应对隐私计算“讲不清”“不敢用” 安全分级标准建设起步

​应对隐私计算“讲不清”“不敢用” 安全分级标准建设起步

本报记者 李晖 北京报道

推动数据要素可信流通,隐私计算是核心技术之一。但当前,这一技术在产业落地应用中出现了“讲不清”“看不懂”“不敢用”的情况。

《中国经营报》记者日前在“隐私计算通用安全分级”研讨会现场了解到,目前安全能力分级企业标准建设已经落地,未来将推动团体标准和行业标准的制定,拓展应用范围,获得更多参与方的认可。

来自产业界和机构的多位代表认为,对不同隐私计算技术路线建立统一标准进行安全能力分级,可以推动产业界以自身需求选择匹配的技术方案,实现安全与性能的平衡,有助于数据要素价值释放。

标准缺乏度量 隐私计算应用尚处浅层阶段

隐私计算交叉融合了密码学、人工智能、计算机硬件等众多学科,形成了多方安全计算、联邦学习、可信执行环境等主要技术路线,目前已经应用于金融、政务、医疗、能源、制造等诸多领域。

2020年后,隐私计算一度成为数据安全赛道的明星选手。但由于不同的技术路线投入成本和安全、性能有很大差异,随着应用逐步深入,如何为不同安全要求的场景选择合适的隐私计算产品,成为各个机构技术选型的一大挑战。

记者梳理公开数据发现,2022年之后,隐私计算领域的投融资市场快速降温,投融资案例大幅减少,这也一定程度佐证了隐私计算发展面临的困难。

“隐私计算技术的行业应用仍停留在比较浅层的阶段。隐私计算不同技术路线的安全能力差别非常大,而由于业界缺乏统一标准进行衡量,新技术‘讲不清’‘看不懂’,导致产业‘不敢用’,这与技术实际达到的水平之间有着巨大差异。”蚂蚁集团副总裁、首席技术安全官韦韬在研讨会上直言。

韦韬认为,数据要素跟传统的生产要素有本质差别,数据价值具有双面性,业务价值越大,风险成本越高。高风险意味着一定要在安全和性能之间做平衡,如果安全能力没有做度量,会出现脱离安全讲性能、成本拉低安全水位的现象。“这就有必要对隐私计算技术用一套体系进行度量和评估,把安全能力显性化,有助于推动行业在安全和发展之间找到平衡点。”他表示。

在中国信息通信研究院云大所副主任、隐私计算联盟副秘书长袁博看来,数据有分级分类,也应对数据相关技术进行分级分类,在建立映射关系后,让技术真正可用,否则业界总有“隐私计算的效率特别低”等误解。

“隐私计算是一系列技术的组合,对技术进行安全分级之后,可以对应到不同策略、不同数据类型和不同数据场景,促进相关技术产品用得好。因此,安全分级是隐私计算进入深度应用的至关重要一环。”他表示。

中国银行隐私计算团队算法工程师石新蕾认为,受参与方数据的影响,不同的需求场景对安全的要求存在差异,通过分级可以为业务提供合适的安全保障水平,也能分配合理的计算资源,做到成本控制。

安全分级势在必行

这种分级需求也逐步成为业界共识。

2024年年初,深圳国家金融科技测评中心发布的Q/NFEC0001—2024《隐私计算产品安全能力分级要求》标准,其根据不同的使用场景及安全需求将隐私计算产品分为五级,是业界首个可以适用不同技术路线的隐私计算分级方法。

深圳国家金融科技测评中心技术负责人罗丰在研讨会上表示,从现有的测评和标准来看,在安全分级之前很难评估一个产品整体的安全性和性能之间的差异性。

他进一步向记者解释,技术孤岛现象客观存在,技术无法互联互通可能导致不同的部署了隐私计算的金融机构,会出于成本、投入、维护等考虑产生产品选型的分歧,也成为隐私计算在金融行业推广中的难点。此外,预期效益难以估计及投入成本高,导致很多中小型的金融机构不太有意愿推动隐私计算应用。

“隐私计算此前规模落地的一大阻力在于性价比。实践中,在多方安全计算、联邦学习和可信安全执行三大路线之外,稍微弱化一点的技术由于落地成本低,效果差异不大,从技术成本与业务收益角度衡量,机构更乐于接受。”网商银行高级安全工程师陆茂斌直言。

上述分级标准一定程度为隐私计算规模化发展破题提供了思路。蚂蚁集团隐私计算高级专家潘无穷分析认为,对于隐私计算产品实现环节安全性难以被量化,破题的重点可以从四个方向考量:按照攻防效果分级,为技术特征打造新的可量化程度,对产品实现环节的安全性进行分级,以及从攻防效果和技术特征两方面进行约束。

据记者了解,围绕上述标准配套的《白皮书》将在7月发布。值得注意的是,上述标准属于企业标准。多位业界人士也认为,结合数据要素市场建设这样的国家战略需求,未来团体标准和行业标准的制定也将加快脚步。

(编辑:何莎莎 审核:朱紫云 校对:颜京宁)

Sun, 09 Jun 2024 13:32:30 GMT 原文链接🔗: