由中国网络空间安全协会、上海市委网络安全和信息化委员会办公室举办的“庆祝建党100周年‘网安中国行’系列活动”在上海举行。
期间,上海观安信息技术股份有限公司总裁张照龙接受南都记者专访,畅聊在数字经济发展中如何保护数据安全。作为上海市公共数据标准化技术委员会安全组组长,他还介绍了上海市政府开放数据的安全防护措施和经验。
人物简介:张照龙,上海观安信息技术股份有限公司总裁,上海市公共数据标准化技术委员会安全组组长、上海市公共数据开放专家委员会委员、上海数据治理与安全产业发展专业委员会委员、上海市人工智能产业安全专家咨询委员会聘任专家、联合国工业发展组织(UNIDO)聘任专家、国际信息系统审计协会(ISACA)聘任专家、英国标准协会主任审核员、IEEE PES电力系统通信与网络安全技术委员会(中国)常务理事。

上海观安信息技术股份有限公司总裁张照龙。受访者供图
只有做好数据保护,才能最大程度地发挥大数据的价值
南都:如何通俗地理解数据安全,与传统的网络安全有哪些不同?
张照龙:数据安全指的是用技术手段识别网络上的文件、数据库、账户信息等各类载体中的数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。
许多人认为网络安全、信息安全和数据安全是一样的,但其实存在很大的差别。
网络安全更侧重于计算环境的保护、边界保护以及针对攻防对抗的能力。而数据具有生命周期,是一种资产,对它的保护需要把资产属性加入其中。另外,数据离不开业务和应用环境,只有对业务系统比如业务的分类分级、数据的分类分级和流转的整个过程、应用权限设置等了解得越清楚,才能更好地保护数据。
所以,数据安全绝对不是一个传统的网络安全企业能做的,需要安全企业更偏向于懂业务、懂架构,知道客户数据的属性及带来的价值,然后再加上一些传统的安全能力。
南都:保护数据安全是否有助于发挥数据价值?
张照龙:大家能看到城市中有许多摄像头,有些人可能觉得这是对个人行动轨迹、个人隐私的监测监控。但反过来讲,正是这些摄像头,人们才敢半夜两三点走出家门,和朋友喝酒聊天。
大数据安全、隐私保护和加快数据流通、进一步释放数据价值之间并非不可调和的对立关系。相反,只有做好数据保护,做好隐私保护,才能最大程度地发挥大数据的积极价值,减少负面影响。
水印技术可监测数据传播链路,实现数据共享的可控可管
南都:发展数字经济需要政府开放公共数据。上海市在开放数据时如何保障安全?
张照龙:开放数据需要设置严格的要求,比如确定哪些数据可以开放,哪些不能开放。上海设置了数据清单,并把清单里的数据交给大数据中心。大数据中心会对数据进行分类分级,然后根据不同的场景输出分析结果。这些数据虽然是公共数据,但在可控范围内。
此外,上海设置了三层保护机制。第一层是顶层设计,体系化地保护数据;第二层是技术手段保护;第三层是通过日常的安全运维保护数据。
南都:第二层都包括哪些技术手段?能起到什么作用?
张照龙:第二层中的技术手段包括全流量的溯源审计,在网络中检查是否存在不可公开、不可流转的数据,一旦发现就会预警同时阻断。还会对开放、共享的数据加上显性和隐性的水印,并对数据进行全流程跟踪,对数据传递过程进行审计,防止数据被法非法利用。
具体来讲,加水印就像盖章一下,一旦加上就去不掉,除非把数据重新打一遍,但这个成本和工作量非常大。
另外,隐性水印是在数据集或者数据仓库里面,嵌入随机且唯一的字段。比如当A把数据给B时加上一段随机的唯一数字,B把数据给C时又嵌入另外一段随机且唯一的数字。通过这段数字就能判断数据传播链路,实现数据共享的可控可管。
南都:第三层技术所指的日常安全运维有哪些功能?
张照龙:数据安全运营和网络系统的可用性运营是一样的。
数据一定可以被实时监测,比如监测什么时候产生敏感数据,存储在哪里,谁在使用,在边界内使用还是已经传输到了边界外,边界外的数据可以被随意拷贝还是需要严格监测流通轨迹......建立数据安全运营平台,就能实时对数据的整个生命周期进行保护。
建议安全企业设立专门的技术趋势和市场趋势分析岗位
南都:数据安全企业如何“修炼”才能满足产业当下和未来的需求?
张照龙:目前我国的数据安全产业正处于高速增长阶段,许多重点行业已经把数据作为新的安全保护中心,这意味着以数据为核心的保护时代已经来临。从数据安全企业自身的角度,需要对中国产业现状,做好以下几点,才能够满足目前中国产业当下及未来的需要。
首先,数据安全企业应该为用户提供数据安全顶规设计能力,如数据安全治理,数据安全管控体系,数据安全能力中台等总体规划能力。
其次,要能够为用户提供各种数据安全技术解决方案,包括数据分类分级、敏感数据发现、数据溯源、数据脱敏、数据库审计、数据加密、数据流动监测、数据防泄漏等。
第三,由于各种不同领域的数据安全需求纷至沓来,例如5G、人工智能、工业互联网、区块链、物联网等新兴产业应用,都面临着全新的数据安全挑战,仅仅具备常规的数据安全技术解决方案,远不能满足当下新兴产业带来的新的安全需要。因此数据安全企业应该不断在理论创新、技术创新等方面进行探索,在传统数据安全技术基础上,研制和创新出适应这些新技术和新场景下的各种安全解决方案。
第四,中国的数据安全企业应建立良好的安全服务团队和服务体系,做好安全服务保障工作,通过参与护网行动等重大行动的安全服务保障活动为中国产业的快速发展保驾护航。
南都:安全企业如何保持创新活力?
张照龙:未来的安全市场是以客户需求为中心的时代,建议安全企业设立专门的技术趋势和市场趋势分析岗位,负责研究未来市场客户的痛点、难点需求,作为未来技术创新的源头。
其次,安全企业应多和国际上发达国家的对标产品、厂家和机构看齐,要有全球安全技术视野,要能够敏感地把握未来几年的技术发展方向。
另外,安全企业需要适度参与国家、行业、地方的安全标准制定。一方面,在加强国家安全标准研制过程中联系加强产学研用的结合,并且为安全创新思考和创新合作找到更多更有效的渠道。
文/南都个人信息保护研究中心研究员 尤一炜
编辑:蒋琳