大数据时代,数据资源和石油一样,都是战略资源。意味着数据财富,意味着知识信息,意味着企业乃至国家在科技大潮中的核心竞争力。随着信息技术的发展和应用,数据渗透到人类社会的方方面面,在带来价值的同时也带来了很多安全风险和挑战。本期专家访谈,我们有幸邀请到资深信息安全从业者刘志成先生,为您解析和打消公众对数据安全的顾虑。
乐信集团信息安全中心总监 刘志诚现任乐心集团信息安全中心主任,中国科学院心理研究所管理心理学博士,美国印第安纳大学凯利商学院金融学硕士,香港理工大学软件科学与工商管理硕士。原中国移动电子认证中心负责人,OWASP广东负责人。专注于企业数字化过程中的网络空安全风险管理,对大数据、人工智能、区块链等新技术在金融风险管理领域的应用,以及新技术带来的技术风险管理有丰富的理论和相关经验。
帕子:最近有一个关于个别企业因数据安全而进行安全审查的热议。老师能和我们谈谈吗?
刘志成老师:近年来,数据安全问题受到了大家的广泛重视,国家也相继出台了一系列的法律法规来监管数据安全问题。从早期的网络安全法到今年的数据安全法,在完善监管的同时,也对企业的数据合规治理提出了更高的要求。
对于数据安全,人们不仅关注隐私保护和个人数据安全,还关注国计民生、经济和关键行业的重要数据安全问题。7月初,几家在美国上市的公司受到网络安全审查,因为它们涉及与国家安全相关的数据安全问题。但是我们在讨论数据安全的时候,还是把重点放在关键数据带来的业务安全风险上,而不是如何保护数据本身。
帕子:什么是数据安全?对于企业来说,哪些数据属于数据安全保护范围?
刘志成老师:数据安全是一个概念。通过采取必要的措施,数据可以得到有效保护、合法使用并保持在安全状态。包括三个方面:
第一,个人隐私保护。“数据洪流”在带来便利的同时,也让个人信息的保护不断受到挑战,如电话诈骗、连接免费WIFI密码被盗、骚扰短信等。,主要涉及个人数据和用户基本权利的保护。
第二,企业数据安全保护。数据的整个生命周期包括产生、获取、传输、存储、交换等诸多环节。保障数据安全,必须围绕数据全生命周期进行保护,采用关键技术,全面提升数据安全保护能力。
第三,国家数据安全保护。大数据时代,海量碎片化、模糊化的数据一旦泄露,即使脱敏后,我们仍然可以通过深入的大数据关联分析,洞察隐藏在数据背后的重要信息。数据安全与政治安全、经济安全和文化安全密切相关。
对于企业来说,如何做好数据安全?首先,需要对用户数据进行授权,收集最少的数据,保护用户权益,保护个人隐私;其次,对于业务运营过程中数据采集、存储和应用的安全性,可以采取加密、脱敏、声音认证等技术措施加强保护措施;最后,国家安全是重点。涉及国计民生、经济统计分析、地理位置等关系国家安全的信息,应当采取相应的保护措施。
帕子:上个月颁布了数据安全法。为什么国家这么重视数据安全?有什么深刻的内涵?
刘志成老师:2016年,欧盟发布了《通用数据保护条例》,随后各国陆续出台相关法律,数据安全越来越受到重视。数字经济时代,数据是能源,是下一个时代的石油,是重要的生产要素。我国已经看到了数据在未来发展中的重要地位。因此,《数据安全法》的颁布,进一步完善了我国数据安全的基本法律制度,明确规范了管辖范围、行为方式和对象。因此,《数据安全法》的出台,隐含着三层深意,一是数据安全,二是促进社会经济发展,三是保障国家安全。本月,深圳颁布的《深圳经济特区数据条例》对此做了进一步的解读,走到了全国的前列。
现在,人们的生活与互联网紧密相连,个人信息可以很容易地获得。海量的个人数据看起来是无序的垃圾数据。但通过AI、大数据等科技手段的梳理,可以形成一个深入人们日常生活的数据网络。如果被有意愿的人获取并使用,会对个人、企业甚至国家安全造成不可估量的损失,数据安全必须得到保障。
帕子:各国都非常重视数据安全,美国对上市公司也有一定的信息披露要求,这势必涉及到在美国上市的中国公司的数据退出问题。中国目前对此做了哪些规范和约束?
老师:刘志成:7月份被安检的几个企业都与数据录入和退出有关,也与中美贸易摩擦和中美科技脱钩密切相关。美国证券交易委员会SEC对上市公司做了信息披露要求,近两年还出台了审计底稿的要求,涉及到关键业务数据的泄露。在合理的情况下,个人资料可能不会被披露。但如果涉及到关键基础设施和重大民生问题,比如出行行业中涉及到地理位置信息的数据,从地理位置信息和人们的行为信息可以推断出一些关系国计民生的关键数据,这已经上升到国家安全的层面,不得不引起重视。
对此,我国紧急出台《网络安全审查办法》,防范数据跨境风险,将数据处理活动纳入网络安全审查。同时,它要求拥有超过100万用户个人信息的关键信息基础设施运营商在国外上市,他们必须申报网络安全审查。而且在违法依据上增加了《数据安全法》,审查人员可以援引该法设立的“数据安全审查制度”来实施,弥补了以往《网络安全审查办法》的不足,使监管更加严格和完善。
帕子:《数据安全法》将于9月1日实施。企业在执行相关法律法规时会面临哪些困难?
刘志成老师:对于企业来说,数据安全是一个巨大的话题。就数据安全而言,有三个主要困难:
首先,分类分级,不仅在管理规则上,而且在通过自动化技术进行分类分级的实践和结果上,对很多企业来说都是一个很大的挑战。
其次,做好数据安全技术保障,如完善的身份认证、研发过程中的安全管理、数据存储过程中的加密脱敏、使用过程中的用户权益保护等。这些方面都有成熟的技术,企业只需要在各个方面实现即可。
最后是企业对数据关系到国家安全的判断,以保证业务流程中数据的推断不会对国家安全造成风险。此外,虽然《网络安全法》和《数据安全法》相继颁布,但实施和审查规则还需进一步细化。只有当执行的相关规定能够明确界定时,企业才能实施具体的控制措施,以避免违反的风险。目前企业仍需加强合规意识,采取自主防控措施。
帕子:你对企业平衡数据安全与合规和业务发展有什么建议?
刘志成老师:从国家的角度来说,国家不仅从政策、机制、立法等方面对企业数据安全进行约束和监管,还提供相应的配套措施,希望能够保障数据安全,促进数据生产要素的流通和利用。企业只需要避免无意识的错误,按照相应的标准和规范,提前做好分析、评估和相应的设计,就可以在不违规的情况下充分平衡三方。除了平衡,我们还可以利用政策支持来促进数据安全技术和产品的发展。
从企业的角度来说,有一系列的技术方法来保证合规。首先,在产品设计阶段,保护用户在业务流程中的数据权利;其次,在具体业务中,以电子商务为例,所有商家和物流之间的数据交互涉及到用户数据的共享,需要通过数据交换来解决。但是在分享过程中,如何保证数据的安全性呢?现在,你可以通过联邦学习这样高效便捷的联合建模服务,不用交换数据就能解决问题。再次,在数据存储方面,可以使用同态加密或匿名化技术来保护用户的隐私。此外,除了基于DPO总结的数据安全隐私分析,数据安全的影响分析需要在业务、产品和设计阶段进行保护。基于这种结合,可以在一定程度上提高企业的数据安全水平。
帕子:这个热门领域势必会吸引更多的人才。刘老师有没有学习方向或者合适的认证课程推荐给我们的朋友?
刘志成老师:对数据安全的研究始于欧盟的GDPR认证,许多国际认证机构相继推出了数据安全和个人隐私保护的相关课程。
在国际上,荷兰有DPO认证体系,包括PDPF、PDPP和ISO27001。通过认证后,可获得EXIN DPO认证;美国IAPP国际隐私协会也推出了相关课程,包括CIPA、CIPM等课程;ISACA在2020年推出的CDPSE。
中国也有许多机构准备引入数据安全相关的认证,如国家认证中心的CISP-DSG和CISP-PIP。以上认证也有很多学习路径和学习平台。除了线上的交流学习,线下的会议论坛也是一种重要的实践方式。
-结束-
以前的建议:
20年IT领域资深专家,他说DevSecOps未来的趋势是成本。
15年信息安全专家,2条建议指导就业。
大咖访谈|从信息安全本质,谈企业信息安全建设之路。
从HW-红蓝对抗项目的实践反思我国企业信息安全建设与管理。
