浅谈数据安全重要性,企业如何通过技术加强安全建设?

安全 (12) 2021-08-10 15:07:48

在大数据时代,数据资源就像石油,是一种战略资源。数据意味着财富、意味着知识与信息,意味着企业甚至国家在科技浪潮中的核心竞争力。随着信息技术的发展与应用,数据渗透到人类社会的各个方面,带来价值的同时还带来了大量的安全风险与挑战。本期专家访谈,有幸邀请到资深信息安全从业人士刘志诚先生,就大众对数据安全的几个关注点进行分析解惑。

现任乐信集团信息安全中心总监,中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。专注于企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

啪仔:就近段时间引发热议的个别企业因数据安全而被安全审查的问题,老师能给我们聊一聊吗?

刘志诚老师:近几年,数据安全问题受到大家的广泛重视,国家也陆续出台了一系列的法律法规来监管数据的安全问题。从早期的《网络安全法》,到今年出台的《数据安全法》,在完善监管的同时,对企业的数据合规治理也提出了更高的要求。

对于数据安全,大家比较关注的除了涉及隐私保护、个人数据安全,还涉及国计民生、经济和重点行业的重要数据保障问题。7月初,有几家在美上市的企业被网络安全审查,原因是因为它们涉及与国家安全相关的数据安全问题。但是我们讨论数据安全,重点还是在于关键数据带来的业务安全风险,而不是如何保护数据自身。

啪仔:什么是数据安全?对于企业来说,哪些数据在数据安全保护范畴内?

刘志诚老师:数据安全,是一个概念,通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态。包括三个方面:

第一,个人隐私保护。“数据洪流”不仅带来便利,也使个人信息保护不断受到新挑战,如电话诈骗、连接免费WIFI密码被盗、骚扰短信等等,主要涉及个人数据,用户基本权利保护。

第二,企业数据安全保护。数据的全生命周期包括产生、采集、传输、存储、交换等多个环节,要想保障数据安全,必须围绕数据全生命周期进行保护,采取关键技术,全面提升数据安全防护能力。

第三,国家数据安全保护。在大数据时代,海量的碎片化、模糊化数据一旦泄露,即使经过脱敏处理,通过深入的大数据关联分析,依旧能洞察到隐藏在数据背后的重要情报,数据安全已与政治安全、经济安全、文化安全等形成紧密连接。

对于企业来说,如何做好数据安全呢?首先,对于用户数据要获取授权,进行最小的采集,保障用户权益,保护个人隐私;其次,对于业务在运作过程中数据的采集、存储和应用安全,可以通过加密、脱敏、认证健全等技术手段来加强保护措施;最后,国家安全是重点,如果涉及到国计民生、经济统计分析、地理位置等和国家安全相关的信息,都要做好相应的保护措施。

啪仔:上个月出台了《数据安全法》,为何国家那么重视数据安全?有何深刻内涵?

刘志诚老师:2016年欧盟出台《通用数据保护条例》,随后各国陆续出台相关法律,数据安全越来越被重视。数字经济时代,数据是能源,是下一个年代的石油,是重要的生产要素,国家已经看到了数据在未来发展中的重要地位,因此出台《数据安全法》,进一步完善我国数据安全基础法律体系,对管辖地域、行为和对象等都进行了明确规范。因此《数据安全法》的出台隐含三大深意,其一对数据的安全保障,其二意在促进社会经济发展,其三对国家安全的保障。本月深圳市出台的《深圳经济特区数据条例》,更是对此做出了进一步的诠释,并且走到了全国的前列。

现如今,人们的生活跟互联网紧密相连,个人信息可以被轻易获取,海量的个人数据看似是无序的垃圾数据,但经过AI、大数据等科技手段的梳理,可以形成一张穿透人们日常生活的数据网,若被有心者获取并加以利用,对个人、企业、乃至国家安全,都会造成不可估量的损失,数据安全必须被得到保障。

啪仔:各国对于数据安全都十分重视,美国对上市企业也有一定的信息披露要求,这对赴美上市的中国企业来说势必会涉及到数据出境问题,目前中国对此做了哪些方面的规范与约束呢?

刘志诚老师:7月份被安全审查的几家企业就是涉及数据的出入境问题,与中美贸易摩擦、中美科技脱钩也是密不可分的。美国证监会SEC对于上市企业做出信息披露要求,近两年还出台了审计底稿的要求,这就涉及到业务关键数据泄露的问题。在合理情况下是可以不泄露个人数据的,但若涉及到关键基础设施,涉及重大民生问题,比如出行行业里的数据涉及到地理位置信息,根据地理位置信息和人的行为信息可以推测出一些关系到国家经济和民生的重点数据,这就上升到国家安全层面了,不得不引起重视。

对此,我国紧急出台《网络安全审查办法(修订草案征求意见稿)》,防范数据跨境风险,将数据处理活动纳入网络安全审查,同时要求掌握超过100万用户个人信息的关键信息基础设施运营者赴国外上市,必须申报网络安全审查。而且,违法依据也增加了《数据安全法》,审查机构可以援引该法所建立的“数据安全审查制度“实施,补缺了此前《网络安全审查办法》的审查短板,监管力度更严格、完善。

啪仔:《数据安全法》即将于9月1日施行,对于企业来说,落实相关的法律条例会面临哪些难处?

刘志诚老师:对于企业而言,数据安全是一个比较庞大的话题,就从数据安全保障来讲,主要有三个难点:

首先,分类分级,不仅在管理规则上分类分级,还要把分类分级的实践与结果通过自动化的技术,落实到具体的生产环境中,对很多企业而言是较大的挑战。

其次,做好数据安全技术保障,例如身份认证健全,研发过程的安全管理,数据存储过程中的加密、脱敏,使用过程中对用户权利的保障,在这些方面已有成熟技术可用,企业只需要全方面落实即可。

最后,是企业对于数据与国家安全相关的判断,确保业务过程中通过数据的推断不会对国家安全造成风险。另外,尽管《网络安全法》和《数据安全法》相继出台,但在执行和审查细则方面还有待进一步细化,能够明确执行的相关条款,企业才能够落实具体的管控措施,避免出现违规的风险。现阶段来讲,企业还是要加强合规意识,做好自主防控措施。

啪仔:对于企业平衡数据安全与合规和业务发展,老师有什么建议吗?

刘志诚老师:从国家角度来看,国家从政策、机制、立法上不仅对企业数据安全做出约束监管,也提供相应的支撑措施,希望保障数据安全的同时促进数据生产要素的流通和利用。企业只需避免无意识犯错,按照相应标准与规范,提前做好分析、评估和相应的设计,在不违规的前提下,可以充分平衡三方。平衡之余还可利用政策支撑便利,发展数据安全方面的技术与产品。

从企业角度看,企业做到合规有一系列的技术方法保障。首先,在产品设计阶段,保障业务流程中用户的数据权益;其次,在具体业务中,以电商为例,所有商户、物流之间的数据交互,涉及到用户数据分享,需要通过数据交换解决问题。但在分享环节,数据的安全怎么保障?现在,可以通过类似联邦学习这种高效便捷的联合建模服务,不交换数据也能解决问题;第三,在数据存储方面,可采用同态加密或者匿名化技术来做到用户隐私保护。另外,数据安全的影响分析在基于DPO总结的数据安全隐私分析之外,还需在业务、产品、设计阶段做好防护,基于这样的组合,就能对企业的数据安全水平有一定的提升。

啪仔:对于这一热门领域,势必会吸引更多人才进入,刘老师是否有学习方向或者合适的认证课程给我们的小伙伴推荐一下?

刘志诚老师:数据安全方面的学习,从欧盟的GDPR认证开始,陆续有许多国际认证机构推出关于数据安全与个人隐私保护相关的课程。

国际认证有荷兰的DPO认证体系,包括PDPF、PDPP、ISO27001三门课程,通过认证后即可获得EXIN DPO(数据保护官)认证;美国IAPP国际隐私协会也有推出相关课程,包括CIPA、CIPM等课程;2020年ISACA推出的CDPSE(数据隐私保护工程师认证)。

国内也有许多机构准备出台数据安全相关的认证,例如国家认证中心的CISP-DSG(注册数据安全治理专业人员资质认证)和CISP-PIP(注册个人信息保护专业人员),以上认证也有许多学习路径、学习平台可以报名,除了在线的沟通学习,线下的会议论坛也是一个重要的实践途径。

THE END

发表评论