先聽故事:
2019年4月27日,法學(xué)博士郭兵購(gòu)買了一張杭州野生動(dòng)物世界年卡,費(fèi)用是1360元,需驗(yàn)證年卡及指紋入園,可在該年度不限次數(shù)暢游,后來(lái)杭州野生動(dòng)物世界又要求通過(guò)人臉識(shí)別入園。由于郭兵對(duì)人臉識(shí)別無(wú)法接受,因此提起訴訟,最后法院判決杭州野生動(dòng)物世界刪除郭兵辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息。這個(gè)故事來(lái)自安恒信息首席科學(xué)家劉博分享自錢江晚報(bào)等多家媒體公開報(bào)道的“杭州野生動(dòng)物世界一案”。
百萬(wàn)富翁問(wèn)題由姚期智提出,兩個(gè)百萬(wàn)富翁Alice和Bob想知道他們兩個(gè)誰(shuí)更富有,但他們都不想讓對(duì)方知道有關(guān)自己財(cái)富的任何信息,這就是百萬(wàn)富翁問(wèn)題。他們需要一套“可用不可見(jiàn)”的數(shù)據(jù)流通解決方案。
隨著5G、大數(shù)據(jù)、云計(jì)算的蓬勃發(fā)展,數(shù)據(jù)安全的重要性逐漸被政府、企業(yè)、機(jī)構(gòu)所認(rèn)識(shí)。近年來(lái),政府、企業(yè)加速數(shù)字化轉(zhuǎn)型,越來(lái)越多的企業(yè)選擇居家遠(yuǎn)程辦公,越來(lái)越多地使用基于云上的技術(shù)。數(shù)字化進(jìn)程加速,企業(yè)面臨更加復(fù)雜多樣的網(wǎng)絡(luò)安全、數(shù)據(jù)安全風(fēng)險(xiǎn)。但網(wǎng)絡(luò)安全、數(shù)據(jù)安全建設(shè)落后于企業(yè)技術(shù)轉(zhuǎn)型,也伴隨沉重代價(jià)。企業(yè)因疏漏或行動(dòng)緊迫性而未將網(wǎng)絡(luò)安全、數(shù)字安全納入決策流程,導(dǎo)致新漏洞進(jìn)入快速變化的環(huán)境,并持續(xù)威脅當(dāng)下企業(yè)。
數(shù)據(jù)安全威脅現(xiàn)狀舉例
我們把時(shí)間聚焦在2021年的當(dāng)下,看看數(shù)據(jù)安全事件是多么常規(guī)的操作:3月,中國(guó)臺(tái)灣宏碁遭遇勒索軟件攻擊,涉及財(cái)務(wù)電子表格、銀行結(jié)余、往來(lái)信息等數(shù)據(jù)全被加密;4月,5.33億Facebook用戶的個(gè)人數(shù)據(jù)在1個(gè)黑客論壇上被泄露;5月,美國(guó)油管公司遭遇勒索病毒攻擊,核心數(shù)據(jù)被加密,迫使其一度關(guān)閉整個(gè)能源供應(yīng)網(wǎng)絡(luò),極大影響了美國(guó)東海岸燃油等能源供應(yīng),美國(guó)政府宣布進(jìn)入國(guó)家緊急狀態(tài)10月;數(shù)據(jù)安全事件每天發(fā)生,但在黑客攻擊的“大炮射程之內(nèi)”,如果連“堅(jiān)固的防線”都沒(méi)有,企業(yè)業(yè)務(wù)穩(wěn)定運(yùn)行就無(wú)從談起。在業(yè)務(wù)復(fù)雜度和數(shù)據(jù)安全隱患雙線并行的組織運(yùn)營(yíng)過(guò)程中,開展數(shù)據(jù)安全工作變得越來(lái)越有法可依、有技可施、有力可借,我們從政策環(huán)境、企業(yè)自身情況、數(shù)據(jù)安全建設(shè)通用理論、成熟產(chǎn)品實(shí)踐幾方面展開討論。立法時(shí)代:從“互聯(lián)網(wǎng)大蠻荒時(shí)代”走向“大合規(guī)時(shí)代”2021年,《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》適時(shí)而出,令信息安全從“互聯(lián)網(wǎng)大蠻荒時(shí)代”、“網(wǎng)安法時(shí)代”走向“大合規(guī)時(shí)代”。咨詢機(jī)構(gòu)安永認(rèn)為,“互聯(lián)網(wǎng)大蠻荒時(shí)代”缺乏個(gè)人信息保護(hù)機(jī)制,個(gè)人信息保護(hù)工作基本等同于寫一份隱私協(xié)議;而“網(wǎng)安法時(shí)代”為打補(bǔ)丁式合規(guī);而“大合規(guī)時(shí)代”是將個(gè)人信息保護(hù)與數(shù)據(jù)安全融入企業(yè)文化、業(yè)務(wù),視數(shù)據(jù)合規(guī)為企業(yè)競(jìng)爭(zhēng)力,全面進(jìn)行自上而下的治理。信息安全立法和執(zhí)法趨勢(shì)的加速同時(shí)也給組織帶來(lái)了諸多挑戰(zhàn)。在安恒信息首席科學(xué)家劉博看來(lái),兩部法律的出臺(tái)更是機(jī)會(huì):“正是有了這些法律,才給政府、企業(yè)劃清了法律邊界,即哪些數(shù)據(jù)是可以對(duì)外開放,可以共享、使用的。比如大數(shù)據(jù)交易中心,沒(méi)有這兩部法律的支持,其業(yè)務(wù)很難開展。”大小企業(yè)數(shù)據(jù)安全建設(shè)的差異化表現(xiàn)在數(shù)據(jù)安全領(lǐng)域,有些公司依靠公司內(nèi)部的數(shù)據(jù)安全團(tuán)隊(duì),有些公司依靠專業(yè)的數(shù)據(jù)安全公司。對(duì)此,劉博舉例稱:“一位朋友之前在某頭部互聯(lián)網(wǎng)公司做數(shù)據(jù)安全、網(wǎng)絡(luò)安全,推行各個(gè)項(xiàng)目都比較順,但來(lái)到另一家規(guī)模較小的企業(yè)后,開展數(shù)據(jù)安全建設(shè)就會(huì)受制于公司業(yè)務(wù)方向,安全會(huì)給業(yè)務(wù)讓路,推行起各項(xiàng)改革就比較吃力。因此建議一些大型企業(yè)、管理組織架構(gòu)比較完善的企業(yè),可以選擇與專業(yè)的數(shù)據(jù)安全公司合作,共同建設(shè)數(shù)據(jù)安全能力;而對(duì)于一些中小公司,以及在數(shù)據(jù)安全組織不完善的大型公司,可以依靠像安恒信息這樣專業(yè)的第三方公司,以提升自身的數(shù)據(jù)安全防護(hù)水平。”數(shù)據(jù)安全治理體系的建設(shè),就是要形成以數(shù)據(jù)全生命周期為核心,實(shí)現(xiàn)數(shù)據(jù)安全的全方位治理。包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀。這六個(gè)環(huán)節(jié)中,哪些環(huán)節(jié)較為重要呢?劉博表示:“針對(duì)數(shù)據(jù)全生命周期防護(hù),很難講哪個(gè)環(huán)節(jié)最重要,首先要區(qū)分?jǐn)?shù)據(jù)是企業(yè)、單位自用,還是供外部使用。以數(shù)據(jù)交換為例,大數(shù)據(jù)局跟各個(gè)政府單位之間進(jìn)行數(shù)據(jù)共享方面,更多考慮的是數(shù)據(jù)全生命周期安全防護(hù)。而當(dāng)大數(shù)據(jù)局把數(shù)據(jù)開放給企業(yè),則在數(shù)據(jù)安全防護(hù)的基礎(chǔ)上,需要進(jìn)一步增強(qiáng)隱私保護(hù),謹(jǐn)防企業(yè)獲取隱私、敏感數(shù)據(jù)。”對(duì)于政企的數(shù)據(jù)全生命周期安全能力建設(shè),劉博表示:傳統(tǒng)“煙囪式、圍欄式”安全防護(hù)方式已經(jīng)無(wú)法適應(yīng)新時(shí)代數(shù)據(jù)安全需要,面臨安全的新態(tài)勢(shì)、新要求。“一定要體系化、平臺(tái)化、智能化”,通過(guò)智能化管理平臺(tái),在技術(shù)層面實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)核查(Check)能力、數(shù)據(jù)梳理(Assort)能力、數(shù)據(jù)保護(hù)(Protect)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警(Examine)能力4大核心能力的建設(shè),在業(yè)務(wù)層面,實(shí)現(xiàn)對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期的管理。建議企業(yè)著眼于數(shù)據(jù)管理的整個(gè)生命周期,將關(guān)注點(diǎn)從數(shù)據(jù)安全本身擴(kuò)展到企業(yè)整體信息安全框架。數(shù)據(jù)安全島開辟隱私保護(hù)新局面劉博強(qiáng)調(diào)了數(shù)據(jù)安全中的隱私保護(hù),誠(chéng)如文章開頭我們提到的兩個(gè)發(fā)生在身邊和天邊的故事,這方面需求有翔實(shí)的數(shù)據(jù)支撐:據(jù)Gartner數(shù)據(jù),到2023年,隱私驅(qū)動(dòng)的數(shù)據(jù)保護(hù)和合規(guī)技術(shù)支出將在全球突破150億美元以上,即達(dá)到千億人民幣以上。伴隨著數(shù)據(jù)要素市場(chǎng)改革加速,隱私計(jì)算技術(shù)成為數(shù)據(jù)價(jià)值安全釋放的關(guān)鍵突破口,有望在金融、政務(wù)、醫(yī)療等行業(yè)實(shí)現(xiàn)快速應(yīng)用,其千億藍(lán)海市場(chǎng)有望開啟。安恒信息引入“數(shù)據(jù)安全島”,幫助客戶激活數(shù)據(jù)價(jià)值,實(shí)現(xiàn)原始數(shù)據(jù)不出本地,交換計(jì)算結(jié)果,從而讓流動(dòng)的數(shù)據(jù)成為驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的新動(dòng)能。“數(shù)據(jù)安全島”提供安全計(jì)算沙箱、安全多方計(jì)算、區(qū)塊鏈、聯(lián)邦學(xué)習(xí)等技術(shù),解決數(shù)據(jù)共享過(guò)程中的安全、信任和隱私保護(hù)難題。安恒信息數(shù)據(jù)安全島產(chǎn)品總監(jiān)講述了“數(shù)據(jù)安全島”的具體應(yīng)用:“某市教育局需要使用公安局提供的戶籍、學(xué)區(qū)等個(gè)人資料,尤其是流動(dòng)人口的資料,用于判定學(xué)生是否具備入學(xué)資格。該項(xiàng)目由大數(shù)據(jù)局協(xié)同,數(shù)據(jù)安全島提供模型算法和分析,涵蓋約600w人口數(shù)據(jù),瞬時(shí)并發(fā)量達(dá)到6w/s。”開源證券認(rèn)為,考慮到近期數(shù)據(jù)安全領(lǐng)域政策密集發(fā)布,相關(guān)需求有望快速增長(zhǎng),“數(shù)據(jù)安全島”產(chǎn)品的未來(lái)表現(xiàn)值得期待。我國(guó)“十四五”規(guī)劃、“新基建”等政策將持續(xù)深入推進(jìn)數(shù)據(jù)要素安全管控和市場(chǎng)化,提升社會(huì)數(shù)據(jù)資源價(jià)值,相信隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律的出臺(tái)、落地實(shí)施,數(shù)據(jù)資源將會(huì)迸發(fā)出更強(qiáng)的活力。數(shù)據(jù)安全在未來(lái)仍將是一個(gè)重大挑戰(zhàn),人工智能、機(jī)器學(xué)習(xí)和零信任等技術(shù)的創(chuàng)造性應(yīng)用將幫助政企保護(hù)數(shù)據(jù),以及確保組織和個(gè)人數(shù)據(jù)合規(guī),助力國(guó)家數(shù)據(jù)安全戰(zhàn)略落地實(shí)施。作為專業(yè)的數(shù)據(jù)安全產(chǎn)品、服務(wù)與解決方案提供商,安恒信息時(shí)刻準(zhǔn)備著去擁抱數(shù)字經(jīng)濟(jì)時(shí)代,去迎接即將到來(lái)的數(shù)據(jù)安全千億藍(lán)海市場(chǎng)。
彩蛋時(shí)刻
安恒信息聯(lián)合每日經(jīng)濟(jì)新聞,采用國(guó)家互聯(lián)網(wǎng)應(yīng)急中心權(quán)威數(shù)據(jù),結(jié)合最新的安全形勢(shì),收集剖析國(guó)內(nèi)外網(wǎng)絡(luò)安全信息數(shù)據(jù),每月發(fā)布網(wǎng)絡(luò)信息安全月報(bào)。這是業(yè)內(nèi)第一份涵蓋所有A股上市公司的網(wǎng)絡(luò)信息安全報(bào)告,旨在借助專業(yè)解析,讓企業(yè)、民眾進(jìn)一步認(rèn)識(shí)網(wǎng)絡(luò)攻擊行為,更好地保護(hù)自身隱私和數(shù)據(jù)資產(chǎn)。
網(wǎng)絡(luò)信息安全月報(bào)主要包括行業(yè)重點(diǎn)資訊、行業(yè)安全數(shù)據(jù)概覽以及上市公司安全動(dòng)態(tài)。重點(diǎn)關(guān)注勒索病毒等對(duì)企業(yè)、個(gè)人的安全威脅,并提供應(yīng)對(duì)之法。
掃碼檢測(cè)企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)系數(shù)
AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢(shì)感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場(chǎng)
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運(yùn)營(yíng)管理服務(wù)
