侯彬炳

這兩年，國家對安全合規(guī)的要求越來越高，對于掌握大量用戶信息的企業(yè)來說，必須嚴格按照相關(guān)要求，進行分級分類保護，在法律框架規(guī)范內(nèi)進行數(shù)據(jù)共享、使用和傳輸。

那么，國家為什么要狠抓網(wǎng)絡(luò)安全，尤其特別重視數(shù)據(jù)安全？

“這都是數(shù)字化轉(zhuǎn)型帶來的結(jié)果，不僅是中國，在全世界，各個行業(yè)都把安全看成是數(shù)字經(jīng)濟發(fā)展的基石?！敝袊畔f(xié)會信息安全專委會副主任李京春認為，數(shù)據(jù)成為新動能，是重要的生產(chǎn)要素，相應(yīng)的法律法規(guī)必須與時俱進，才能進一步規(guī)范和推動數(shù)據(jù)要素市場的培育和數(shù)據(jù)產(chǎn)業(yè)鏈的形成。

前不久，2022數(shù)據(jù)安全技術(shù)大會暨中國信息協(xié)會信息安全專業(yè)委員會年會在北京成功召開。在北京市通信管理局和北京經(jīng)濟技術(shù)開發(fā)區(qū)管委會指導(dǎo)下，本次大會由中國信息協(xié)會信息安全專業(yè)委員會主辦，由中國信息協(xié)會信息安全專業(yè)委員會數(shù)據(jù)安全技術(shù)工作部和北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司聯(lián)合承辦，逾3 000家企業(yè)線上參與，嘉賓、用戶、廠商以“線上+線下”的方式奏響數(shù)據(jù)安全最強音。會議期間，李京春李主任發(fā)表了重要講話，并就數(shù)據(jù)安全相關(guān)話題接受了專業(yè)媒體采訪。

無規(guī)矩不成方圓

如今，不管是國家，還是企業(yè)，都把數(shù)據(jù)看成是黃金、石油，如果不加以治理，難免會出現(xiàn)負面影響，甚至是重大損失。在李京春看來，有些企業(yè)在利益的驅(qū)使下，非常有可能會沖破道德底線，掠奪數(shù)據(jù)，或者去竊取數(shù)據(jù)。所以，數(shù)據(jù)不再是簡單的原始數(shù)據(jù)的一次性使用，一定要在滿足數(shù)據(jù)安全需求的前提下，進行數(shù)據(jù)積累、數(shù)據(jù)治理以及數(shù)據(jù)使用。

目前，從行業(yè)數(shù)據(jù)安全整體現(xiàn)狀來看，還處于初級階段。雖然，我國數(shù)字經(jīng)濟發(fā)展很快，也取得了很多可喜的成績，但許多行業(yè)、個人信息保護和數(shù)據(jù)安全保護的整體能力仍然處在保護不規(guī)范、不充分、不全面、不徹底的狀態(tài)，亟待加強合規(guī)性、安全性、完整性、可用性、可控性的保護和數(shù)據(jù)安全治理。而《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》相繼實施，等于有了與需求相配套的可操作、可落地的基礎(chǔ)標(biāo)準(zhǔn)規(guī)范，通過一些試點、示范案例來落實法律法規(guī)要求，可以形成符合全社會、全行業(yè)利益的數(shù)據(jù)安全治理制度與體系。

另外，國際環(huán)境復(fù)雜多變，網(wǎng)絡(luò)安全已不是每家企業(yè)、每個人的事，而是已上升為國家戰(zhàn)略，必須全面加強安全保護。同時，網(wǎng)絡(luò)安全不但要保護數(shù)據(jù)和信息本身，也要關(guān)注數(shù)據(jù)和信息訪問的主體和客體的安全。比如人、社會、程序，誰能訪問數(shù)據(jù)，哪個設(shè)備能讀取數(shù)據(jù)，哪個程序能啟動數(shù)據(jù)等，這些都需要有身份認證，這是主體安全。而承載數(shù)據(jù)和信息的客體是什么？這需要關(guān)注承載客體的安全，小到內(nèi)存、文件，大到系統(tǒng)、平臺，這些都是客體。

值得一提的是，網(wǎng)絡(luò)安全不只網(wǎng)絡(luò)本身，而是網(wǎng)絡(luò)空間安全，更具體的定義是信息安全，其中涵蓋了數(shù)據(jù)安全。隨著互聯(lián)網(wǎng)邊界的擴展，傳統(tǒng)的信息安全概念也變小了，所以有人提出全面的網(wǎng)絡(luò)安全應(yīng)該覆蓋到網(wǎng)絡(luò)空間、賽博空間的安全。所以，今天的網(wǎng)絡(luò)安全是一個大IT網(wǎng)絡(luò)概念，除了傳統(tǒng)網(wǎng)絡(luò)，還包括聲、光、電、磁及其他類型的網(wǎng)絡(luò)數(shù)據(jù)傳輸。比如，對聲波傳輸?shù)姆锤`聽，電力載波的對抗，都是現(xiàn)代化的網(wǎng)絡(luò)戰(zhàn)最典型特征。涉及到數(shù)據(jù)層面，除了計算機的數(shù)據(jù)、互聯(lián)網(wǎng)的數(shù)據(jù)，未來還有元宇宙數(shù)據(jù)。在物理世界跟虛擬世界互通、互操作過程中產(chǎn)生的數(shù)據(jù)，也是數(shù)據(jù)安全保護的核心內(nèi)容。

簡單理解，數(shù)據(jù)和信息安全保護，并不是一個新課題，數(shù)據(jù)治理只是數(shù)據(jù)全生命周期中的基礎(chǔ)性工作。但時代不同，數(shù)據(jù)安全保護策略也在變革，必須采用與之匹配的法律體系和更先進的技術(shù)，滿足新應(yīng)用發(fā)展需求。但現(xiàn)在看，數(shù)據(jù)安全保護任重道遠，還不夠充分、全面、規(guī)范、徹底。相信隨著法律法規(guī)的完善以及各種新技術(shù)、新手段的出現(xiàn)，這種境遇會逐步改善！

數(shù)據(jù)安全處理自動化

對于有著大量個人信息的企業(yè)來說，要想合理合法運營業(yè)務(wù)，必須提升數(shù)據(jù)安全意識，構(gòu)建以人和數(shù)據(jù)為中心的安全架構(gòu)。

“公司從2015年成立就一直深耕數(shù)據(jù)安全領(lǐng)域，提倡以人為中心構(gòu)建數(shù)據(jù)安全體系?！痹谔炜招l(wèi)士合伙人兼高級技術(shù)總監(jiān)楊明非看來，要想對數(shù)據(jù)進行有效管理和分類，需要采用自動化的手段，解決負責(zé)的業(yè)務(wù)場景和流程問題。

天空衛(wèi)士最新發(fā)布的多維度數(shù)據(jù)防泄露解決方案，最典型特征就是自動化理念，具體包括數(shù)據(jù)分類分級的自動化、數(shù)據(jù)安全處理的自動化，以及應(yīng)用場景層面的行為分析自動化。

第一，數(shù)據(jù)分類分級的自動化。是指圍繞數(shù)據(jù)分類分級，對不同價值的數(shù)據(jù)采取不同的保護方式和手段，并且通過自動化手段去簡化復(fù)雜流程，通過發(fā)現(xiàn)、掃描等方式，對相應(yīng)的數(shù)據(jù)進行聚類，然后輸出聚類的特征，或者給出一些自動分類分級的建議，整個過程都在自動化的平臺上完成。不管企業(yè)的數(shù)據(jù)是在數(shù)據(jù)庫、文件存儲，還是在個人終端電腦上，都可以在盡量少的人工參與的情況下，完成對數(shù)據(jù)分類分級的識別。

第二，數(shù)據(jù)安全處理的自動化。可以在數(shù)據(jù)全生命周期進行，包括從數(shù)據(jù)創(chuàng)建開始，到后期的存儲、使用和傳輸，用戶可以對數(shù)據(jù)進行標(biāo)記、權(quán)限設(shè)置、審計動作，還可以進行可視化管理，了解數(shù)據(jù)的最終流向。用戶能在各個網(wǎng)絡(luò)節(jié)點、個人終端節(jié)點，包括一些關(guān)鍵的業(yè)務(wù)節(jié)點，捕獲或者分析數(shù)據(jù)。

第三，應(yīng)用場景層面的行為分析自動化。要想做到以人為中心，以數(shù)據(jù)為中心，就需要對人的行為進行分析，去處理問題。通過人工智能技術(shù)，用戶可以在正常事件中找到潛在的異常點。

當(dāng)然，安全問題是一個綜合型的問題，我們不能“頭疼醫(yī)頭、腳疼醫(yī)腳”，在網(wǎng)絡(luò)、終端、云這種無邊界的網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)安全風(fēng)險無處不在。不管公司數(shù)據(jù)、個人數(shù)據(jù)還是國家數(shù)據(jù)，可能在不經(jīng)意間，就通過手機、電腦、iPad或者通過云端泄露出去。

所以，天空衛(wèi)士的處理模式是采用統(tǒng)一的、成體系化的數(shù)據(jù)安全策略，包括數(shù)據(jù)分類分級的識別，分類分級的保護，數(shù)據(jù)的加密、脫敏、標(biāo)簽，圍繞數(shù)據(jù)形成一個保護層，這是第一層。在這個保護層之上，是數(shù)據(jù)的通路層，包括外部訪問入口、郵件、手機、終端等應(yīng)用的整個體系，不管數(shù)據(jù)來自哪個通路，都可以進行流量的截獲或者處理，這是第二層。在最外層，再形成一個網(wǎng)絡(luò)安全威脅保護層，阻止對數(shù)據(jù)可能會產(chǎn)生危害的病毒、木馬、惡意鏈接的侵入，包括對各種各樣的APT攻擊、釣魚或者垃圾郵件的有效攔截。通過3層立體式防護，可以全面確保數(shù)據(jù)安全。

其中，統(tǒng)一管控平臺將發(fā)揮重要價值，可以對所有通路和數(shù)據(jù)安全設(shè)備統(tǒng)一下發(fā)策略，并根據(jù)行為分析技術(shù)，把中間的數(shù)據(jù)安全通路產(chǎn)生的數(shù)據(jù)進行一個完整的行為分析，發(fā)現(xiàn)可能潛在的風(fēng)險和威脅。

以智能汽車場景為例，在汽車網(wǎng)聯(lián)化、自動化、智能化的趨勢下，汽車網(wǎng)絡(luò)安全、數(shù)據(jù)安全已成為汽車交通安全的重要延伸，跟交通安全相伴相隨，密不可分。除了關(guān)注傳統(tǒng)汽車領(lǐng)域涉及的交通安全、駕駛安全、人身安全等問題，如何全面關(guān)注車端網(wǎng)絡(luò)安全、數(shù)據(jù)安全？

“車企需要提高網(wǎng)絡(luò)安全和數(shù)據(jù)安全意識，加強網(wǎng)絡(luò)安全和數(shù)據(jù)安全合規(guī)管理，確保合規(guī)采集、使用、存儲車輛數(shù)據(jù)。嚴格保護用戶隱私數(shù)據(jù)，平衡數(shù)據(jù)流通與泄露風(fēng)險，使智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)能健康快速發(fā)展?！闭缋罹┐豪钪魅卧谄嚪终搲?，守護智能汽車數(shù)據(jù)安全不只是車企的責(zé)任，更需要多方主體共同發(fā)力，讓數(shù)據(jù)能流轉(zhuǎn)起來，共享起來，應(yīng)用起來。通過海量數(shù)據(jù)處理，能夠幫助車企有效分析駕乘人員的使用習(xí)慣，進而及時安全提醒輔助駕駛，不斷更新迭代新功能，打造出更多、更完美的新產(chǎn)品。

總之，安全無小事，只有做到數(shù)據(jù)安全的無懈可擊，才能充分發(fā)揮數(shù)據(jù)價值，享受數(shù)字化轉(zhuǎn)型帶來的成果。