12月2日��,2024企業(yè)家博鰲論壇分論壇——“創(chuàng)新驅(qū)動價值引領(lǐng) 共促品牌高質(zhì)量發(fā)展”數(shù)實融合發(fā)展論壇在海南博鰲舉行����。論壇上�����,上海觀安信息技術(shù)股份有限公司聯(lián)合創(chuàng)始人���、CTO胡紹勇進行了主旨演講。他表示���,技術(shù)創(chuàng)新催生出全新的產(chǎn)業(yè)形態(tài)和商業(yè)模式��,數(shù)據(jù)在創(chuàng)造巨大價值的同時���,也面臨著嚴峻的數(shù)據(jù)安全風險態(tài)勢。
2024年12月2日���,上海觀安信息技術(shù)股份有限公司聯(lián)合創(chuàng)始人����、CTO胡紹勇在“創(chuàng)新驅(qū)動價值引領(lǐng) 共促品牌高質(zhì)量發(fā)展”數(shù)實融合發(fā)展論壇上作主旨演講
數(shù)據(jù)安全風險不容忽視
胡紹勇認為����,于數(shù)據(jù)經(jīng)濟的發(fā)展歷程中�,眾多新技術(shù)得以引入��,諸如近年來備受矚目的大模型技術(shù)���、超級計算與智能計算中心以及工業(yè)互聯(lián)網(wǎng)等�。然而���,在此進程中���,亦伴隨著數(shù)據(jù)泄露、數(shù)據(jù)篡改等諸多風險�。
“數(shù)據(jù)安全議題與傳統(tǒng)網(wǎng)絡(luò)安全議題存在顯著差異。”胡紹勇分析道���,傳統(tǒng)網(wǎng)絡(luò)安全主要聚焦于漏洞管理���,涵蓋漏洞的發(fā)現(xiàn)與處置等環(huán)節(jié);而數(shù)據(jù)則具備獨特的屬性,例如易于復(fù)制與傳播等��,這些特性使得數(shù)據(jù)安全問題面臨一系列挑戰(zhàn)�。
在胡紹勇看來����,一旦數(shù)據(jù)安全事件爆發(fā)��,其相關(guān)信息或許在半年乃至一年前即已被獲取�,而直至半年到一年后方為人知數(shù)據(jù)已被竊取����。盡管存在諸如水印技術(shù)、數(shù)據(jù)脫敏等多種技術(shù)手段���,但實際應(yīng)用效果并不理想�����。單純采取如網(wǎng)絡(luò)安全中的隔離式防護措施���,并不利于數(shù)據(jù)業(yè)務(wù)的持續(xù)發(fā)展。
觀安強調(diào)安全與業(yè)務(wù)的緊密結(jié)合�,認為相關(guān)技術(shù)需形成有效的管控閉環(huán),實現(xiàn)協(xié)同處置�,并與業(yè)務(wù)緊密融合。在數(shù)據(jù)流動過程中潛藏的風險���,眾多企業(yè)尚不明晰;敏感數(shù)據(jù)的分布情況����,企業(yè)亦難以發(fā)現(xiàn)與盤點;至于數(shù)據(jù)的使用者,更是難以追蹤����。
數(shù)據(jù)對于國家與企業(yè)而言至關(guān)重要,各地區(qū)均有相應(yīng)的法律法規(guī)要求��,各行業(yè)亦有其特定規(guī)范���。“除應(yīng)對傳統(tǒng)的安全威脅事件外�����,還需滿足合規(guī)性要求�����,這也是當前面臨的另一大挑戰(zhàn)����。”胡紹勇表示���。
數(shù)據(jù)安全“五步走”
觀安方面認為����,要想實現(xiàn)數(shù)據(jù)安全,就要實現(xiàn)數(shù)據(jù)的“可知���、可識、可控���、可察���、可見”。
這一目標具體可分為五個維度:首先是“可知”�,這主要指的是對法律法規(guī)要求的全面理解與遵循;其次是“可識”,即明確數(shù)據(jù)的分類與分級���,并精準掌握敏感數(shù)據(jù)資產(chǎn)的分布情況;緊接著是“可控”����,以最小權(quán)限原則分配數(shù)據(jù)的訪問權(quán)限�����,同時要求在使用流程中能夠清晰知曉哪些人員在訪問和使用數(shù)據(jù),并評估這一過程中可能存在的安全風險���,即實現(xiàn)“數(shù)據(jù)風險可察”;最終����,通過上述措施的綜合運用�,達到數(shù)據(jù)管控能力的顯著提升,即“管控提升可見”����。
需明確的是,這一目標的實現(xiàn)并非依賴單一的技術(shù)產(chǎn)品�����,而是需要管理團隊�、管理手段、制度流程�、持續(xù)運營等多方面的綜合支持,同時����,還需貫穿數(shù)據(jù)生命周期的數(shù)據(jù)安全運營團隊與能力的構(gòu)建。
在充分結(jié)合風險分析與了解業(yè)內(nèi)數(shù)據(jù)安全技術(shù)的基礎(chǔ)上����,觀安可構(gòu)建“管理+技術(shù)+運營”三位一體的數(shù)據(jù)安全防護體系��。
“鑒于數(shù)據(jù)泄露事件多發(fā)生在使用環(huán)節(jié)�,尤其是運維人員的操作不當�����,因此��,建立數(shù)據(jù)安全技術(shù)的能力顯得尤為重要�,包括數(shù)據(jù)的分級分類���、加密�、脫敏�、水印等措施。這些措施需從風險識別����、安全保護、監(jiān)測等多個方面入手��,確保覆蓋全生命周期的數(shù)據(jù)運營���。”胡紹勇表示��。
針對數(shù)據(jù)流通這一關(guān)鍵環(huán)節(jié)��,胡紹勇認為��,企業(yè)不僅需關(guān)注內(nèi)部各部門��、系統(tǒng)間的數(shù)據(jù)交換��,更應(yīng)重視與業(yè)務(wù)上下游企業(yè)間的數(shù)據(jù)流通����。在數(shù)據(jù)流通前,需做好數(shù)據(jù)的分類分析����,明確哪些數(shù)據(jù)可以流通,并采取相應(yīng)的安全防護手段����。在流通過程中,需對風險進行實時監(jiān)測�����,并在發(fā)現(xiàn)風險事件后及時進行閉環(huán)處理。觀安將此過程稱為整體的安全運營��。
此外��,在數(shù)據(jù)的分級分類過程中���,盡管在運營商���、金融、能源等行業(yè)已有較為完善的標準�,但在實際操作中仍面臨諸多挑戰(zhàn)。特別是當數(shù)據(jù)量巨大時�����,如結(jié)構(gòu)化數(shù)據(jù)中的表和字段數(shù)量達到數(shù)十億量級���,以及非結(jié)構(gòu)化數(shù)據(jù)的分類分級難度,都需借助AI大模型的判斷能力����,結(jié)合上下文來提高分類分級的準確率。
打造數(shù)據(jù)安全管控平臺
“最終�,通過分類分級�、流轉(zhuǎn)監(jiān)測以及一系列技術(shù)手段的整合�����,觀安為客戶打造了一個數(shù)據(jù)安全管控平臺�。該平臺能夠為數(shù)據(jù)流動方提供定制化的防護方案,提升其數(shù)據(jù)安全能力�,助力企業(yè)更安全、更無憂地推廣數(shù)據(jù)業(yè)務(wù)����,從而充分釋放數(shù)據(jù)要素的價值。”胡紹勇表示���。
觀安對數(shù)據(jù)流轉(zhuǎn)過程的監(jiān)測能力����,能夠精準識別數(shù)據(jù)在流轉(zhuǎn)環(huán)節(jié)中潛在的安全風險���。流轉(zhuǎn)監(jiān)測的首要步驟是構(gòu)建數(shù)據(jù)流轉(zhuǎn)的視圖�����,并對其進行分類分級����,鑒于其交互環(huán)節(jié)繁多,需將各交互環(huán)境有效串聯(lián)�����,以清晰追蹤敏感數(shù)據(jù)所經(jīng)歷的各個環(huán)節(jié)及其流向���。在此過程中�����,AI技術(shù)的應(yīng)用至關(guān)重要����,它能有效識別流轉(zhuǎn)過程中的可疑環(huán)節(jié)�����。部分人員雖具備訪問數(shù)據(jù)的權(quán)限��,但可能懷揣非法意圖�,無論是出于出售數(shù)據(jù)的目的還是其他不良動機,均可通過對其訪問頻率�����、時間以及操作類型的分析���,來判別其是否存在非法獲取數(shù)據(jù)的企圖���。通過流轉(zhuǎn)分析,不僅能實現(xiàn)傳統(tǒng)API安全風險的監(jiān)測�,還能識別業(yè)務(wù)層面的數(shù)據(jù)泄漏風險情況,從而達到在數(shù)據(jù)流轉(zhuǎn)過程中全面防護安全風險的目的�。
數(shù)據(jù)沙箱技術(shù),則是在一個可信的環(huán)境中處理數(shù)據(jù)���,秉持“數(shù)據(jù)不動程序動�����,分享價值不分享數(shù)據(jù)”的核心理念����。企業(yè)在運用隱私計算技術(shù)時��,對業(yè)務(wù)的管控同樣至關(guān)重要。“在業(yè)務(wù)準入階段��,需明確哪些業(yè)務(wù)或數(shù)據(jù)可納入可信計算范疇;在結(jié)果交付環(huán)節(jié)���,務(wù)必確保結(jié)果的加密交付�,并實施日志審計����,以實現(xiàn)計算過程的前、中��、后閉環(huán)管理���,從而進一步降低隱私計算在工程應(yīng)用中的風險�。”胡紹勇表示�����。(鄧華東)