以數據為關鍵要素的數字經濟，正在蓬勃發展。越來越多的企業將數據視為重要資產。同時，隨之而來的數據安全問題與日俱增。

在實踐中，國內企業是如何應對數據安全風險的，采取了哪些保障措施和解決方案？

1 將數據安全管理要求進行量化

近年來，數據的價值凸顯，數據安全風險也越來越受到重視。

中關村網絡安全與信息化產業聯盟副理事長劉曉韜指出，近幾年，數據勒索事件頻發，尤其是數據價值越高的行業，發生越頻繁。比如，金融行業擁有大量的個人交易數據、資產數據，價值非常高，就容易發生黑客入侵。他們不僅盜取數據，售賣數據，甚至對其進行重新加密保護，對企業進行勒索，這已經形成了一個黑色產業鏈。

面對現在層出不窮的數據安全風險，多數企業把數據安全擺在了整個信息安全體系中最重要的位置。但是數據安全的要求紛繁復雜，內部員工特別是研發人員在日常工作中由于缺少對數據安全的理解，或者由于無法判定行為準則，在無意中也會產生安全隱患。

為了解決這些難題，螞蟻集團建立了一個數據安全度量體系，在數據安全治理體系下，對治理能力和安全水位進行量化評估與監控，實現數據安全精細化管理，將相關的數據安全管理要求進行量化。

螞蟻集團數據安全總監、螞蟻安全天塹實驗室負責人郭亮表示，一方面，這可以幫助員工理解管理要求，判斷自己的行為是否滿足當下最新的數據安全管理要求。首先，它將復雜的管理要求，梳理成簡潔清晰可規則化表達的安全基線，使內部人員很輕松地理解這些安全基準。

其次，為了讓員工掌握最新的管理要求，加大了對安全基線的培訓、認證及日常的宣導。基于形勢變化，每半年會調整需要重點宣導的紅線。同時，特別是對研發人員，會組織多次認證考試，以提高從事相關工作的門檻。

另一方面，該體系還能更好地衡量內部數據安全效果，及時發現數據安全風險點。比如，在業務需求階段，安全團隊會詳細評估并提出各類安全要求，但在業務實施過程中，這些要求是否真正被執行、執行到位就難以判斷。這時，該體系就發揮了安全基線的監控和度量作用，實時進行跟蹤和監督。并且，業務實施人員，也可以根據該體系，自我進行判斷某些行為是否正確，及時發現風險問題并更正。

郭亮指出，為了使該體系能發揮最好效果，還成立了專職的審計團隊。在有規范制度的前提下，對不遵守安全要求的行為予以追責。追責的主要目的，是讓相關人員及團隊重視、支持安全工作，一起提升公司的安全水位。

2 采用創新技術，解決“理賠難”痛點

目前，數據安全治理體系更多是偏向于運營、管理層面的優化，而在數據安全治理實踐中，還需要從技術層面防范、杜絕相關風險。

因此，相關企業加強了數據安全的技術創新。比如，螞蟻集團在2019年推出了保護數據安全的摩斯安全計算平臺，在數據不泄露、原始數據不出域的前提下運用先進的區塊鏈、安全多方計算、密碼學、隱私保護等多重技術，保障高效、安全，為行業提供數據安全解決方案。

目前，摩斯安全計算平臺已經在更多的業務場景中得到應用，解決了很多數據安全保護的難題。

比如，傳統的保險理賠過程，商業保險參保人須在就診后將相關表單、醫療收據、病歷等資料收集齊后，提交或上傳給保險公司的理賠平臺，審核通過后才能獲取賠付，整個理賠過程周期長、效率低，并且存在騙賠隱患。

因此，許多保險公司希望與醫院數據直接打通，建立快速賠付通道。然而，醫院方面顧慮醫療數據安全和患者個人隱私泄露，不愿直接開放敏感的醫療數據。

而借助螞蟻集團的摩斯技術，可將安全計算節點分布式部署在醫院域和保險公司理賠服務域，由保險公司將理賠模型和理算規則遠程部署在醫院域的計算節點上?；颊呔歪t后發起理賠，醫院端的安全計算節點自動利用理賠申請人的原始就醫和處方數據進行本地加密計算，得到相應的理賠結果。

這樣，利用創新的技術形成業務和數據閉環，確保了醫療數據安全以及個人隱私安全，可大幅提高理賠效率和準確性，解決“理賠難”的痛點。

郭亮指出，除采用創新技術外，螞蟻集團非常重視數據在業務過程中的流轉和使用的管控技術，做好數據流轉鏈路的刻畫和分類分級，進而實現對數據流轉過程的風險監測和處置。

例如，密鑰對于數據平臺、數據庫來說至關重要，但研發人員接觸到這些密鑰時，可能會把它記錄在自己的文檔里，也可能與別人一起分享，在無意中導致密鑰的泄露。

但通過對整體數據的掃描，會發現和識別出關鍵的密鑰，進而對其進行特殊的處理，限制他人的訪問。并且，為了使研發人員盡量少接觸這些密鑰，又能順利地進行相關開發，技術團隊推出了無密鑰化安全方案，對這些密鑰進行托管，從源頭上避免密鑰泄露。

南開大學周恩來政府管理學院副教授，數字城市治理實驗室主任孫軒指出，解決數據安全保護的問題，應該從管理和技術角度著手。技術層面，通過企業采用的創新技術手段，不斷提升數據安全保護能力；管理層面，通過企業的制度、管理設計，以及政府、行業不斷完善和出臺相應政策、法律法規，為數據安全的建設提供更有力的支撐。

3 個人信息保護是企業數據安全的重要課題

除了內部數據，有的企業還擁有大量個人數據。如何保證個人數據安全也是重要課題。

中關村網絡安全與信息化產業聯盟理事、聯盟數據與信息安全智庫專家柳遵梁表示，各個行業都存在數據安全風險，尤其是涉及個人隱私數據較多的金融和醫療行業。因為金融和醫療行業預留的信息比較真實、完備，容易被攻擊，而且，金融行業涉及錢財，醫療行業涉及生命，一旦發生個人數據泄露事件，破壞影響極大。

因此，對那些擁有個人隱私數據較多的行業和企業來說，個人數據安全保護是重中之重。

可以說，企業收集個人數據和信息最直接的窗口就是App。而很多App卻存在收集信息不規范的行為。2021年3月12日工信部點名了136款App，這些應用涉及違規收集個人信息。

郭亮表示，螞蟻集團高度重視App個人信息保護，在實踐中，搭建了涵蓋事前、事中、事后的多重保障體系。

比如，在開發“螞蟻運動App”時，首先，制定了嚴格的App個人信息保護安全管理制度和開發規范；然后，在App需求分析階段，開展了隱私保護和數據安全專項評估，評估通過了才開展后續研發。

最重要的是，App上線前階段，一定會經歷靜態代碼檢測和動態沙箱及真機模擬檢測，以確保各場景的數據采集合法、正當、必要。例如，程序員在開發時，有時可能由于直接復制某些代碼和程序，就順帶了某些個人數據，但經過了靜態和動態的檢測，這些錯誤的數據采集就可以被發現。

當然，App上線后也不能放松警惕。通過覆蓋全場景的安全切面技術，能夠及時發現針對App的異常攻擊行為，并進行細粒度的動態安全管控。

除此之外，為了加強個人數據保護，今年螞蟻集團還推出了“螞蟻315”消費者權益保護專項行動。由客戶權益中心、數據安全團隊共同推動，對消費者關心的產品體驗問題、營銷保護等問題進行整治。

目前，該專項行動已經陸續推出上線消費者權益保障頻道、啟動內部產品用戶滿意度考核、治理支付寶內套路營銷、在支付寶開放平臺推出“商家防跑路套餐”等舉措。根據消費者滿意度和體驗感，不斷整治相關問題，對用戶滿意度不佳的產品功能不斷進行改造，來保障消費者權益。

隨著《數據安全法》的出臺和即將正式實施，企業的數據安全治理之路變得有法可依、有章可循。

郭亮表示，在監管合規方面，關鍵是如何真正落實這些監管要求。為此，螞蟻集團成立了合規團隊，還建設了監管合規管理平臺，持續地追蹤各個方面是否滿足合規要求。如果存在相關問題，再對其進行優化和調整，盡可能地保障監管要求能夠落地實現。

郭亮認為，數據安全是企業的核心發展問題。未來，還會加大數據安全領域的投入，加強與高校的技術合作，并且將自己的數據安全管理和技術經驗進行分享和輸出，共同推動數據安全產業生態的發展。

文|新京報記者 王春蕊