安御道合谢依夫:数据安全的发展及趋势
移动支付网 2020/4/28 10:03:57

01 发展

在纸质年代,人类就有对内容的保护,主要表现在军事外交情报上。例如地下工作者对情报的密写,直到发展出机械密码机。数据安全以物理、化学的方法实现,完全依赖人的因素来管理和控制。随着电子化的出现,数据的呈现形式变了,保护的手段也走向了电子化,但是因为人们的思想并未跟上技术的进步,依然以原来的管理方式,重点关注在数据的存储和传递上,包括早期单机及单系统应用时代,防的是被别人复制、管的是传输介质。

但是随着网络化大规模应用,对待数据的认识也有进一步的发展,共享与交流成为一个显然的必然需求,而在共享和交流的前提下,如何保障数据安全则经历了:

1、封闭式:通过部署各种网络安全设备形成区域性封闭空间,主要防人进来的被动安全。

2、破孤岛:通过建立PKI安全体系,在加强安全性的同时突破孤岛,形成以SSL协议为基础的交流体系。

3、重信息:随着发展,人们发现真正关注信息保护问题是核心点,于是进行文档加密、数据存储保护等等,但是这些措施无形中构建了一个隐式保险箱,把信息隔离起来,安全性加强了,交流性相对受限了,并不是同步发展。

回头看看攻击者的发展情况,最早通过抓人、拦截信号实现获取信息的目的。电子化后通过病毒木马到机房非法拷贝等手段,进一步发展为网络上的拦截、篡改、仿冒等手段。其核心从来都是直接针对信息。

02 趋势

数据安全是一切安全问题的核心目标,如今社会已经进步到了云时代,这个时代的特点是共享与交流,共享及非孤岛化对数据安全的发展提出新的要求。随着物联网技术和大数据技术的发展,万物互联式的信息共享和交流可以构建出一种新型的信息社会,人类将在两个世界生存,一是现实的物理社会,二是虚拟的信息社会。物联网终端则是连接两个世界是空间门,物联网采集的信息就是构建信息社会的材料基础,大数据技术则是信息社会制理的保障。人类在这样的社会中如何保障生存安全,是未来要重点解决的问题。

美国的信息管理科学家梅森提出新时代下数据安全的四个伦理议题:

1、隐私权(Privacy)

2、完整权(Accuracy)

3、存取权(Accessibility)

4、著作权(Property)

这个PAAP的权力模型正是数据安全的本质,是保障共享与交流的有效安全目标。在信息空间上实现这四大权力,离不开密码技术。PAAP模型即是解决当前数据问题的安全模型,同时它也是未来信息社会生存的伦理模型。其实这四个权力贯穿了人类社会的各个阶段,只是在不同的阶段显现的侧重点不同。

趋势1:隐私权是一直存在的权力,只是随着网络、开放、共享,由水下浮到水面,GDPR的出现正是这一过程的标志性体现,我国紧随着出台了一系列行业标准,对隐私的保护日益受到人们的重视,尤其是对普通的互联网用户,由无感到重视再到主动要求,这会是有一个过程,相应的从企业来讲还没有找到一种行之有效的,被各种人群接受的方式、方法和产品。

趋势2:完整权、存取权、著作权在新的发展环境下,会有新的体现,这三个权力与数据边界是紧密相关的,这就如同我们个体在国家的边界内受各种保护,但出了国界则不受保护或受有限保护。但是数据的边界在哪里?如何界定虚拟世界内的数据边界,则后面一定时期内是重点要解决的问题。而我们认为数据边界就是密钥,即密钥部署在哪里,那里就是城墙,那里就是边界。信息世界的边界不会是有形的实物,而是无形数据构成的墙—它就是密钥。

综上所述,技术在进步,世界在变化,人们更加需要安全、依赖安全给我们的保障,其中安全中最核心的就是密码学,如果说在虚拟社会里物联信息是水,那么密码学就是土,它是人们坚实的生活的保障。

伴随着信息社会的构建,对密码学也提出了新的需求,表现在身份认证的手段上,人脸识别、虹膜识别、指纹识别与其说的身份认证手段,不如说是最原始的信息采集,这些人独有的信息是构成虚拟世界人的个体的数据材料。在现实社会我们识别一个人从来不是只凭脸、眼、手来识别,而是综合的长相,步态、穿着甚至我们共同的经历。密码学另一个发展趋势就是人与事结合的行为认证,例如我们日常的支付行为,A向B支付100元钱,A的身份与B的身份与行为动作(支付)以及结果(100元)这四个因素是密不可分的。不能向登录系统那样,登录完成后,再去构成行为信息。从而实质上是两个无关信息的撮合。支付行为信息不是撮合,而是一体化。这样的行为认证的安全逻辑、认证方法、系统构成将是一个主要方向。

在信息社会也是一样,不会仅仅从一个因素去判断,而是全面的判断这就提出大数据技术与生物特征识别以及密码学三者结合进行综合的全面的判断身份。


展开全文
相关阅读
资讯查询取消