摘要:12月2日,2024企业家博鳌论坛分论坛——“创新驱动价值引领 共促品牌高质量发展”数实融合发展论坛在海南博鳌举行。论坛上,上海观安信息技术股份有限公司联合创始人、CTO胡绍勇进行了主旨演讲。他表示,技术创新催生出全新的产业形态和商业模式,数据在创造巨大价值的
12月2日,2024企业家博鳌论坛分论坛——“创新驱动价值引领 共促品牌高质量发展”数实融合发展论坛在海南博鳌举行。论坛上,上海观安信息技术股份有限公司联合创始人、CTO胡绍勇进行了主旨演讲。他表示,技术创新催生出全新的产业形态和商业模式,数据在创造巨大价值的同时,也面临着严峻的数据安全风险态势。
2024年12月2日,上海观安信息技术股份有限公司联合创始人、CTO胡绍勇在“创新驱动价值引领 共促品牌高质量发展”数实融合发展论坛上作主旨演讲
数据安全风险不容忽视
胡绍勇认为,于数据经济的发展历程中,众多新技术得以引入,诸如近年来备受瞩目的大模型技术、超级计算与智能计算中心以及工业互联网等。然而,在此进程中,亦伴随着数据泄露、数据篡改等诸多风险。
“数据安全议题与传统网络安全议题存在显著差异。”胡绍勇分析道,传统网络安全主要聚焦于漏洞管理,涵盖漏洞的发现与处置等环节;而数据则具备独特的属性,例如易于复制与传播等,这些特性使得数据安全问题面临一系列挑战。
在胡绍勇看来,一旦数据安全事件爆发,其相关信息或许在半年乃至一年前即已被获取,而直至半年到一年后方为人知数据已被窃取。尽管存在诸如水印技术、数据脱敏等多种技术手段,但实际应用效果并不理想。单纯采取如网络安全中的隔离式防护措施,并不利于数据业务的持续发展。
观安强调安全与业务的紧密结合,认为相关技术需形成有效的管控闭环,实现协同处置,并与业务紧密融合。在数据流动过程中潜藏的风险,众多企业尚不明晰;敏感数据的分布情况,企业亦难以发现与盘点;至于数据的使用者,更是难以追踪。
数据对于国家与企业而言至关重要,各地区均有相应的法律法规要求,各行业亦有其特定规范。“除应对传统的安全威胁事件外,还需满足合规性要求,这也是当前面临的另一大挑战。”胡绍勇表示。
数据安全“五步走”
观安方面认为,要想实现数据安全,就要实现数据的“可知、可识、可控、可察、可见”。
这一目标具体可分为五个维度:首先是“可知”,这主要指的是对法律法规要求的全面理解与遵循;其次是“可识”,即明确数据的分类与分级,并精准掌握敏感数据资产的分布情况;紧接着是“可控”,以最小权限原则分配数据的访问权限,同时要求在使用流程中能够清晰知晓哪些人员在访问和使用数据,并评估这一过程中可能存在的安全风险,即实现“数据风险可察”;最终,通过上述措施的综合运用,达到数据管控能力的显著提升,即“管控提升可见”。
需明确的是,这一目标的实现并非依赖单一的技术产品,而是需要管理团队、管理手段、制度流程、持续运营等多方面的综合支持,同时,还需贯穿数据生命周期的数据安全运营团队与能力的构建。
在充分结合风险分析与了解业内数据安全技术的基础上,观安可构建“管理+技术+运营”三位一体的数据安全防护体系。
“鉴于数据泄露事件多发生在使用环节,尤其是运维人员的操作不当,因此,建立数据安全技术的能力显得尤为重要,包括数据的分级分类、加密、脱敏、水印等措施。这些措施需从风险识别、安全保护、监测等多个方面入手,确保覆盖全生命周期的数据运营。”胡绍勇表示。
针对数据流通这一关键环节,胡绍勇认为,企业不仅需关注内部各部门、系统间的数据交换,更应重视与业务上下游企业间的数据流通。在数据流通前,需做好数据的分类分析,明确哪些数据可以流通,并采取相应的安全防护手段。在流通过程中,需对风险进行实时监测,并在发现风险事件后及时进行闭环处理。观安将此过程称为整体的安全运营。
此外,在数据的分级分类过程中,尽管在运营商、金融、能源等行业已有较为完善的标准,但在实际操作中仍面临诸多挑战。特别是当数据量巨大时,如结构化数据中的表和字段数量达到数十亿量级,以及非结构化数据的分类分级难度,都需借助AI大模型的判断能力,结合上下文来提高分类分级的准确率。
打造数据安全管控平台
“最终,通过分类分级、流转监测以及一系列技术手段的整合,观安为客户打造了一个数据安全管控平台。该平台能够为数据流动方提供定制化的防护方案,提升其数据安全能力,助力企业更安全、更无忧地推广数据业务,从而充分释放数据要素的价值。”胡绍勇表示。
观安对数据流转过程的监测能力,能够精准识别数据在流转环节中潜在的安全风险。流转监测的首要步骤是构建数据流转的视图,并对其进行分类分级,鉴于其交互环节繁多,需将各交互环境有效串联,以清晰追踪敏感数据所经历的各个环节及其流向。在此过程中,AI技术的应用至关重要,它能有效识别流转过程中的可疑环节。部分人员虽具备访问数据的权限,但可能怀揣非法意图,无论是出于出售数据的目的还是其他不良动机,均可通过对其访问频率、时间以及操作类型的分析,来判别其是否存在非法获取数据的企图。通过流转分析,不仅能实现传统API安全风险的监测,还能识别业务层面的数据泄漏风险情况,从而达到在数据流转过程中全面防护安全风险的目的。
数据沙箱技术,则是在一个可信的环境中处理数据,秉持“数据不动程序动,分享价值不分享数据”的核心理念。企业在运用隐私计算技术时,对业务的管控同样至关重要。“在业务准入阶段,需明确哪些业务或数据可纳入可信计算范畴;在结果交付环节,务必确保结果的加密交付,并实施日志审计,以实现计算过程的前、中、后闭环管理,从而进一步降低隐私计算在工程应用中的风险。”胡绍勇表示。
来源:《中国名牌》杂志