数字经济的安全基石

首页 > 安恒动态 > 资讯中心 > 正文

漫谈数据安全 | 22条思考拼出认知地图

阅读量:

当下,从个人的隐私到企业的商业秘密,甚至是政府国家的核心机密,都暴露在不同程度的安全风险之中。


做安全,就是要将自身调整成广角模式,居安思危、未雨绸缪,时刻保持思考,时刻保持洞察,时刻保持看见,时刻保持行动,这些是安全建设的底层逻辑。理解数据安全,是个不断建构认知地图的过程,来自安恒信息数据安全专家刘博的22条思考:


一、认知

Q1

怎么定义数据安全?

保护+利用

通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

Q2

数据安全和传统的网络安全有哪些区别?

最大区别:保护、赋能

“网络安全”强调网络边界和安全域,或网络入侵防御,或网络通信系统或传输安全,或网络空间等场景。总体来说,网络安全更加强调的是保护,保护业务、保护数据,属于保护和促进作用。


“数据安全”强调全生命周期中的数据保护,或数据作为生产力,或强调数据主权、数据主体权利、长臂管辖权、隐私保护等场景。总体来说,数据安全更多的是强调赋能,如数据要素市场,必须安全先行,只有数据安全到位了,才能开展这块业务。

网络空间提供计算的环境,数据则作为信息的载体成为计算的对象。网络安全强调计算环境(网络空间)的安全,从而保障计算对象(数据)的安全。因此,网络安全是数据安全的前提,数据安全是网络安全的一种体现,网络安全涵盖的范围更广,而数据安全的范围更明确具有针对性。


二、洞察

Q3

数据安全对国家意味着什么?

是国家战略

数据是国家基础性战略资源,没有数据安全就没有国家安全。

早在2004年起,美国洛斯阿拉莫斯国家实验室Los Alamos被指控泄露了与兵器研究有关的国家机密和一些其它机密信息。该实验室在国家安全中扮演着重要的角色,这让数据安全直接与国家安全挂上钩。

2013年时美国被曝出以保护“国家安全”为借口,罔顾个人隐私,擅自对全球大多数国家和公民的个人数据监督,并美其名曰“棱镜计划”,直接对其他国家的安全带来威胁。

随着数字化改革深入推进,数据已经成为国家基础性战略资源,数据安全超出传统的安全范畴,上升到维护国家主权的高度。不只中国进行立法,全球有超过120个国家已经走上数据保护立法道路。欧美国家早在2018年颁布相关法规,我国于2018年9月,全国人大常委会将《数据安全法》列入立法规划;2020年6月,初稿交人大常委会初审;2021年6月10日,最终稿获表决通过,9月正式实施。“十四五”规划,明确要求全面加强网络安全保障体系和能力建设,切实维护新型领域安全,网络安全、数据安全保障体系和能力是对国家安全的有力维护。

Q4

数据安全对组织意味着什么?

组织生命线

当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,一旦数据发生泄露等安全事件,对企业产生重要影响。

据微软报告显示,全球企业和政府组织每年需为网络攻击造成的损失支付40亿美元。IBM资料显示,全球公司每年因数据泄露造成的平均损失从350万美元上升至380万美元,部分甚至上亿。数据泄露不仅让企业遭受经济损害,其无形的社会信用也遭遇不可逆的损伤,如今立法形势下企业还可能面临诉讼等法律指控,这些都将带给企业无法估量的损失和伤害。

2019年美国国家网络安全联盟委托分析公司Zogby Analytics的一项数据泄露研究,通过对1000余家中小企业展开问卷调查,结果显示近30% 受访公司在过去一年中经历过真正的安全事件,69% 的公司因此暂时被迫下线,37% 经历财务损失,25% 宣告破产,10% 关门歇业。

以企业为例,2019年Facebook一个包含超过2.67亿Facebook用户ID、姓名以及电话号码等信息的网络数据库被公开。因此被处以50亿美元罚款。欧洲方面,Facebook向英国信息委员办公室支付50万英镑罚款,达成和解,创始人扎克伯格受审6小时!

Q5

数据安全对数字化转型意味着什么?

新型生产要素

2020年04月10日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)正式公布。《意见》分类提出了土地、劳动力、资本、技术、数据五个要素领域改革的方向,明确了完善要素市场化配置的具体举措。数据作为一种新型生产要素写入文件。作为新型生产要素的的数据是组织重要资产,只有在流通交易中才能最大化释放其价值,数据在被使用过程中自然而然就伴随产生了安全的刚性需求。据IDC报告:2020年全球创造了59ZB的数据,其中一半以上(50.4%)的数据需要一定程度的保护,近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别很高,但却缺乏保护。另外关键的是,与消费者相比,企业要保护的数据更多,占需要保护数据总量的85.6%。

数据是智能化数字的核心,是驱动组织持续卓越发展的重要组成部分。敏感数据大量数据存在于政企单位,对数据安全需求量大。数据造假十分容易,数据能够被信赖、值得被信赖的关键是数据安全和保护。因此,整个产业生态都要集中力量发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展,完善数据安全治理体系,以安全保发展、以发展促安全。同时,要加快适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,大力推进政务数据资源开放和开发利用,从而更好地践行国家数字化进程。

Q6

数据安全对运营者意味着什么?

赋能业务

数据安全与业务是强耦合关系,数据安全在赋能业务发展,有了数据安全,可以开展更多的业务。“赋能数据开放,激活数据价值”,我(安恒信息首席数据安全专家刘博)此前曾供职Facebook、Square等知名企业接触到大量的数据,十分清楚数据对业务价值。站在客户视角来看待数据驱动业务,可以了解到数据面临的安全痛点和风险是什么,数据安全问题如何阻碍业务发展,所以我们在做数据安全服务的时候可以最大程度贴近客户数据业务场景,帮助客户激活数据安全能力。

我们从前提到安全,基本上脱离不了保护、保障、防御等语境。如今,随着数字化改革的机遇,以及新一代数据安全的创新,安全的使命和价值也在发生质的变化。从之前单纯的保护保障,到现在促进业务发展,在业务发展之初,运营者往往就会想到如何利用数据安全技术来更好地开展业务。


三、法规

Q7

《数据安全法》颁布后,主要对哪些领域、行业产生影响?

各领域、各行业

目前国际网络安全形势日益严峻,数据黑产快速发展,个人隐私、企业核心数据资产乃至国家秘密稍有疏忽都可能发生泄漏,造成重大损失。不能合理地处理好数据资产使用与安全两者之间的关系,将会严重制约经济的快速发展,甚至影响到国家安全。

数据大规模集中存储增加数据泄露风险、大量的数据开放共享将会凸显数据滥用风险、数据资产的安全运营面临挑战、人工智能安全威胁日益凸显。工业、电信、交通、金融、自然资源、卫生健康、教育科技等主管部门承担本行业、本领域数据安全监管职责。

行业层面来看,金融保险行业、电信、互联网行业、车联网行业、工业互联网行业等近年来对数据和数据安全问题愈加重视,中国人民银行、中国银保监会、工信部、科技部等各部门纷纷发布相应规定。

Q8

《数据安全法》颁布后,带来怎样的新趋势?

责任变大

《数据安全法》的落地,意味着数字经济监管趋严,与此同时,也为数据安全产业的发展带来新的商机。根据《数据安全法》第二章第十六条规定,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

最为直接的,《数据安全法》实施后,企业在数据安全上的责任一下子大了。这会倒逼企业加大在安全领域的投入,以规避因安全风险造成的损失。显然,这会催生出很多新的机会。在对人工合规需求上升的同时,对相关软件应用的需求也会增加。自动化的数据合规软件,可能会像过去的企业财务软件一样,迅速发展出很大的需求,从而成为一个风口。同时也会有很多技术点催生出新的企业。

“十四五”规划中,明确要求全面加强网络安全保障体系和能力建设,切实维护新型领域安全,网络安全、数据安全保障体系和能力是对国家安全的有力维护。《数据安全法》下,企业需要尽快构建数据安全管理体系,可以在《数据安全法》的规定下进行相关数据采集、处理、交易。

《数据安全法》第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”互联网企业收集数据应符合此条规定,否则将面临法律风险,保护罚款和最高面临停业整合或吊销执照。

《数据安全法》第二章第十九条规定:“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”让数据在法治轨道上流动,能够为数字经济发展创造良好条件,进一步提升数据助力科技创新的能力和水平。

Q9

《数据安全法》和数据安全产品对数据市场的激活表现?

道阻且长

数据安全是数字经济健康发展的基础。“十四五”规划和2035年远景目标纲要指出,“迎接数字时代,激活数据要素潜能”、“加快建设数字经济、数字社会、数字政府”。

据Synergy Research Group的数据显示,截至2020年,全球主要的20家云和互联网服务公司运营的超大规模数据中心数量为597个,其中美国的数据中心数量远超其他国家,占比高达40%,中国虽然位列第二但占比仅有10%。无论是从法律法规层面,还是技术发展层面,中国与欧美大国相比,还是存在一定的差距。

推进数字生态建设,建立健全数据要素市场秩序、规范数据规则,将有利于发挥数字经济的网络效应,改善市场与创新环境。数字化建设将更好地服务于我国经济社会发展和人民生活改善,并为全球数据安全治理贡献中国智慧与中国方案。


四、能力

Q10

数据安全对安恒信息意味着什么?

值得全情投入

早在2007年初,公司创始人范渊就表示:之前在美国硅谷主要做Web安全和数据安全方面的攻防研究,那时我便感觉数据安全应该是未来的趋势,因为数据是企业的核心资产。从2007创立之初就开始关注数据安全,也是业内最开始关注数据安全和应用安全的企业,公司英文名DBAPP就传递着最初的业务方向专注在数据安全和应用安全。2017年公司就提出“让数据无忧,让应用恒久,让一切放心在线。”自公司成立以来,这个做数据安全的初心一直未改。

Q11

我们在数据安全领域做了什么?

一直在实践

我们是国内最早一批开始涉猎数据安全业务的安全厂商之一,早在数据安全1.0时期,我们的数据库审计排名前二。2015年钉钉密盾的发布,为钉钉上企业提供信息安全保障。2018年随着数字政府、数字经济的高速发展,数据安全更受重视,客户对数据安全的技术和产品要求也越来越高,我们跟杭州大数据局(国内第一个大数据局),开始以杭州市为蓝本,启动全生命周期的数据安全技术研究和产品研发,逐步形成包括AiGuard数据安全解决方案,到2020年,提出国内首个数据安全技术框架“CAPE”。

从2019年起开始承接公安部数据智能安全岛课题,大力投入隐私计算,帮助不可信的多方实现数据联合计算,数据交易。最终形成已经形成数据安全保护、数据安全开放及数据安全监管的整体数据安全方案。在数据安全领域参与了多个行业和国家的标准的制定,参与上海临港的数据跨境业务,目前还是浙江省大数据交易中心主要技术支撑单位。

Q12

我们的产品/解决方案有哪些特点?

技术多维、产品丰富

技术特色:具备用户和数据的双视角,我们的数据安全产品是纵横联通,构建整体安全能力和风险监控平台,一体化和平台化。AiGuard覆盖10大数据安全场景,为客户构建完整的“CAPE”体系。

十大产品:拥有AiSort 数据安全分级与风险评估系统、AiMask 数据脱敏系统、AiGate 数据安全网关、明御数据库审计与风险控制系统、AiThink 用户与实体行为分析系统、AiTrust 零信任解决方案、AiDLP 终端数据防泄漏系统、AiDLP 网络数据防泄漏系统、AiTDE 透明数据库加密系统、AiTTE 透明数据传输加密等十大产品,全面构建数据安全解决方案体系。

Q13

我们的产品/解决方案有哪些优势?

全、智、联

全局视角:国内首家覆盖数据全生命周期关联的网络、终端、应用、数据库和接口的综合解决方案,解决数据静态和流动状态中数据泄露、数据篡改、数据滥用和隐私泄露风险; 


智能驱动:秉承“让安全更智能,更简单”理念,敏感数据识别、用户行为与实体风险分 析、智能脱敏、动态数据标注等,自动化、智能化和流程化解决数据安全各环节风险和日常 运营实战。分类分级,权限管控,NLP自动识别,自动化识别文本词汇,如复姓识别,可自动识别权限过大/滥用(案列一个账号多人使用)、账号复用等,降低数据的暴露面;


耦合联动:反对简单的产品堆砌,提倡安全产品实战化、一体化,多维深入安全数据治理、 分析、挖掘和预测告警各类数据安全风险;并通过标准化接口和策略引擎,统一融合各个安 全模块。

Q14

专利与市场认可情况如何?

不胜枚举

安恒信息以数据安全起家,拥有国内市场排名top级的数据库审计类产品,拥有100多项数据安全相关专利,在基础技术研究层面具备天然优势。2019年安恒信息就受某国家部委委托进行数据共享交换技术和平台研究开发,在合规层面具备优势。安恒信息也拥有众多奖项,包含:

2020年度“1CT中国创新应用特别贡献奖”--中国通信企业协会;

数博会2019大数据产品案例--AiLPHA大数据智能安全平台;

数博会2019年领先科技成果--基于知识图谱的网络攻击自动化关联推理技术;

2021数博会领先科技成果奖-安恒信息SOAR智能编排;

2021数博会领先科技成果奖-安恒AiThink智能用户行为分析解决方案;

2019关键信息基础设施安全优秀产品之技术创新奖;

2019年度优秀软件产品;

第二届中国警务信息化建设成果“最佳解决方案”奖;

2018年浙江省大数据技术应用创新;

2018年雷锋网“Al+安全”最佳产品成长奖;

Breakout Security Information Event Management(SIEM) InfoSec Award for 2019;

2019世界人工大会智能产业安全十大创新实践;

2018年CCIA网络安全创新产品优秀奖;

2019大数据安全优秀案例评选中荣获最佳实践奖(证书);

“创世技”2019年最具颠覆性创新潜力榜(证书)。

Q15

除了产品外,是否也提供配套的服务?

不可或缺

数据安全支撑业务,需要从全局视角制定数据安全方案,我们有完备的数据安全咨询服务,可以保障数据安全建设更加全面落地。

Q16

主要目标客户是哪些?为什么选择他们?

有需求的都是目标客户

只要有数据的客户就需要做数据安全,所有政企客户都是我们的目标客户。具体如:

现阶段对数据安全需求旺盛的客户比如:大数据局、公安、金融、运营商及医疗。

存在大量敏感数据、关键数据的行业客户;国家新出台的“关基系统”(CII)覆盖的行业客户,这些行业的基础数据能力建设比较完善,并且行业具备明确的法规要求。

还有互联网企业、医疗、教育等客户。尤其是互联网公司,随着业务的发展收集了大量的个人数据,但是这些企业较少的关注数据安全能力。

医疗行业客户:我国尚缺明确的法律规定医疗数据的归属问题,因此大多数AI医疗公司只需通过与医院或主任合作科研项目,就可获取医院海量的医疗数据,这些科研数据的安全,目前已成为医疗行业亟需解决的难题。

教育:教育行业,包括学校、教育局以及其他其他教培机构,拥有大量的学生及家长的个人敏感信息,如姓名、地址、电话、身份证号等信息都是最重要的核心敏感数据。

Q17

不同客户间是否存在共性?是否有通用型解决方案?如某行业、某类型企业?

共性和差异并存

从数据安全风险点、建设方向看基本相同,所以技术保障层面存在较大共性。所有的数据安全保护技术都可以归纳为“CAPE”数据安全技术框架,即包括风险核查Check、数据梳理Assort、数据保护Protect、监控预警Examine四个方面。

但具体到业务层面存在较大区别,各行业的数据属性不一,分类分级规则、重要程度等差距较大,因此管控策略很不一样。我们的数据安全分类分级产品基于NLP,分类分级规则是模板化的,内置20多个模板,20多个行业标准支持,行业的模型可以在我们平台使用,根据客户属性完成适配。

Q18

我们的数据安全能帮客户解决哪些问题?对客户的价值是什么?

满足合规和业务发展

首先帮助客户解决数据合规问题,在合规的基础上,促进客户业务发展,让客户的业务不但可以稳健良性发展,还可以辅助客户开展新的业务。如:保障政务数据安全开放、促进政企大数据交易、完善行业数据生态链。

Q19

数据安全是合规需求还是商业需求?

无法切割

两种需求都有。从立项出发,客户是为解决实际问题,随着《数据安全法》的实施,政策压力下短期内合规需求会增加。实际上,主动建设需求与合规需求是无法切割的,客户在政策压力下首先必须满足合规,并且同步建立满足商业需求的数据安全能力体系,建设周期通常是3-5年。

Q20

对于不同客户,在数据安全上的投入有多少?或者占IT投入的比例?

目前不乐观

现在大部分客户对数据安全投入较低,将来投入会大幅增加,预计网络安全和数据安全投入占比会趋于一致,但需要时间,3-5年可能还不行,未来5-10年会大致完成。

Q21

未来在数据安全上的布局?

数据安全监管、数据安全保护及数据安全开放。

安恒信息站在时代与理论的前沿,提出以“CAPE”数据安全能力框架为核心的数据安全管控体系,包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能力,实现数据“可用不可见”的安全目标。


五、前景

Q22

市场前景如何?基于怎样判断?

前景大好

数据作为生产要素进入市场,未来将是蓝海,发展前景非常好。以数字政府为例,中国(不含港澳台地区)共有663个城市,随着新基建的建设,绝大部分城市都将需要开展数据安全建设,保守估计,未来将是一个不低于百亿的市场。另外,各大行业如金融、运营商、医疗、教育等在数据安全层面会加大投入,将是一个数倍于政府行业的市场。

了解更多可移步——行家(一个打捞网络安全知识与资讯的行业学习共享平台),这里有更丰富的数据安全专题内容,比如:

数据安全法 个人信息保护 关基


关闭