中科院院士冯登国：通信流量分析、公开数据推理也可能导致数据泄露

中国经济周刊-经济网讯（记者 谢玮）随着全球迈入数字经济时代，数据成为数字时代的基础性战略资源与关键性生产要素，数据安全风险也与日俱增。日前，中关村论坛首次设立数据安全治理与发展主题分论坛，聚焦企业数据安全合规、有序流动。

数据安全治理主题分论坛

分论坛上，中国科学院院士冯登国以《数据安全新方向：数据使用安全》为主题发表演讲。

如何定义数据安全？“数据是信息的载体、信息是数据的内涵。数据安全就是通过采用必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”冯登国说，数据的生命周期包括数据产生、采集、传输、交换、存储、分析、使用、共享、销毁等诸多环节，每个环节都面临着不同的安全威胁，需要进行全链条的防护。

在他看来，当前数据安全主要面临六方面威胁，包括数据泄露、数据破坏、隐私泄露、数据失控、数据滥用及数据损坏或丢失。

“数据被偷取、窃听、窃取或泄露而造成数据泄露，通过通信流量分析也可能导致数据泄露，也可能从公开的数据推理出敏感数据而造成数据泄露。”冯登国表示。

冯登国认为，数据保护涉及数据传输、数据使用以及数据储存三种状态，而数据使用安全是当前数据安全中最薄弱的环节。工业界和学术界已发现多起影响深远的基于内存数据的攻击手段，这些攻击极大增加了人们对使用中的数据安全的关注。

举例而言，2017年黑客利用名为Triton的恶意工具攻击了位于沙特的一家炼油厂，致使其紧急关闭，分析人员在其中发现了从内存中提取用户口令或其它认证凭据的恶意程序，其目标是对关闭工业控制系统的正常服务功能并对其造成物理损坏。

此外，以熔断(Meltdown)和幽灵(Spectre)为代表的利用CPU微架构漏洞的侧信道攻击，打破了操作系统内核与用户层、应用和应用之间的隔离。

对此，他指出，应以数据使用安全为数据安全新方向，坚持“自主可控、安全可信”的防护理念，紧跟国际数据安全技术发展趋势，面向数据全生命周期构建数据安全防护、数据安全治理和数据安全威慑三大技术体系；加强数据安全法律法规研究制定，通过法律手段规范市场、强化监管，合理平衡数据管制与自由流动，营造良好的法治环境；紧密结合产业和应用实际，推出切实可行的安全解决方案和标准规范，为保障数据产业健康稳定发展保驾护航。

一审：郑扬波 二审：崔晓萌 三审：周琦