从数据保护到数据流动,如今谈数据安全治理我们在谈些什么?

数据安全的重要性正在不断突显。

伴随数字化进程的发展,全球各地数据泄露和数据滥用事件频发,各国对数据安全的重视程度不断提升。在中国,类似的情况也时有发生——不论是此前已被验证的数据库安全市场,还是在近期得到广泛关注的个人隐私保护趋势,都意味着数据安全的需求正在多维展开。当然,需求的旺盛增长也促进了数据安全逐步被纳入合规市场,针对数据的安全建设也在另一更高维度促使企业方不断关注。

在近期举办的第四届中国数据安全治理高峰论坛上,关于数据安全治理的话题也吸引了不少产业人士各抒己见。

尤其,在会中的圆桌环节,公安部信息安全等级保护评估中心技术部主任任卫红、中国建设银行金融科技部信息安全管理处处长陈德锋、北京安华金和科技有限公司创始人&CEO刘晓韬、中国信息协会信息安全专业委员会主任叶红、中关村网信联盟EMCG工作组组长王克五位嘉宾,及主持人数世咨询创始人兼总经理李少鹏,就“数据安全治理实践落地的挑战”这一主题展开讨论。

从数位嘉宾的发言来看,数据安全治理的概念已经从较为传统的数据安全产品,延展到对数据分级分类治理的理念和手段,再覆盖到对保护个人隐私数据的探索中。这在政策、产业两方面均有体现。

首先在政策层面,随着2016年《网络安全法》的发布,如今《数据安全法(草案)》、《个人信息保护法(草案)》的进展也广受关注。另外在产品、技术上,围绕数据库安全的产品在不少客户内已几乎成为刚需,如今它们已经在探索多方安全计算、联邦学习等隐私计算类技术,希望在新型数据安全的技术基础上,帮助达成数据合规流通的需求。这些关于数据的动态变化也意味着,数据安全治理的内涵也在随着需求的变化而不断迭代。

36氪节选了圆桌部分内容,以下是对话部分,供读者参考:

李少鹏:当2016年我们谈数据安全治理的时候,业内很少有人提这个概念。时过四届,现在所有谈论数据安全的人都在讲数据安全治理,这也是「安华金和」帮助更好地推广了这个概念。五年过去了,数据安全治理到底现在的发展形势和落地情况是什么样的,请各位嘉宾各抒己见。

任卫红:数据安全治理方面有很多变化,我个人认为有比较重要的三个方面。

一个是我们现在所处的法律环境越来越好,2016年是《网络安全法》发布的那一年,对等保工作产生实质性的推动。《网络安全法》之后,等保、关保两项制度迟迟没有推出,但是现在有了实质性的进展,关保能够在今年颁布出来。现在又有数安法、个保法将要出来,对现在的数据治理会起到非常大的促进作用。

第二方面,数据的聚集量、应用和复杂度都在这几年得到了飞跃性的发展。复杂的应用会带给我们很多的便利,但这种应用其实也带来非常大的隐忧和风险,数据安全的形势也是不容乐观的。

第三方面,在这样的环境里,数据安全技术也在同步发展。据我了解,安标委大数据组起草了一系列大数据安全的相关标准以及数据安全的相关标准。这说明过去我们理想化对数据保护的做法,现在已经到了可以落地、可以使用的程度,也给我们数据保护提供了更多的一些手段。

但其实我感觉还是存在一些问题,比如对数据保护的评估,我们看到的一些测试和评价,都是集中在对数据治理、数据安全管理、数据安全能力的成熟度。比如有软件的成熟度模型,有工程的成熟度模型,有安全工程的成熟度模型,这些模型的使用大多数都用在服务企业,是自己服务能力的一种证明。但是很多数据处理者其实有自己行业业务的应用,在这些方面,仅仅靠数据成熟度评价的推动还是不够。

李少鹏:谈到技术,开始谈落地,没有人比用户讲更加靠谱。陈处,有请您讲一讲数据安全治理的落地。

陈德锋:借这个话题,我正好是代表金融行业,跟大家汇报一下我们在数据治理方面的一些工作。刚才任主任介绍法律法规方面,我补充一下,在人民银行带领下,金融行业出现了一系列数据安全相关的规范和标准,指导企业合法合规的使用数据,对数据治理提供一些指导。

对企业来说,从这几年来看,我们对数据安全也更加重视了,从早期简单做一些数据安全的保护,比如传统数据防泄露、数据加解密、数据库审计,这些基本的肯定都会有。根据现在最新数据治理方面的发展,大家更侧重于数据的治理,比如现在数据的分级分类,其实是个挺难做的事,因为数据太多了,但是我们可以按照这个标准推进分级分类。再一个,原来我们讲整体的网络安全,现在更侧重安全是为了保护数据,因为数据是最重要的资产。

对于中国建设银行来说,讲一个我们在这方面的实践。我们这块的数据应用也从早期的这些数据仓库开始,到后面的大数据平台,再到现在的数据湖,不断在演进。我们对数据做了整体统一管理,也成立了专门的数据治理委员会,还有专门的数据管理部门推动。整体来看,数据安全从原来保证数据不泄露、不丢,到现在我们在想怎么合法、合规地使用数据。

李少鹏:用户讲完了,请厂商讲一讲。政策可以不用讲了,讲我们自己服务了哪些用户,在数据安全治理这个领域。

刘晓韬:我们一般来看,数据安全治理可以分成国家层面、行业层面和企业层面。国家层面基本上法规制度建设在推进当中。行业层面,金融、运营商和政府侧跑的速度比较快一些。企业的落地层面目前困扰是最大的。

为什么说企业侧的困扰最大,现在一方面要促进数据共享,另一方面又要进行数据安全法规陆续的出台。如何去整合满足合规性,对于它们来讲是一个蛮大的挑战。而且过去大家更多在讲网络安全,网络安全大家现在干起来可能得心应手一些,但数据安全整个体系怎么建,大家都处于一个较为迷茫的状态。

第二,数据分类分级挺复杂的,首先跟企业、行业里数据的多样性有很重大的关系,另外和数据规模有很大关系。我们在做某些用户的时候,这个用户里面的数据库就有一万多个,再加上它里面的表,可能达到几千万个。如果再把那个字段算上之后,可能有十几亿个字段,落地的时候会紧接着面临数据打标。如何把分级分类的标签打到具体的字段上,通过什么方式实现?人工的方式还是怎么样?这是苦活累活,也是目前一个很大的挑战。

还有,随着网络安全概念和数据安全概念的进展,数据的审计、脱敏、保护等等大家都有,但体系化的概念目前还是缺乏的,统一化、平台化的概念现在还是有挑战的。特别是以前买的产品可能都是多家公司的,如何能把大家理念统一,数据之间的交互流通统一,实际上非常困难。运营商行业里有一些平台化的招标等都在落地,但是真正落到最后,有很多具体化的设备、探针如何去落,是非常大的挑战。在平台化的体系上去构建时会比较困难。

第三,在人才梯队建设的维度上,过去可能有一些网络安全的人才已经储备了,但数据安全的人才非常少,在这种情况下如何去做好整体数据安全的运营,人才培养梯度上我感觉有很大的挑战。

第四,就是数据处理的技术本身。从数据的共享流动侧来看,现在挑战还是非常大。包括今天大家都在提的隐私计算、多方计算、联邦计算、联邦学习,这些东西我个人判断,现在还处于一个技术发展的初期,它还处于学术研究层级,实用化、产业化的程度不是很高。我觉得这是一个值得我们去调研的话题。

李少鹏:来到今天的第二个问题,现在的数据保护或者数据安全和过去比最大的区别是什么?数字社会、数据时代,各地建立了政数局、大数据局,但过去其实很少或者没有数据交换场景。这时候我们可以用网络DLP、NDLP或者邮件DLP或者一些数据库的访问技术来控制。剩下的就是数据存储,还有数据库加密,类似这样的事情。现在数据要交换了,但像多方计算、安全联邦计算、同态加密等等还是概念市场,连新兴市场都到不了。所以,现状是我们要求数据流动交换给我们带来经济价值,但是现在又没办法用合适的技术来保护数据。那么在这种状况下我们目前的解决方法是什么?

刘晓韬:刚才少鹏提到的数据要流动,也是发挥数据价值最关键的地方。我在前面已经发表了一个观点,我认为联邦学习、多方计算、隐私处理、区块链和数据的结合,都还处于一个比较早期、不成熟的阶段。这一块直接成为对于这个方向的解决方案,我觉得会有一点早。我们可以有一些补救的措施,比如对数据的流动进行监控,清楚它的流向是哪里,起到追踪的作用。我们需要对数据的采集、存储、使用等整个环节,建立起监控追踪的体系。从数据库侧的访问,一直到业务侧的数据访问再到终端侧的访问,建立一个一整套联动式的追踪体系。还有一种,就是我们说的数据水印,如果发生泄露,我们能定义清楚到底谁泄露的,在追责上可以进一步去落地。这几个方向有可能成为多方计算还没有完全成熟情况下的一个补救措施。

陈德锋:数据流动起来挺难管的,讲讲我们的实践。一个是我们对于自己内部的数据使用,尽量限制在一个封闭的环境里,因为流动肯定要跟外界交互。以前像办业务时,要查一个人的学历信息,比如办信用卡提交的学历信息,判断真假要去学信网,还要有身份证号、姓名。虽然办卡时我们跟客户说,我们需要利用这些信息去核实你提交的信息,客户授权我们。但是跟提交的时候,是不是全部信息都给,可能也不太合适。

后来演进到好多数据要共享,要联合查询、联合计算、联邦学习、联邦建模,现在我们也在探索这方面的应用,也确实有不少技术在发展。我们正好有建信金融科技,我们成立金融科技公司正比较灵活地探索这方面的应用。去年我们引入了联邦建模的技术,对我们集团内的一体化,也就是集团内母行和子公司之间的数据共享试点,取得的效果还不错。未来随着多方安全计算和技术的发展,这方面会是比较好的解决方案。

李少鹏:过去我们有等保、分保,现在也有了个保和关保,还有最近发布的《数据安全法(草案)》、《个人信息保护法(草案)》,站在这种法律的维度或者政策的维度,您觉得对我们的数据安全治理上会有什么样的影响?

任卫红:我也比较关注数安法,我看到两点。第一点,上一版对数据分类分级说的是分级分类,这一版提到的是分类分级。这一点我很有感触,因为我是做具体技术工作的,这个改动我非常赞成。数据分类体现了不同行业有自己特点的区别,数据分级跟分类不一样,分类是表示你对不同数据有不同的保护策略,而分级是说对于不同重要程度的数据,我们对它保护的能力或者保护的强度应该有所区别。我还注意到一点,新法的第二十六条,数据的保护应该在等级保护的基础上来建立数据安全的制度体系,说明数据的分类分级跟等保的分类分级应该有必然的联系。

但是目前我看到所有行业在各个领域做的分类分级的标准里没有和等保的级别建立联系,这是一个缺憾。还好我们在这方面做了一点工作,今天下午我的报告题目其实就是依托等保,首先解决数据分类分级的一个思路,并不是解决所有的分类,只是一个基本分类、基本分级。这是我个人的看法。

(0)

相关推荐