原标题:建设数据安全度量体系,提升企业“安全水位”
以数据为关键要素的数字经济,正在蓬勃发展。越来越多的企业将数据视为重要资产。同时,随之而来的数据安全问题与日俱增。
在实践中,国内企业是如何应对数据安全风险的,采取了哪些保障措施和解决方案?
1将数据安全管理要求进行量化
近年来,数据的价值凸显,数据安全风险也越来越受到重视。
中关村网络安全与信息化产业联盟副理事长刘晓韬指出,近几年,数据勒索事件频发,尤其是数据价值越高的行业,发生越频繁。比如,金融行业拥有大量的个人交易数据、资产数据,价值非常高,就容易发生黑客入侵。他们不仅盗取数据,售卖数据,甚至对其进行重新加密保护,对企业进行勒索,这已经形成了一个黑色产业链。
面对现在层出不穷的数据安全风险,多数企业把数据安全摆在了整个信息安全体系中最重要的位置。但是数据安全的要求纷繁复杂,内部员工特别是研发人员在日常工作中由于缺少对数据安全的理解,或者由于无法判定行为准则,在无意中也会产生安全隐患。
为了解决这些难题,蚂蚁集团建立了一个数据安全度量体系,在数据安全治理体系下,对治理能力和安全水位进行量化评估与监控,实现数据安全精细化管理,将相关的数据安全管理要求进行量化。
蚂蚁集团数据安全总监、蚂蚁安全天堑实验室负责人郭亮表示,一方面,这可以帮助员工理解管理要求,判断自己的行为是否满足当下最新的数据安全管理要求。首先,它将复杂的管理要求,梳理成简洁清晰可规则化表达的安全基线,使内部人员很轻松地理解这些安全基准。
其次,为了让员工掌握最新的管理要求,加大了对安全基线的培训、认证及日常的宣导。基于形势变化,每半年会调整需要重点宣导的红线。同时,特别是对研发人员,会组织多次认证考试,以提高从事相关工作的门槛。
另一方面,该体系还能更好地衡量内部数据安全效果,及时发现数据安全风险点。比如,在业务需求阶段,安全团队会详细评估并提出各类安全要求,但在业务实施过程中,这些要求是否真正被执行、执行到位就难以判断。这时,该体系就发挥了安全基线的监控和度量作用,实时进行跟踪和监督。并且,业务实施人员,也可以根据该体系,自我进行判断某些行为是否正确,及时发现风险问题并更正。
郭亮指出,为了使该体系能发挥最好效果,还成立了专职的审计团队。在有规范制度的前提下,对不遵守安全要求的行为予以追责。追责的主要目的,是让相关人员及团队重视、支持安全工作,一起提升公司的安全水位。
2采用创新技术,解决“理赔难”痛点
目前,数据安全治理体系更多是偏向于运营、管理层面的优化,而在数据安全治理实践中,还需要从技术层面防范、杜绝相关风险。
因此,相关企业加强了数据安全的技术创新。比如,蚂蚁集团在2019年推出了保护数据安全的摩斯安全计算平台,在数据不泄露、原始数据不出域的前提下运用先进的区块链、安全多方计算、密码学、隐私保护等多重技术,保障高效、安全,为行业提供数据安全解决方案。
目前,摩斯安全计算平台已经在更多的业务场景中得到应用,解决了很多数据安全保护的难题。
比如,传统的保险理赔过程,商业保险参保人须在就诊后将相关表单、医疗收据、病历等资料收集齐后,提交或上传给保险公司的理赔平台,审核通过后才能获取赔付,整个理赔过程周期长、效率低,并且存在骗赔隐患。
因此,许多保险公司希望与医院数据直接打通,建立快速赔付通道。然而,医院方面顾虑医疗数据安全和患者个人隐私泄露,不愿直接开放敏感的医疗数据。
而借助蚂蚁集团的摩斯技术,可将安全计算节点分布式部署在医院域和保险公司理赔服务域,由保险公司将理赔模型和理算规则远程部署在医院域的计算节点上。患者就医后发起理赔,医院端的安全计算节点自动利用理赔申请人的原始就医和处方数据进行本地加密计算,得到相应的理赔结果。
这样,利用创新的技术形成业务和数据闭环,确保了医疗数据安全以及个人隐私安全,可大幅提高理赔效率和准确性,解决“理赔难”的痛点。
郭亮指出,除采用创新技术外,蚂蚁集团非常重视数据在业务过程中的流转和使用的管控技术,做好数据流转链路的刻画和分类分级,进而实现对数据流转过程的风险监测和处置。
例如,密钥对于数据平台、数据库来说至关重要,但研发人员接触到这些密钥时,可能会把它记录在自己的文档里,也可能与别人一起分享,在无意中导致密钥的泄露。
但通过对整体数据的扫描,会发现和识别出关键的密钥,进而对其进行特殊的处理,限制他人的访问。并且,为了使研发人员尽量少接触这些密钥,又能顺利地进行相关开发,技术团队推出了无密钥化安全方案,对这些密钥进行托管,从源头上避免密钥泄露。
南开大学周恩来政府管理学院副教授,数字城市治理实验室主任孙轩指出,解决数据安全保护的问题,应该从管理和技术角度着手。技术层面,通过企业采用的创新技术手段,不断提升数据安全保护能力;管理层面,通过企业的制度、管理设计,以及政府、行业不断完善和出台相应政策、法律法规,为数据安全的建设提供更有力的支撑。
3个人信息保护是企业数据安全的重要课题
除了内部数据,有的企业还拥有大量个人数据。如何保证个人数据安全也是重要课题。
中关村网络安全与信息化产业联盟理事、联盟数据与信息安全智库专家柳遵梁表示,各个行业都存在数据安全风险,尤其是涉及个人隐私数据较多的金融和医疗行业。因为金融和医疗行业预留的信息比较真实、完备,容易被攻击,而且,金融行业涉及钱财,医疗行业涉及生命,一旦发生个人数据泄露事件,破坏影响极大。
因此,对那些拥有个人隐私数据较多的行业和企业来说,个人数据安全保护是重中之重。
可以说,企业收集个人数据和信息最直接的窗口就是App。而很多App却存在收集信息不规范的行为。2021年3月12日工信部点名了136款App,这些应用涉及违规收集个人信息。
郭亮表示,蚂蚁集团高度重视App个人信息保护,在实践中,搭建了涵盖事前、事中、事后的多重保障体系。
比如,在开发“蚂蚁运动App”时,首先,制定了严格的App个人信息保护安全管理制度和开发规范;然后,在App需求分析阶段,开展了隐私保护和数据安全专项评估,评估通过了才开展后续研发。
最重要的是,App上线前阶段,一定会经历静态代码检测和动态沙箱及真机模拟检测,以确保各场景的数据采集合法、正当、必要。例如,程序员在开发时,有时可能由于直接复制某些代码和程序,就顺带了某些个人数据,但经过了静态和动态的检测,这些错误的数据采集就可以被发现。
当然,App上线后也不能放松警惕。通过覆盖全场景的安全切面技术,能够及时发现针对App的异常攻击行为,并进行细粒度的动态安全管控。
除此之外,为了加强个人数据保护,今年蚂蚁集团还推出了“蚂蚁315”消费者权益保护专项行动。由客户权益中心、数据安全团队共同推动,对消费者关心的产品体验问题、营销保护等问题进行整治。
目前,该专项行动已经陆续推出上线消费者权益保障频道、启动内部产品用户满意度考核、治理支付宝内套路营销、在支付宝开放平台推出“商家防跑路套餐”等举措。根据消费者满意度和体验感,不断整治相关问题,对用户满意度不佳的产品功能不断进行改造,来保障消费者权益。
随着《数据安全法》的出台和即将正式实施,企业的数据安全治理之路变得有法可依、有章可循。
郭亮表示,在监管合规方面,关键是如何真正落实这些监管要求。为此,蚂蚁集团成立了合规团队,还建设了监管合规管理平台,持续地追踪各个方面是否满足合规要求。如果存在相关问题,再对其进行优化和调整,尽可能地保障监管要求能够落地实现。
郭亮认为,数据安全是企业的核心发展问题。未来,还会加大数据安全领域的投入,加强与高校的技术合作,并且将自己的数据安全管理和技术经验进行分享和输出,共同推动数据安全产业生态的发展。
文|新京报记者王春蕊