8月22—23日,2023 DEMO WORLD企业开放式创新大会在长三角G60科创走廊策源地松江隆重举行。本届大会由创业邦主办,松江区经济委员会、松江区投资促进服务中心、国家级上海松江经济技术开发区、松江区泗泾镇人民政府、松江区佘山镇人民政府协办。
大会以“拥抱开放”为主题,邀请200+跨国公司及本土企业创新领袖,聚焦开放式创新,通过演讲分享、报告发布、榜单评选、案例展示、需求对接等多种方式,推动全球创新资源在行业中的流动,加速世界各地的企业在中国成长。
8月22日下午,数据安全专场,亚信安全副总裁刘政平带来题为《先理后治,保障数据安全》的主题分享,
精彩观点如下:
1. 传统安全模式基于安全域概念,像守护城堡一样设立关卡。然而,如今数据为中心,涵盖整个业务周期的安全风险需要统一管控。
2. 我们需要厘清组织架构、机制、管理制度以及管理人员等方面。若企业有首席数据官,同样需要有数据安全官,他们将对企业全业务的数据负责,确保安全与合规。
3. 数据安全实际上是以运营为核心的工作。
以下为演讲内容,由创业邦整理:
01数智化转型浪潮之下,安全治理亟需革新认知
从宏观数据上可以看到,去年全国的数据经济规模已经达到了50万亿,占GDP比重41%。明年1月1日,数据资产要正式列入资产负债表。这些数据、动作都表明,我们处在一个全面数字化的时代。
一方面,数字产业,以及产业化的数字化,已经成为经济发展的驱动力。另一方面,随着数字作为生产要素的发展,风险也与日俱增。例如电信诈骗、勒索攻击,其底层很多都是跟数据泄露相关。
许多制造业的客户、政府、金融单位都最担心的就是被勒索攻击,因为云平台一旦被勒索攻击,就会造成业务中断,或者客户数据、生产数据被黑产从业者盗走,放到暗网上销售。去年全球因勒索攻击损失的资产到了6万亿的规模,全球安全公司的销售收入加在一起远远不如黑产。
网络安全在数据安全层面的风险是快速增大,其背后有这样一些原因。
一是IT架构的变化。随着信息化数字化的发展,我们所说的ABCDE,即人工智能、区块链、云计算、大数据、新能源、车联网等技术的普及,传统的IT边界越来越模糊。原来我们做网络安全早期做安全比较简单,划分安全域,内外网做防火,防火墙、防病毒、入侵检测安全三大件就可以了。
最近的七八年,很多企业都在走数字化转型。纯云化、移动办公、柔性生产导致生产网络和办公网络做连接,内外边界便没那么容易区分,这个时候安全风险就增加了。
随着IT架构的变化,数字化转型带来的风险与日俱增。包括我们国家刚刚建立了国家数据局,各省市都有大数据局,数据集约化之后目标变大了,带来的风险也增加了。
除此之外,还有地缘政治带来的军事风险。俄乌战争打了一年半,三四年前俄乌之间就爆发了大规模的网络战争,你们经常可以看到,乌克兰东部地区全部断网或者断电。俄罗斯正式打俄乌战争之前,乌克兰的部门网络全部瘫痪,中了勒索病毒。像这样的攻防对抗越来越激烈。
从法律法规的角度看,这几年包括《网络安全法》《数据安全法》《数据出境安全备案机制》陆续出台。我最近接触的几个国内的龙头企业,都在忙这个事。因为不论是中国企业在海外开办工厂,还是海外公司在中国建立业务,都牵涉到数据跨境的合规问题。
从信息化到网络化再到数字化,如今迈向数智化,融入人工智能。数字化安全逻辑在变化,以前的网络安全强调中心化三重防护,现在数据安全更强调以数据为核心,保护生产要素。传统安全模式基于安全域概念,像守护城堡一样设立关卡。然而,如今数据为中心,涵盖整个业务周期的安全风险需要统一管控。
这是内生安全的概念,与外部安全不同。
在这个内生安全中,我们需要进行分类分级。对数据的重要性要进行区分,并进行权限管理、访问控制。同时,对流动数据进行全流程的监管和监测,采用新的技术,如隐私计算和合规管控。跨境数据交流也涉及不同国家的地缘政治和法律法规,需要考虑合规性。这与传统网络安全有相似之处,但也存在显著差异。
02先理后治,数据安全是一项长期运营工作
基于今天的题目,我提出了一个观点:数据安全治理即为业务安全,因此要“先理后治”,这本身是一个运营的概念。就像我们今天在开展业务时是不是一个运营过程一样?它需要端到端的全流程管控,而不仅仅是弥补短板。以前的安全工作主要基于木桶原理,哪块木板短了我就补长了。然而,如今我们需要全流程思维。首先,我们需要厘清组织架构、机制、管理制度以及管理人员等方面。若企业有首席数据官,同样需要有数据安全官,他们将对企业全业务的数据负责,确保安全与合规。此外,对于其中的资产,我们需要进行全面梳理。针对在座众多的企业和政府单位,从明年1月1日开始,数据将纳入资产负债表。首要任务是清楚了解数据的来源与去向,然后进行分类分级。
举例来说,如果我们经营一家工厂,拥有一条生产线,我以生产新能源电池为主。在这个生产线中,涉及多种数据类型,因此需要专业人员进行梳理。一旦梳理完成,我们可以将这些数据分门别类,确定哪些数据会影响国家安全,哪些与个人隐私相关,然后对其进行标识。紧接着,我们需要全面分析这些数据的风险,因为只有在理清风险后才能进行相应的治理措施。
在治理部分,我们可以清楚地看到一个全生命周期管理的理念。这个管理涵盖了数据的采集、传输、存储、处理、交换以及销毁这六个阶段,每个阶段都需要有相应的抓手和控制措施。当然,同时我们还需要一个平台,使用适当的技术来实现管控,我们称之为数据态势。
贯穿以上所述的理念与治理,我们实际上需要建立一个全面的数据安全服务体系,贯穿整个业务。从评估到监视再到处理,我们可以看到所有这些都是相互关联的,就像一条线一样。法条都是基于中国的法律体系,但如果作为一家全球化的企业,你要向全球扩张,就必须深入研究各国的法规。这也是中国在数据跨境方面面临的难题,不同国家的法规越来越复杂,而每个国家设立业务都必须遵守当地的法规。
我们来看几个关键点。首先是梳理数据资产的方法论是什么?从识别、保护、监测到响应,这四个阶段都需要一些关键步骤。举个例子,现在智能化工具结合行业模型被广泛应用于数据识别和分类分级。我们首先需要对数据进行详细分析,然后由专业的风险评估机构进行风险评估。不仅金融行业和高端制造业,许多行业都在进行这种风险评估,还包括安全防护、数据监视以及数据处置等。
从方法论的角度来看,这是一个持续改进的过程。我们可以引用PDCA(Plan-Do-Check-Act)的概念,一旦识别出业务的风险,我们就可以制定统一的管理目标。我们通过梳理数据进行风险评估,并动态调整安全策略,实现能力编排。最终,我们进行验证,将这个过程循环不断地进行下去,建立一个零信任的体系。
业务侧明显可见,建立基于体系的运营框架,数据安全实际上是以运营为核心的工作。可以观察到,整个安全能力的提升持续由数据安全运营的体系支撑。
针对分类分级,我们运用专业工具如数据资产分析,协助金融、运营商、能源电力、医疗等行业客户制作数据资产清单。随后,进行敏感信息的辨识,根据行业分类分级的指南规范进行操作。最终,形成数据地图,这正是我们目前着手处理的首要任务。
其次,我们关注关键的控制领域。前述的勒索事件引出亚信安全去年推行的“方舟计划”,帮助客户进行安全检测,查明黑客攻击风险和漏洞。为了防范数据泄露,必须进行数据脱敏处理并进行标识,包含泄露监测、阻断和溯源分析的能力。
第三个要点是数据共享。我们借助联邦学习、多方计算和数据沙箱等技术,解决数据可见性与安全共享之间的问题。
在全流程中,数据持续流动。如何在流动过程中监控风险?尤其是提到跨境数据流动,特别重要的是网络通信层面。我们需要建构实时监测风险的体系,例如在通信网络中建立协议还原体系。无论是图像、视频还是文件,都能进行协议还原,同时也可以集中发现敏感信息,根据标识进行分类分级聚类,最终实现监测。
实际上,这已经成为一项广泛需求。我最近与许多单位交流时,他们都提到了全流量、全协议的无死角监测的重要性。只有实现了这种能力,我们才能在全球范围内开展业务,并真正保障我们的数据安全。
另外,我们还需要进行数据管控。我们的数据资产存放在各个系统中,如果能够从中提取访问日志和数据交换信息,就能形成三个关键能力。首先是发现和识别能力,无死角地发现许多潜在的影子资产。其次是数据的坚实能力,能够即时监测到非法和越权的访问。最后是风险的识别和检测能力。一旦这些能力形成,我们就可以赋予安全管理平台以能力,实现对数据资产、数据安全事件和数据风险的管理。这一管理平台能力形成后,我们就可以持续地优化防护措施,将安全策略应用于端、边、云、网等不同的安全产品和技术中,实现持续的优化。
亚信安全旨在将传统网络安全与数据安全结合,实现端到端全周期的安全。从分类分级、身份安全管理,到数据加解密、数据脱敏、审计、溯源、多方计算、隐私计算、数据态势,涵盖端、边、云、网的安全保护能力,形成一体化方案。许多用户都要求一体化的数据安全,而不是碎片化的解决方案。亚信安全与座上的生态合作伙伴共同构建更安全的数据计算环境和数据要素市场的基础。
介绍一下亚信安全,成立于1993年,由田博士创立,致力于将互联网引入中国。我们在1995年开始与运营商合作,建设了中国的六大骨干网,被誉为“互联网的建筑师”。2000年成为中国第一家登陆美国纳斯达克的科技公司。安全领域始于2000年,特别是在身份安全领域市场份额领先。我们在云安全、数据安全领域耕耘20多年。2015年正式成立亚信安全,快速发展,建立产业技术研究院,举办C3安全峰会。2018年网络安全软件市场份额第一,云安全、身份安全、终端、态势感知、安全运营领域处于领先地位。去年在上海科创板上市。
这些年来,我们在核心技术能力和信创领域取得了显著进步。已经实现了全信创产品的解决方案。在新的市场机遇中,亚信安全期待在数据安全领域取得新的成就。
更多活动大会一手信息,欢迎加入创业邦会员,现场聆听一线投资人、头部企业家精彩分享,掌握最新创投趋势!
