杜跃进
360集团首席安全官大数据协同安全技术国家工程实验室常务副主任,同时兼任国家大数据安全专家委员会委员、北京市信息化专家委员会委员、上海人工智能安全产业专家委员会委员、中国互联网协会委员、保密协会委员、中国保密协会隐私保护专委会副主任、通信协会委员等职位。
叶晓虎
绿盟科技集团首席技术官工学博士,正高级工程师。领导研发冰之眼、黑洞等安全产品,填补业界多项空白;深度参与国家火炬计划,担任北京市下一代网络安全软件与系统工程技术研究中心主任等职务。
赵伟
知道创宇创始人、CEO中国反病毒联盟资深专家、安全联盟创始人、中国信息安全标准委员会委员、院士工作站特聘专家、工业与信息化软件集成促进中心云计算研究专家、首都互联网协会第四届理事会理事,广东省信息安全技术院士工作站首批特聘研究员,美国McAfee实验室研究科学家,腾讯反诈骗实验室智库特聘专家。(排名不分先后)
数据作为新的生产要素正在成为驱动经济发展的新引擎。在数据驱动的过程中,数据安全问题也日益凸显。不论是此前已被验证的数据库安全市场,还是在近期得到广泛关注的个人隐私保护趋势,都意味着数据安全的需求正在多维展开。《数字经济》杂志带着一些关于数据安全的问题,采访了360集团首席安全官杜跃进、绿盟科技集团首席技术官叶晓虎、知道创宇创始人/CEO赵伟。
《数字经济》杂志:结合国内目前的市场环境,您认为中国企业在数据安全保护方面面临哪些问题?
杜跃进:合规方面的挑战——随着欧盟GDPR、《中华人民共和国数据安全法(草案)》等相关数据安全保护条列的制定,企业在数据安全方面最基础的问题就是数据合规问题,其中不仅包含了数据确权、知情同意等问题,还包含了数据跨境传输、海外数据就地管理和由此引发的问题。在当下日益复杂的国际环境下,数据安全已经不仅仅是纯技术的问题,还有可能成为不同地方竞争的手段。如果数据安全保护不到位,很有可能因为这条线对整个公司或组织带来严重的影响。因此企业的数据安全建设一定要符合国内外数据安全相关法律法规标准要求。
数据流通、共享和交易方面的挑战——数据流动的价值和风险越来越凸显,因此这方面的问题已经成为进一步推进数据治理,护航数字经济亟需解决的问题。数据做为新的生产资料只有流动起来才能产生价值,但是无论是个人还是社会和国家,都意识到数据安全的重要性,也通过立法来保护本土的重要数据。企业应如何有效甄别数据敏感程度,如何对不同敏感数据实施差异保护,如何在符合国内法法律规定、隐私合规、不损害个人、公司、国家利益的情况下进行數据流通、共享和交易。
未来的大数据业务环境将更加开放,业务生态将更加复杂,参与数据处理的角色将更加多元,而系统、业务、组织的边界也将进一步模糊化,数据的产生、流动、处理等过程都会不同以往。如何在数据全生命周期内,尤其是流通、共享和交易的动态过程中防窃取、防滥用、防误用。
防网络攻击窃取的挑战——各企业具有大量客户,各类型数据渐渐得到灰色产业链的觊觎;安全事件造成的损失以及数据和信息系统恢复的成本激增;缺乏安全技术人员以及安全管理制度;面对外部的安全威胁,企业某些信息化发展的裹足不前;对信息共享、互联网化、云服务和AI等高新技术的追求延伸出新的数据安全风险;来自内部的人为失误或蓄意破坏和信息窃取;僵尸木马蠕虫等问题严峻,勒索病毒威胁严重,如何在不降低工作效率的前提下控制访问权限,如何保证数据访问和操作具备可审计性。
赵伟:我认为主要有以下两方面问题。第一,大部分企业没有足够重视数据安全问题。对数据安全来说,比外部威胁更致命的是内部的监管不力。内部员工因为疏忽意外导致的数据泄露、员工的坚守自盗、员工受贿出卖数据以及过于宽松的数据访问政策,都是当前企业数据泄露的首要原因。第二,网络攻击的手段越发的高级且影响巨大。就从近段时间的全球网络安全态势来看,以SolarWinds为代表的供应链攻击事件愈发的严重。据调查显示,大企业和中小型企业涉及第三方供应商(服务和产品)的数据泄露事件发生率分别为43%和38%,这是非常高的比例。供应链攻击意味着攻击者仅需对一个供应商进行攻击,将会让成千上万的企业同时受到攻击的风险。然而,除了供应链攻击外,当下网络钓鱼、鱼叉攻击、ATP攻击、勒索软件等攻击手段也是层出不穷,在如此高危的网络安全形势下,企业只要稍有不慎便会成为攻击者的目标。
叶晓虎:首先,企业和机构在数据安全防护体系建设上需要经过合规驱动到风险管控的历程,并且需要考虑加快这一进程,在技术防护体系落地以后通过运营不断完善和改进。
其次,从安全本质来看,数据安全防护应回归到对抗的本质。企业和机构需要将数据安全防护的重心从外部攻击者防护转向对外防护对内审计。从2020年内发生的数据安全相关事件来看,有几类典型事件需要我们关注,一是某医院内部人员泄露就诊人员信息,引起疫情相关谣传;二是某银行泄露个人账户交易信息;三是某离职员工为泄私愤删除公司核心数据。这几类事件都不是传统意义上的外部攻击事件,都是内部人员滥用、误用造成的数据泄露事件。
最后,数据安全防护体系其实是个双循环的体系,应采用同步规划、同步建设、同步使用的“三同步”原则做好数据安全的防护。不仅要建设安全防护与保障体系,也要加强数据与业务系统安全属性。
《数字经济》杂志:企业在数据应用过程中,该如何保护数据安全?个人又该怎样保护自身隐私?
赵伟:对企业来说,保护数据安全是一个体系化的工作,并非是用几个安全产品就能将问题解决。网络空间随时都在动态变化,那么数据安全保护的方案也应是动态化的。但是整体的思路可以说是万变不离其宗,如确保数据访问安全、身份认证、数据分离、数据加密、数据部署的安全、内部网络安全、完善的备份体系等。这些思路,对所有企业都适用,只是落地到具体操作上,会有针对性的加强。
对个人而言自身的隐私保护也有很多工作要做。第一步,我认为也是最重要的一步,就是明确个人隐私的重要性。你可能会说,现如今谁还不重视个人的隐私呢?但事情恰恰相反,大部分的普通人对个人的隐私还停留在很浅的认识上,这样就导致有时候隐私已经泄露了却还不自知。其次,在遇到需要填写个人姓名、电话、身份证以及录入人脸或指纹等生物信息时,要再三确认第三方的合法性和安全性。当然,这一点更需要我们的监管部门加以督促,让拥有大量用户隐私的公司谨言慎行。
杜跃进:企业根据相关法律法规、标准规范要求,采用相应的技术手段和产品保护安全。以《数据安全法(草案)》规定的数据分类分级为基础,强化内部数据保护宣传,加强特权账号管理、核心操作审计。在高权限用户的关键数据操作环节增加复核审批操作,以防人为误操作,提升内部用户行为分析、回溯能力。从流量、终端、应用各方面建立数据安全能力机制,并通过实网攻防演练以及安全应急响应,及时改进公司中存在的风险并在一旦发生安全事件后,及时响应,做出最合适的反应措施,从而把损失降低到最小,而不会手足无措。
个人按照《个人信息保护法(草案)》和GB/T 35273-2020《个人信息》的相关内容做好个人隐私保护。个人需要尽可能少地披露非必要信息,对个人敏感信息更应该多加保护。个人在下载、安装手机应用时,要仔细阅读用户协议,了解自己拥有那些隐私权力。对自己的财产、健康生命、生物识别、身份等重要信息妥善保管。当然,当个人信息受到严重侵害时也要拿起法律武器维护权力。
叶晓虎:企业在数据应用过程中的数据安全,需要有一个重度的转变——要重点关注的是内部风险,除敏感数据的泄漏,还要保护数据不被篡改、不被误用。在数据应用过程中保护数据安全首要应建立针对数据全生命周期的流转监控能力,要能够识别访问数据的人员异常行为和异常流转趋势,还要建立数据质量监控的手段。
对于个人隐私的保护,从个人角度来讲,是一个安全意识、维权意识以及维权手段等多方面综合素质能力的体现。举例来说,个人面对隐私信息被采集时,要有充分的安全意识,明确个人信息采集方的采集目的、用途、传播范围、留存时限等基本承诺,还应深入关注个人信息采集方有哪些相应的数据保护措施。并且在个人信息采集方无法公开或承诺相应的安全职责时,应能够有效应用合法合理的手段进行个人隐私保护,以及诉诸法律途径以寻求解决。
《数字经济》杂志:一个科学合理的数据安全建设体系应该是怎样的?在这方面,贵企业是如何深耕布局的?
叶晓虎:我们认为未来数据安全体系应该是一个双循环体系,第一个循环围绕着系统建设和改进时期的幾个环节,主要是基于安全风险对抗模型和数据分类分级制定安全防护策略、制定系统开发的安全规范与标准,基于数据安全测试用例进行黑白盒测试、上线前检查等。第二个循环是建立IPDR安全保障体系,围绕着数据使用,对数据资产变更、数据流转和使用,识别异常行为和高风险事件并进行研判及处置。我们认为未来数据安全保障不能仅仅依赖于技术体系,还需要依赖于安全运营能力和系统的安全设计与实现能力。
2020年我们在布局上重点考虑两方面内容,一方面是技术体系,将现有的产品能力与安全管理平台深度整合,适配各类环境,满足合规、访问与权限控制、分级分类管控、流转监控等场景与需求。另外一方面是服务体系布局,一是通过将安全开发服务、数据安全评估与分类分级服务标准化,满足市场需求。二是通过安全运营与技术体系适配,确保技术体系发挥价值,帮助客户实现数据安全事件闭环处置。
杜跃进:从政府视角,应该构建一个正向驱动的数据安全治理体系。当数据成为生产要素,流通、共享和协同成为数据的重要特征时,需要根据其自身属性进行分类分级时,对提供及获取数据的企业或组织进行分级管理就变得十分关键。政府建立多部门数据共享流通促进大数据利用的机制时,可以通过组织的数据安全能力成熟度级别决定允许数据流动的方向,从而实现总体数据安全风险可控。在数据共享、转移、交易等过程中,法律可以规定数据拥有者有义务要求数据接受者提供自己足够的数据安全能力成熟度水平,从而避免数据在流动过程中进入安全更差的组织,从而减少数据流动导致的安全失控。
基于数据安全能力成熟度模型(DSMM),从组织建设、制度流程、人员能力和技术工具四个方面对企业或组织进行数据安全能力成熟度等级划分,从而在数据和数据处理者之间建立正相关关系,来整体推进业界的数据安全能力。在数据变成生产要素的当今时代,一个组织拥有更高的数据安全能力成熟度等级,无疑将拥有获得更多数据的机会,这使得做好数据安全不再是成本,而是成为组织发展的机会。
360参与大数据安全国家工程实验室和贵州大数据安全工程研究中心的相关工作,依托这些多方共建的权威机构,开展DSMM培训、测评、认证业务,建立DSMM产业生态,与合作伙伴共同推进基于DSMM的数据安全治理体系建设。开展数据安全咨询服务业务。开发数据安全相关产品。把不同阶段从不同角度面临的风险放到一起进行综合考虑,建立强调整体而不是某个环节安全能力。为客户提供的是管理和产品相结合的一整套的数据安全服务。
赵伟:科学合理的数据安全建设体系,需要解决三大痛点问题:数据访问风险、数据流动风险以及数据运维风险。具体来说,数据访问的风险有:缺乏统一账号管理、缺失身份认证管理、数据授权能力弱;数据流动的风险有:缺乏审计溯源能力和数据保护能力弱;数据运维风险有:数据管理成本大、运维行为缺乏监督、高危操作缺乏管控。
知道创宇作为国内首批从事云防御的网络安全企业之一,十年前就已经确立了大数据安全防御的概念。立足网络空间测绘和云防御SaaS服务,为客户在线业务系统和网络边界提供AI高级防御。
十年来,知道创宇一直致力于对安全大数据的实践应用研究,成立之初,我们就持续聚焦以大数据、人工智能为核心,来解决网络安全问题。
《数字经济》杂志:工程交付是目前被业界普遍忽略的痛点问题,贵公司在这方面是如何布局的?
叶晓虎:目前绿盟科技在布局上主要包含以下几方面:
一是加强校企合作,通过实践课程联合开发、实习基地、培训认证、组织安全赛事等方式缩短安全工程人才从理论到实践的培养周期。
二是为合作伙伴赋能,通过建设培训体系与认证体系,扩大工程交付的覆盖能力。
三是通过工程服务标准化和工具开发,降低工程人员的要求,提升交付质量。
赵伟:交付涉及到的数据往往十分庞大且流程繁杂,中间容易暴露出安全问题。供应商在进行工程交付的过程中,必然会深入业主的业务流程,同时开发交付过程中,也必然会接触测试数据。软件交付项目通常会涉及到使用开源软件,而开源软件需要不断升级维护,客户由于资源所限,通常无法完全跟踪所有使用的开源软件,交付后的维护工作存在大量隐患。此外,如果交付项目是一个集成项目,那么还会涉及多个供应商,更增加了相关的数据安全风险。
因此,交付项目需要在方案设计阶段就从多方面考虑安全问题。第一,接入客户的认证系统。当前企业软件有数种身份认证体系,例如微软安全御、LDAP、OpenID等,交付项目应该根据实际情况接入客户原先的认证系统,避免本地认证,尤其是管理员账号的本地认证。同时,如果必要,还要加上多因子认证,确保项目交付之后不遗留用户身份认证后门。第二,遵循安全开发流程SDL,同时根据业务实际情况,构造测试数据而不是直接使用真实数据进行测试。第三对使用的开源软件做好配置管理,并实时跟踪相关软件的漏洞与补丁信息,做好安全性漏洞应急预案。第四,做好安全风险计划。针对项目的每个环节梳理安全风险并制定应对方案,确保安全事件发生时,能够及时控制影响。第五,建立零信任网络,确保每次数据访问都是经过合理授权的。第六,关注开源安全情报,除了之前提到的开源软件漏洞之外,还需订阅关于自身数据安全事件的情报,并及时处置。最后,选择有安全集成资质的集成商。
《数字经济》杂志:数字经济时代,数据已成为与劳动、资本、土地、知识、技术、管理等并列的生产要素,如何进行数据安全创新?
杜跃进:首先,要意识到数据安全是个全新的问题,不能照搬之前的经验。IT时代的安全主要是从信息系统和网络的角度关注的,数字经济时代关注的是DT(数据技术)和数字化之后的OT(业务技术)的安全。数据的存在形态、流动方式和频率、使用和交换方式、不同利益相关方关注的问题等等,都和过去完全不同。同时数字经济时代还在快速发展变化中,新技术新业务会不断出现,新的威胁手段也会层出不穷。数据安全可以参考但是完全不能依赖原来的经验。
第二,要调动产业界积极性,从产业中来到产业中去。数字经济在很多方面还处在探索期,产业界对数据是如何使用的、数据安全究竟遇到哪些痛点其实是最了解的。只有充分调动产业界的积极性,才能制定出更加切合实际的法律政策或标准技术:只有从产业中来到产业中去,才能不断调整和优化数据安全的最终效果。
第三,要鼓励开放创新平台,发动社会智慧。鼓励通过国家工程实验室或其他形式的开放创新平台,实现专家、问题、场景和资源等的汇聚,并调动广大社会力量一起参与数据安全创新。不同行业和领域的数据安全问题有很大差异性,要鼓励更多行业和领域参与到创新中。
第四,要加强国内外和跨行业交流,不断总结迭代。数据安全问题服务于数字经济的发展,非常复杂,涉及战略政策、法律标准、技术产品、学术教育等多个方面。之前不同的领域相互之间交互比较少,互相并不理解,未来需要加大跨行业的交流,并且加强国内外的交流,才能实现整体上更加科学合理的数据安全创新。
叶晓虎:我们认为数据安全创新有几个核心要素,一是数据安全顶层设计中对数据安全内涵与外延的定义。二是数据安全攻防与对抗,数据安全对抗主体包括攻击者、内部违规违法人员、情报人员,整个数据安全体系建设和技术创新需要围绕对抗主体和场景。三是技术革新,类似于同态加密、联邦计算等数据可用不可见技术的革新和演进,对数据安全体系带来颠覆式的影响。四是场景和环境,技术体系与运维体系实施需要适配数据所处的环境。
赵伟:数据作为生产要素的重要作用日益凸显,以数字经济为代表的新经济成为经济增长新引擎。数据要素作为数字经济最核心的资源,具有可共享、可复制、可无限供给等特点,这些特点打破土地、资本等传统生产要素有限供给对经济增长推动作用的制约。与土地、资本等传统生产要素相比,数据要素对推动经济增长具有倍增效应。
正如联合国发布的数据创新议题所说:数据革命,包括开放的数据移动、众包的兴起、新数据收集信息通信技术的涌现、大数据可用性的爆炸式提高以及人工智能和物联网的出现,正在改变社会。计算和数据科学的进步,使得实时处理和分析大数据变成了现实。
据调查显示,国外数据安全保护的产品中,有一大类是针对用户个人隐私访问控制和合规处理的,而这类产品在国内却寥寥无几。这和国内外的立法进度差异息息相关。数据安全同样会随着数据基础设施和数据安全法规逐步演进,参考国外我们现在有大量的创新机会。
《数字经济》杂志:请您谈一谈对目前数据安全行业的看法。有人认为协同联动是未来安全的方向,您认为这个行业的未来趋势是什么?
赵伟:安全是基础技术,它在保护整个社会,尤其是未来的赛博空间社会,它需要的是真正的核心技术,比拼的就是核心技术的投入。现目前,数据安全行业也在不断涌现新的技术,例如同态加密、数据溯源、数据匿名化、数据访问管理、量子加密、主动数据防御、数据托管、区块链数据管理等。
人工智能、区块链、加密技术是企业数据安全的未来。人工智能、区块链和加密技术可能导致在企业网络上发现、存储、共享和伪装敏感数据方面的安全进度,可以预见的是,采用这些技术并着眼于数据安全的企业,将在这场游戏中处于领先地位。
展望未来,全球企业对于数据安全保护的需求将持续攀升,越来越多的新兴技术将催生新兴安全市场,进一步驱动数据安全与网络安全行业重构,赋能安全行业新价值,为个人隐私保护和数据信息安全保驾护航。
杜跃进:数据安全行业目前还处于快速发展阶段,有大量场景下的大量问题还有待解决。因此国内外大家都很看好这个行业,但同时这个行业都还处于发展的早期,机会和挑战都很大。
协同联动并不是数据安全专门的方向,而是整个大安全的根本方向。这是因为,安全的本质是人和人的对抗,隨着攻击者越来越有组织有计划有目标、攻击者拥有的资源等战略优势日益突出、数字经济时代的业务和数据交融复杂度急剧上升等,防守方再也无法用原来的方法靠单打独斗来应对安全威胁了。协同联动是唯一的出路。
但是,实现高效的协同联动,需要克服很多困难。
一方面是数据安全问题。和所有其他的业务一样,安全也需要数据驱动。协同联动需要用到别人的数据,但是大家又担心这个过程中自己的数据被泄露,这就是典型的大数据滥用和误用问题。
另一方面是机制和利益的问题。现实中大家分工不同、利益不同,通过协同联动的方式来应对安全威胁,不可回避的问题是最后的价值如何计算和平衡的问题。
然而客户会越来越明白,那些不能真正实现协同联动的方案,最终是不能满足客户的安全需求的。安全行业最终还是会从产品导向转向能力导向,从合规评估转向最终对抗效果的评估。
叶晓虎:协同联动是未来的方向之一,用大数据技术来支撑数据安全能力。这里的大数据既是海量的也是多源的——网络设备、安全设备、主机、服务等等这些对象产生的数据拉通联动,通过大数据的建模分析来做安全风险的挖掘,感知于未然,便是协同联动的精髓之一。除此之外,数据安全会是多领域安全的融会贯通和深化升华,也可以认为未来数据安全应该是生态化的。其实现在我们就已经看到这样一个事实,不再有任何一种产品能够解决各种场景下的数据安全问题,也很难有一家安全企业能够生产出解决所有场景下数据安全问题的产品。
责任编辑:金烨