治理困境及对策建议 本期主题: 新技术新应用数据安全风险、治理困境及对策建议 在Gartner、《麻省理工科技评论》等国际知名智库或杂志近三年发布的技术榜单上,三年内上榜频率较高、有可能引领变革且对人类生产生活产生巨大影响的新兴技术应用可主要归纳为三大类:大数据存储计算类技术、沉浸式体验类技术、AI新业态。本报告从三类中各选择出了边缘计算、元宇宙、无人驾驶三项发展相对迅速且得到普遍关注的代表性技术,对其数据安全风险、安全治理现状及痛点难点等进行深入分析,并研究提出数据安全治理措施建议。 一、大数据存储计算类技 术——边缘计算技术 (一)基本介绍 边缘计算是在靠近数据源头执行计算的一种新型计算架构,它基于融合的边缘侧计算、存储、网络能力,通过“云-边-端”协同框 架实现计算服务的下沉,提供端到端的云服务,以满足行业数字化敏捷连接、实时业务、数据优化、应用智能等方面的关键需求。其中的“边缘”,可以被定义为终端数据源和云数据中心之间的计算或网络资源。 边缘计算核心思想是“就近为用户提供可靠稳定的服务”,它将云计算能力从中心服务器拓展至网络边缘节点上,允许在靠近用户终端设备的网络边缘进行数据处理,可提供弹性扩展、敏捷部署的云服务能力。边缘计算具有诸多优势:一是边缘计算在边缘对数据进行聚合、计算、分析,使数据不必完全发送集中到云端处理,降低了带宽压力;二是边缘计算减少了中间传输的过程,边缘服务器直接提供服务,有了更实时、更快速的数据处理能力;三是边缘计算数据收集和 《网络安全研究》2024年第1期1 专业就是实力精准就是品牌 计算都基于本地,一些重要信息可以不经过网络传输,避免了远距离传输过程中数据暴露的风险。 (二)数据安全风险分析 数在采集、传输、存储、使用等环节存在被窃取、泄露等安全风险。端侧数据采集过程中,因缺少认证机制,存在非法接入、非法操作等安全风险。在端-边、边-云数据传输过程中,因传统数据完整性校验机制不能完全适用于边缘计算环境,传输数据存在被劫持、完整性被破坏等风险;同时,数据传输如果没有采用加密链路,则存在泄露风险。数据存储过程中,存在明文存储现象,缺少访问控制和操作审计、数据备份、数据隔离等技术防护手段,存在被非法篡改或泄露风险。数据使用过程中,缺少审计、防伪控制、数据脱敏防护手段,存在敏感数据泄露、数据完整性被破坏等风险。此外,边缘计算设备、节点等因安全功能有限、远离云中心等,极易遭受恶意攻击,如设备控制、资源消耗、口令破解、设备重放攻击、APT攻击等,数据被窃取等风险增加。 个人隐私泄险大。边缘计算通过将计算任务下沉到边缘,避免了数据在远距离传输中的隐私泄露风险。但是,边缘节点获取的数据仍包含了用户位置信息、服务内容和使用频率等个人隐私数据,由于隐私保护算法通常在边缘节点失效、边缘节点防护不到位等原因,这些个人隐私很可能会遭受恶意攻击,存在被窃取或泄露的风险。 (三)我国数据安全治理现状 各界对边缘计算安全问题有所 关注。政府层面,政策文件以推动边缘计算技术发展与应用为主,仅有少数文件中对边缘计算安全提出了笼统要求,如《“十四五”国家信息化规划》中提出要“提供低时延、高可靠、强安全边缘计算服务”。产业层面,边缘计算产业联盟(ECC)等行业组织对边缘计算安全问题进行研究,如2019年ECC发布《边缘计算安全白皮书》,分析了边缘计算安全面临的二十大挑战,提出了边缘计算安全的参考框架及典型场景下边缘计算安全的解决方案;2020年工业信息安全产业发展联盟发布《工业互联网边缘计算安全白 2《网络安全研究》2024年第1期 本期主题:新技术新应用数据安全风险、治理困境及对策建议 皮书》,提出工业互联网场景下边缘计算架构及安全框架。企业层面,一些企业推出了边缘计算安全产品和方案,如深信服的信服云智能边缘计算平台,可提供安全协同的一体化解决方案。 边缘计算安全相关标准工作 加紧推进。我国多个标准组织开展了边缘计算相关标准研制,如中国通信标准化协会、全国信息技术标准化委员会等,但关于边缘计算安全的标准还相对较少。目前已经发布的安全相关标准有通信行业标准YD/T4056-2022《5G多接入边缘计算平台通用安全防护要求》,规定了5G多接入边缘计算平台按安全防护等级的安全防护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全;正在研制的标准有全国信安标委 《信息安全技术边缘计算安全技术要求》,该标准2020年立项,2021年征求意见稿发布,明确了边缘计算安全框架,包括应用安全、网络安全、数据安全、基础设施安全、安全运维、安全支撑、端边协同安全和云边协同安全,并对各部分提 出了相应的安全技术要求。此外,还有一些标准研究项目,如《5G边缘计算安全体系及技术要求》等。 (四)数据安全治理的痛点和 难点 传统数据安全保护机制不适 用于边缘计算。相较于传统网络,边缘计算在组网架构、服务提供方式、运营模式上有较大的变化,这些变化对边缘计算安全提出了更大挑战。由于边缘计算服务模式的复杂性、实时性,数据的多源异构性、感知性及终端资源受限等特性,传统环境下的安全保护机制不再适用于边缘设备产生的海量数据防护,亟待新的边缘数据安全治理理念,提供轻量级数据加密、数据安全存储、敏感数据处理和敏感数据监测等关键技术能力,保障数据的产生、采集、流转、存储、处理、使用、分享、销毁等环节的全生命周期安全。 边缘计算安全防护缺乏统一的 框架和标准。当前我国边缘计算安全面临着防护体系不规范、防护能力和安全措施不统一等问题,导致边缘计算系统难以获得全方位和立 《网络安全研究》2024年第1期3 专业就是实力精准就是品牌 体化的体系安全防护,或者以性能换安全,严重降低了边缘计算系统的应用特性,使其计算体系结构的应用优势不再。国内虽有多个标准化组织开展了相关标准研制工作,但尚未设计出一套统一规范的安全防护体系,安全能力要求和安全防护机制不明确,难以确保边缘计算灵活、快响应、敏捷联接、低延时、自组织以及可定义等优势的发挥,及保障底层支撑的基础设施、核心流转数据及应用系统服务的安全及可信。 (五)加强数据安全治理的建议 加快研制边缘计算安全防护标 准规范。加强边缘计算安全风险分析,研究提出通用性的边缘计算安全体系框架,聚焦数据安全、网络安全、基础设施安全、应用安全等方面,细化分解边缘计算安全问题,提供边缘计算安全实施路径和相应方案,其中数据安全重点关注边缘计算过程中对数据产生、采集、流转、存储、处理、使用、分享、销毁等环节全生命周期保护,通过数据采集、完整性审计、数据加密、敏感数据监测、个人信息保护、安 全存储与备份和安全配置等实现。与云、5G等新技术安全标准协同,加快构建“端、边、网、云”全面覆盖的边缘计算安全标准体系,研制边缘数据安全保护等安全技术和测评标准,为边缘计算相关方在研发、测试、生产和安全运营等环节中采取的风险控制措施提供参考。针对5G、工业互联网等特定应用领域的边缘计算安全挑战和需求,研制相关安全标准规范。 探索建立边缘计算安全评估机 制。参考云计算安全评估机制,探索推进边缘计算安全评估机制,对党政机关、关键信息基础设施运营者采购使用边缘计算服务的安全提出评估要求。依据国家边缘计算安全相关标准规范,建设适配多种网络接入和承载技术的边缘计算安全评估环境,开发相应的评估工具和评估方法,打造评估队伍,对边缘计算服务从数据安全、网络安全、基础设施安全、应用安全等多个方面进行综合评估,促进边缘计算提供商不断提升边缘计算安全能力,促进边缘计算应用安全水平的提升。 4《网络安全研究》2024年第1期 本期主题:新技术新应用数据安全风险、治理困境及对策建议 二、沉浸式体验类技术——元宇宙 (一)基本介绍 元宇宙是人以数字身份自由参 与和生活的拥有各种可能性的数字 世界,是传统互联网的进一步升级。元宇宙目前尚无官方权威定义,但一个基本共识是,元宇宙本质上是对现实世界的虚拟化、数字化过程,目前仍在不断演变。具体来说,元宇宙是人以数字身份自由参与和生活的拥有各种可能性的数字世界,是传统互联网的进一步升级。 元宇宙由“去中心化”的身份系统和价值系统,以及带来沉浸式体验的硬件设备三大要素组成。首先,身份系统是由代码承载、数字构成的虚拟身份,其作为元宇宙的社会关系,具有独立性,不受元宇宙开发商控制,“数字ID”的生成、使用、销毁均由个体控制。其次,价值系统是人在元宇宙中如何创造价值、如何进行交易等一系列基本规则,其作为元宇宙的生产关系,给予元宇宙参与者相关规则的制定权。最后,VR头盔、智能眼镜、电子皮肤、脑机接口等硬件设备和相 关技术为元宇宙参与者提供沉浸式生活参与体验。 元宇宙会极大地模糊全社会在 线和离线的界限。随着虚拟现实、增强现实等技术的广泛应用以及“万物互联”社会的逐步建设,社会公众在线或者联网将会越来越自然、越来越频繁,甚至逐渐形成“24小时在线”的状态。这种沉浸式的在线生活,将真正使元宇宙成为人类社会的组成部分,并在很大程度上淘汰“完全离线”的生产与生活环境。随着相关技术发展与应用,“元宇宙”与现实世界不是幻想中的平行或者替代关系,它体现于现实社会的全面数字化、网络化改造,使全社会逐步转变为每一个自然人个体、基础设施、各类设备、组织机构随时随地在线的新环境。 (二)数据安全风险分析 具有多技术融合特征的元宇宙 自身存在潜在的数据安全隐患。由网