以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，正在蓬勃發(fā)展。越來(lái)越多的企業(yè)將數(shù)據(jù)視為重要資產(chǎn)。同時(shí)，隨之而來(lái)的數(shù)據(jù)安全問(wèn)題與日俱增。

在實(shí)踐中，國(guó)內(nèi)企業(yè)是如何應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的，采取了哪些保障措施和解決方案？

1 將數(shù)據(jù)安全管理要求進(jìn)行量化

近年來(lái)，數(shù)據(jù)的價(jià)值凸顯，數(shù)據(jù)安全風(fēng)險(xiǎn)也越來(lái)越受到重視。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟副理事長(zhǎng)劉曉韜指出，近幾年，數(shù)據(jù)勒索事件頻發(fā)，尤其是數(shù)據(jù)價(jià)值越高的行業(yè)，發(fā)生越頻繁。比如，金融行業(yè)擁有大量的個(gè)人交易數(shù)據(jù)、資產(chǎn)數(shù)據(jù)，價(jià)值非常高，就容易發(fā)生黑客入侵。他們不僅盜取數(shù)據(jù)，售賣數(shù)據(jù)，甚至對(duì)其進(jìn)行重新加密保護(hù)，對(duì)企業(yè)進(jìn)行勒索，這已經(jīng)形成了一個(gè)黑色產(chǎn)業(yè)鏈。

面對(duì)現(xiàn)在層出不窮的數(shù)據(jù)安全風(fēng)險(xiǎn)，多數(shù)企業(yè)把數(shù)據(jù)安全擺在了整個(gè)信息安全體系中最重要的位置。但是數(shù)據(jù)安全的要求紛繁復(fù)雜，內(nèi)部員工特別是研發(fā)人員在日常工作中由于缺少對(duì)數(shù)據(jù)安全的理解，或者由于無(wú)法判定行為準(zhǔn)則，在無(wú)意中也會(huì)產(chǎn)生安全隱患。

為了解決這些難題，螞蟻集團(tuán)建立了一個(gè)數(shù)據(jù)安全度量體系，在數(shù)據(jù)安全治理體系下，對(duì)治理能力和安全水位進(jìn)行量化評(píng)估與監(jiān)控，實(shí)現(xiàn)數(shù)據(jù)安全精細(xì)化管理，將相關(guān)的數(shù)據(jù)安全管理要求進(jìn)行量化。

螞蟻集團(tuán)數(shù)據(jù)安全總監(jiān)、螞蟻安全天塹實(shí)驗(yàn)室負(fù)責(zé)人郭亮表示，一方面，這可以幫助員工理解管理要求，判斷自己的行為是否滿足當(dāng)下最新的數(shù)據(jù)安全管理要求。首先，它將復(fù)雜的管理要求，梳理成簡(jiǎn)潔清晰可規(guī)則化表達(dá)的安全基線，使內(nèi)部人員很輕松地理解這些安全基準(zhǔn)。

其次，為了讓員工掌握最新的管理要求，加大了對(duì)安全基線的培訓(xùn)、認(rèn)證及日常的宣導(dǎo)?；谛蝿?shì)變化，每半年會(huì)調(diào)整需要重點(diǎn)宣導(dǎo)的紅線。同時(shí)，特別是對(duì)研發(fā)人員，會(huì)組織多次認(rèn)證考試，以提高從事相關(guān)工作的門檻。

另一方面，該體系還能更好地衡量?jī)?nèi)部數(shù)據(jù)安全效果，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)。比如，在業(yè)務(wù)需求階段，安全團(tuán)隊(duì)會(huì)詳細(xì)評(píng)估并提出各類安全要求，但在業(yè)務(wù)實(shí)施過(guò)程中，這些要求是否真正被執(zhí)行、執(zhí)行到位就難以判斷。這時(shí)，該體系就發(fā)揮了安全基線的監(jiān)控和度量作用，實(shí)時(shí)進(jìn)行跟蹤和監(jiān)督。并且，業(yè)務(wù)實(shí)施人員，也可以根據(jù)該體系，自我進(jìn)行判斷某些行為是否正確，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)問(wèn)題并更正。

郭亮指出，為了使該體系能發(fā)揮最好效果，還成立了專職的審計(jì)團(tuán)隊(duì)。在有規(guī)范制度的前提下，對(duì)不遵守安全要求的行為予以追責(zé)。追責(zé)的主要目的，是讓相關(guān)人員及團(tuán)隊(duì)重視、支持安全工作，一起提升公司的安全水位。

2 采用創(chuàng)新技術(shù)，解決“理賠難”痛點(diǎn)

目前，數(shù)據(jù)安全治理體系更多是偏向于運(yùn)營(yíng)、管理層面的優(yōu)化，而在數(shù)據(jù)安全治理實(shí)踐中，還需要從技術(shù)層面防范、杜絕相關(guān)風(fēng)險(xiǎn)。

因此，相關(guān)企業(yè)加強(qiáng)了數(shù)據(jù)安全的技術(shù)創(chuàng)新。比如，螞蟻集團(tuán)在2019年推出了保護(hù)數(shù)據(jù)安全的摩斯安全計(jì)算平臺(tái)，在數(shù)據(jù)不泄露、原始數(shù)據(jù)不出域的前提下運(yùn)用先進(jìn)的區(qū)塊鏈、安全多方計(jì)算、密碼學(xué)、隱私保護(hù)等多重技術(shù)，保障高效、安全，為行業(yè)提供數(shù)據(jù)安全解決方案。

目前，摩斯安全計(jì)算平臺(tái)已經(jīng)在更多的業(yè)務(wù)場(chǎng)景中得到應(yīng)用，解決了很多數(shù)據(jù)安全保護(hù)的難題。

比如，傳統(tǒng)的保險(xiǎn)理賠過(guò)程，商業(yè)保險(xiǎn)參保人須在就診后將相關(guān)表單、醫(yī)療收據(jù)、病歷等資料收集齊后，提交或上傳給保險(xiǎn)公司的理賠平臺(tái)，審核通過(guò)后才能獲取賠付，整個(gè)理賠過(guò)程周期長(zhǎng)、效率低，并且存在騙賠隱患。

因此，許多保險(xiǎn)公司希望與醫(yī)院數(shù)據(jù)直接打通，建立快速賠付通道。然而，醫(yī)院方面顧慮醫(yī)療數(shù)據(jù)安全和患者個(gè)人隱私泄露，不愿直接開放敏感的醫(yī)療數(shù)據(jù)。

而借助螞蟻集團(tuán)的摩斯技術(shù)，可將安全計(jì)算節(jié)點(diǎn)分布式部署在醫(yī)院域和保險(xiǎn)公司理賠服務(wù)域，由保險(xiǎn)公司將理賠模型和理算規(guī)則遠(yuǎn)程部署在醫(yī)院域的計(jì)算節(jié)點(diǎn)上?；颊呔歪t(yī)后發(fā)起理賠，醫(yī)院端的安全計(jì)算節(jié)點(diǎn)自動(dòng)利用理賠申請(qǐng)人的原始就醫(yī)和處方數(shù)據(jù)進(jìn)行本地加密計(jì)算，得到相應(yīng)的理賠結(jié)果。

這樣，利用創(chuàng)新的技術(shù)形成業(yè)務(wù)和數(shù)據(jù)閉環(huán)，確保了醫(yī)療數(shù)據(jù)安全以及個(gè)人隱私安全，可大幅提高理賠效率和準(zhǔn)確性，解決“理賠難”的痛點(diǎn)。

郭亮指出，除采用創(chuàng)新技術(shù)外，螞蟻集團(tuán)非常重視數(shù)據(jù)在業(yè)務(wù)過(guò)程中的流轉(zhuǎn)和使用的管控技術(shù)，做好數(shù)據(jù)流轉(zhuǎn)鏈路的刻畫和分類分級(jí)，進(jìn)而實(shí)現(xiàn)對(duì)數(shù)據(jù)流轉(zhuǎn)過(guò)程的風(fēng)險(xiǎn)監(jiān)測(cè)和處置。

例如，密鑰對(duì)于數(shù)據(jù)平臺(tái)、數(shù)據(jù)庫(kù)來(lái)說(shuō)至關(guān)重要，但研發(fā)人員接觸到這些密鑰時(shí)，可能會(huì)把它記錄在自己的文檔里，也可能與別人一起分享，在無(wú)意中導(dǎo)致密鑰的泄露。

但通過(guò)對(duì)整體數(shù)據(jù)的掃描，會(huì)發(fā)現(xiàn)和識(shí)別出關(guān)鍵的密鑰，進(jìn)而對(duì)其進(jìn)行特殊的處理，限制他人的訪問(wèn)。并且，為了使研發(fā)人員盡量少接觸這些密鑰，又能順利地進(jìn)行相關(guān)開發(fā)，技術(shù)團(tuán)隊(duì)推出了無(wú)密鑰化安全方案，對(duì)這些密鑰進(jìn)行托管，從源頭上避免密鑰泄露。

南開大學(xué)周恩來(lái)政府管理學(xué)院副教授，數(shù)字城市治理實(shí)驗(yàn)室主任孫軒指出，解決數(shù)據(jù)安全保護(hù)的問(wèn)題，應(yīng)該從管理和技術(shù)角度著手。技術(shù)層面，通過(guò)企業(yè)采用的創(chuàng)新技術(shù)手段，不斷提升數(shù)據(jù)安全保護(hù)能力；管理層面，通過(guò)企業(yè)的制度、管理設(shè)計(jì)，以及政府、行業(yè)不斷完善和出臺(tái)相應(yīng)政策、法律法規(guī)，為數(shù)據(jù)安全的建設(shè)提供更有力的支撐。

3 個(gè)人信息保護(hù)是企業(yè)數(shù)據(jù)安全的重要課題

除了內(nèi)部數(shù)據(jù)，有的企業(yè)還擁有大量個(gè)人數(shù)據(jù)。如何保證個(gè)人數(shù)據(jù)安全也是重要課題。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事、聯(lián)盟數(shù)據(jù)與信息安全智庫(kù)專家柳遵梁表示，各個(gè)行業(yè)都存在數(shù)據(jù)安全風(fēng)險(xiǎn)，尤其是涉及個(gè)人隱私數(shù)據(jù)較多的金融和醫(yī)療行業(yè)。因?yàn)榻鹑诤歪t(yī)療行業(yè)預(yù)留的信息比較真實(shí)、完備，容易被攻擊，而且，金融行業(yè)涉及錢財(cái)，醫(yī)療行業(yè)涉及生命，一旦發(fā)生個(gè)人數(shù)據(jù)泄露事件，破壞影響極大。

因此，對(duì)那些擁有個(gè)人隱私數(shù)據(jù)較多的行業(yè)和企業(yè)來(lái)說(shuō)，個(gè)人數(shù)據(jù)安全保護(hù)是重中之重。

可以說(shuō)，企業(yè)收集個(gè)人數(shù)據(jù)和信息最直接的窗口就是App。而很多App卻存在收集信息不規(guī)范的行為。2021年3月12日工信部點(diǎn)名了136款A(yù)pp，這些應(yīng)用涉及違規(guī)收集個(gè)人信息。

郭亮表示，螞蟻集團(tuán)高度重視App個(gè)人信息保護(hù)，在實(shí)踐中，搭建了涵蓋事前、事中、事后的多重保障體系。

比如，在開發(fā)“螞蟻運(yùn)動(dòng)App”時(shí)，首先，制定了嚴(yán)格的App個(gè)人信息保護(hù)安全管理制度和開發(fā)規(guī)范；然后，在App需求分析階段，開展了隱私保護(hù)和數(shù)據(jù)安全專項(xiàng)評(píng)估，評(píng)估通過(guò)了才開展后續(xù)研發(fā)。

最重要的是，App上線前階段，一定會(huì)經(jīng)歷靜態(tài)代碼檢測(cè)和動(dòng)態(tài)沙箱及真機(jī)模擬檢測(cè)，以確保各場(chǎng)景的數(shù)據(jù)采集合法、正當(dāng)、必要。例如，程序員在開發(fā)時(shí)，有時(shí)可能由于直接復(fù)制某些代碼和程序，就順帶了某些個(gè)人數(shù)據(jù)，但經(jīng)過(guò)了靜態(tài)和動(dòng)態(tài)的檢測(cè)，這些錯(cuò)誤的數(shù)據(jù)采集就可以被發(fā)現(xiàn)。

當(dāng)然，App上線后也不能放松警惕。通過(guò)覆蓋全場(chǎng)景的安全切面技術(shù)，能夠及時(shí)發(fā)現(xiàn)針對(duì)App的異常攻擊行為，并進(jìn)行細(xì)粒度的動(dòng)態(tài)安全管控。

除此之外，為了加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)，今年螞蟻集團(tuán)還推出了“螞蟻315”消費(fèi)者權(quán)益保護(hù)專項(xiàng)行動(dòng)。由客戶權(quán)益中心、數(shù)據(jù)安全團(tuán)隊(duì)共同推動(dòng)，對(duì)消費(fèi)者關(guān)心的產(chǎn)品體驗(yàn)問(wèn)題、營(yíng)銷保護(hù)等問(wèn)題進(jìn)行整治。

目前，該專項(xiàng)行動(dòng)已經(jīng)陸續(xù)推出上線消費(fèi)者權(quán)益保障頻道、啟動(dòng)內(nèi)部產(chǎn)品用戶滿意度考核、治理支付寶內(nèi)套路營(yíng)銷、在支付寶開放平臺(tái)推出“商家防跑路套餐”等舉措。根據(jù)消費(fèi)者滿意度和體驗(yàn)感，不斷整治相關(guān)問(wèn)題，對(duì)用戶滿意度不佳的產(chǎn)品功能不斷進(jìn)行改造，來(lái)保障消費(fèi)者權(quán)益。

隨著《數(shù)據(jù)安全法》的出臺(tái)和即將正式實(shí)施，企業(yè)的數(shù)據(jù)安全治理之路變得有法可依、有章可循。

郭亮表示，在監(jiān)管合規(guī)方面，關(guān)鍵是如何真正落實(shí)這些監(jiān)管要求。為此，螞蟻集團(tuán)成立了合規(guī)團(tuán)隊(duì)，還建設(shè)了監(jiān)管合規(guī)管理平臺(tái)，持續(xù)地追蹤各個(gè)方面是否滿足合規(guī)要求。如果存在相關(guān)問(wèn)題，再對(duì)其進(jìn)行優(yōu)化和調(diào)整，盡可能地保障監(jiān)管要求能夠落地實(shí)現(xiàn)。

郭亮認(rèn)為，數(shù)據(jù)安全是企業(yè)的核心發(fā)展問(wèn)題。未來(lái)，還會(huì)加大數(shù)據(jù)安全領(lǐng)域的投入，加強(qiáng)與高校的技術(shù)合作，并且將自己的數(shù)據(jù)安全管理和技術(shù)經(jīng)驗(yàn)進(jìn)行分享和輸出，共同推動(dòng)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)的發(fā)展。

文|新京報(bào)記者 王春蕊