如何衡量不同隐私计算技术的安全性？蚂蚁集团韦韬首次阐述五类安全级别

6月28日，“2022大数据产业峰会”在北京举行。论坛集结了大数据相关领域的专家学者和产业界人士，深入探讨了当前数据要素行业发展的现状和趋势。蚂蚁集团副总裁兼首席技术安全官韦韬受邀参加主论坛并发表《数据密态时代：发展与安全》主题演讲，阐述了数据要素流通领域即将开启数据密时态代的新征程，其中如何评估不同技术类别的隐私计算技术的安全性，对隐私计算技术的应用落地起到关键作用。

“大数据产业峰会”已举办7届，由中国信息通信研究院、中国通信标准化协会指导，中国通信标准化协会大数据技术标准推进委员会（CCSA TC601）主办,是支撑大数据战略落地、推动大数据产业交流与合作的权威平台。

韦韬认为，2022年，无论从法规、政策要求还是技术成熟度上，整个数据流通领域即将告别数据明文时代，开启数据密时态代的新征程。隐私计算是承载数据密态时代数据安全流转的关键技术。当前以跨网为主的隐私计算模式之下，很多明文数据直接计算的操作都要被转换成数以万计的跨网交互，带来了一系列瓶颈。数据密态时代的技术需要满足稳定性、性能、适用性、成本、以及安全性上的需求。

如何比较不同的隐私计算技术的安全性，对于全球来说都是一个新兴的挑战。当前隐私计算技术安全分级标准往往是针对单个技术路线来制定的。而在应用场景，各技术路线相互之间很难交叉比较。另外，隐私计算技术不断创新，现有安全分级标准无法对新兴的隐私计算技术进行安全评估，限制了新技术的应用和发展。韦韬认为，不同场景下，在隐私计算上付出不同数量级的成本时，应该在各个维度上都有相应的收益，在安全侧应该有一个相对通的尺子来衡量。这对隐私计算技术的应用落地起到关键作用。

韦韬表示，蚂蚁集团目前正在尝试对隐私计算技术实现的“数据密态”做一些宏观层面的安全分级，依照隐私计算安全性能实现程度的递增，将安全通用分级分为五类，依次是：基线防护级、审计追溯级、广度防护级、深度检验级、安全证明级。希望把隐私计算从宣传口号落实到实质性的安全保障要求。

“产品不存在绝对安全。隐私计算系统的安全性度量的本质在于评估攻击者需要付出多大的努力、克服多大的不确定性来攻破给定的安全防护保障，造成信息泄露的后果或风险”。总体上蚂蚁集团梳理的这五个安全通用分级比较全面和准确地覆盖了现实中隐私计算系统应该满足的不同的安全级别要求，可以跨技术种类的标定隐私计算系统的安全级别。

韦韬还表示，数据流通领域即将开启数据密态时代的新征程，将是多种技术共存，隐私计算安全通用分级的标准和测评将是关键基石，也需要行业的伙伴们共同努力，不断提升行业整体水平推动数据要素行业发展。

雷峰网