以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟，正在蓬勃發(fā)展。越來越多的企業(yè)將數(shù)據(jù)視為重要資產(chǎn)。同時，隨之而來的數(shù)據(jù)安全問題與日俱增。

在實踐中，國內(nèi)企業(yè)是如何應(yīng)對數(shù)據(jù)安全風(fēng)險的，采取了哪些保障措施和解決方案？

1 將數(shù)據(jù)安全管理要求進行量化

近年來，數(shù)據(jù)的價值凸顯，數(shù)據(jù)安全風(fēng)險也越來越受到重視。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟副理事長劉曉韜指出，近幾年，數(shù)據(jù)勒索事件頻發(fā)，尤其是數(shù)據(jù)價值越高的行業(yè)，發(fā)生越頻繁。比如，金融行業(yè)擁有大量的個人交易數(shù)據(jù)、資產(chǎn)數(shù)據(jù)，價值非常高，就容易發(fā)生黑客入侵。他們不僅盜取數(shù)據(jù)，售賣數(shù)據(jù)，甚至對其進行重新加密保護，對企業(yè)進行勒索，這已經(jīng)形成了一個黑色產(chǎn)業(yè)鏈。

面對現(xiàn)在層出不窮的數(shù)據(jù)安全風(fēng)險，多數(shù)企業(yè)把數(shù)據(jù)安全擺在了整個信息安全體系中最重要的位置。但是數(shù)據(jù)安全的要求紛繁復(fù)雜，內(nèi)部員工特別是研發(fā)人員在日常工作中由于缺少對數(shù)據(jù)安全的理解，或者由于無法判定行為準(zhǔn)則，在無意中也會產(chǎn)生安全隱患。

為了解決這些難題，螞蟻集團建立了一個數(shù)據(jù)安全度量體系，在數(shù)據(jù)安全治理體系下，對治理能力和安全水位進行量化評估與監(jiān)控，實現(xiàn)數(shù)據(jù)安全精細(xì)化管理，將相關(guān)的數(shù)據(jù)安全管理要求進行量化。

螞蟻集團數(shù)據(jù)安全總監(jiān)、螞蟻安全天塹實驗室負(fù)責(zé)人郭亮表示，一方面，這可以幫助員工理解管理要求，判斷自己的行為是否滿足當(dāng)下最新的數(shù)據(jù)安全管理要求。首先，它將復(fù)雜的管理要求，梳理成簡潔清晰可規(guī)則化表達的安全基線，使內(nèi)部人員很輕松地理解這些安全基準(zhǔn)。

其次，為了讓員工掌握最新的管理要求，加大了對安全基線的培訓(xùn)、認(rèn)證及日常的宣導(dǎo)。基于形勢變化，每半年會調(diào)整需要重點宣導(dǎo)的紅線。同時，特別是對研發(fā)人員，會組織多次認(rèn)證考試，以提高從事相關(guān)工作的門檻。

另一方面，該體系還能更好地衡量內(nèi)部數(shù)據(jù)安全效果，及時發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險點。比如，在業(yè)務(wù)需求階段，安全團隊會詳細(xì)評估并提出各類安全要求，但在業(yè)務(wù)實施過程中，這些要求是否真正被執(zhí)行、執(zhí)行到位就難以判斷。這時，該體系就發(fā)揮了安全基線的監(jiān)控和度量作用，實時進行跟蹤和監(jiān)督。并且，業(yè)務(wù)實施人員，也可以根據(jù)該體系，自我進行判斷某些行為是否正確，及時發(fā)現(xiàn)風(fēng)險問題并更正。

郭亮指出，為了使該體系能發(fā)揮最好效果，還成立了專職的審計團隊。在有規(guī)范制度的前提下，對不遵守安全要求的行為予以追責(zé)。追責(zé)的主要目的，是讓相關(guān)人員及團隊重視、支持安全工作，一起提升公司的安全水位。

2 采用創(chuàng)新技術(shù)，解決“理賠難”痛點

目前，數(shù)據(jù)安全治理體系更多是偏向于運營、管理層面的優(yōu)化，而在數(shù)據(jù)安全治理實踐中，還需要從技術(shù)層面防范、杜絕相關(guān)風(fēng)險。

因此，相關(guān)企業(yè)加強了數(shù)據(jù)安全的技術(shù)創(chuàng)新。比如，螞蟻集團在2019年推出了保護數(shù)據(jù)安全的摩斯安全計算平臺，在數(shù)據(jù)不泄露、原始數(shù)據(jù)不出域的前提下運用先進的區(qū)塊鏈、安全多方計算、密碼學(xué)、隱私保護等多重技術(shù)，保障高效、安全，為行業(yè)提供數(shù)據(jù)安全解決方案。

目前，摩斯安全計算平臺已經(jīng)在更多的業(yè)務(wù)場景中得到應(yīng)用，解決了很多數(shù)據(jù)安全保護的難題。

比如，傳統(tǒng)的保險理賠過程，商業(yè)保險參保人須在就診后將相關(guān)表單、醫(yī)療收據(jù)、病歷等資料收集齊后，提交或上傳給保險公司的理賠平臺，審核通過后才能獲取賠付，整個理賠過程周期長、效率低，并且存在騙賠隱患。

因此，許多保險公司希望與醫(yī)院數(shù)據(jù)直接打通，建立快速賠付通道。然而，醫(yī)院方面顧慮醫(yī)療數(shù)據(jù)安全和患者個人隱私泄露，不愿直接開放敏感的醫(yī)療數(shù)據(jù)。

而借助螞蟻集團的摩斯技術(shù)，可將安全計算節(jié)點分布式部署在醫(yī)院域和保險公司理賠服務(wù)域，由保險公司將理賠模型和理算規(guī)則遠程部署在醫(yī)院域的計算節(jié)點上。患者就醫(yī)后發(fā)起理賠，醫(yī)院端的安全計算節(jié)點自動利用理賠申請人的原始就醫(yī)和處方數(shù)據(jù)進行本地加密計算，得到相應(yīng)的理賠結(jié)果。

這樣，利用創(chuàng)新的技術(shù)形成業(yè)務(wù)和數(shù)據(jù)閉環(huán)，確保了醫(yī)療數(shù)據(jù)安全以及個人隱私安全，可大幅提高理賠效率和準(zhǔn)確性，解決“理賠難”的痛點。

郭亮指出，除采用創(chuàng)新技術(shù)外，螞蟻集團非常重視數(shù)據(jù)在業(yè)務(wù)過程中的流轉(zhuǎn)和使用的管控技術(shù)，做好數(shù)據(jù)流轉(zhuǎn)鏈路的刻畫和分類分級，進而實現(xiàn)對數(shù)據(jù)流轉(zhuǎn)過程的風(fēng)險監(jiān)測和處置。

例如，密鑰對于數(shù)據(jù)平臺、數(shù)據(jù)庫來說至關(guān)重要，但研發(fā)人員接觸到這些密鑰時，可能會把它記錄在自己的文檔里，也可能與別人一起分享，在無意中導(dǎo)致密鑰的泄露。

但通過對整體數(shù)據(jù)的掃描，會發(fā)現(xiàn)和識別出關(guān)鍵的密鑰，進而對其進行特殊的處理，限制他人的訪問。并且，為了使研發(fā)人員盡量少接觸這些密鑰，又能順利地進行相關(guān)開發(fā)，技術(shù)團隊推出了無密鑰化安全方案，對這些密鑰進行托管，從源頭上避免密鑰泄露。

南開大學(xué)周恩來政府管理學(xué)院副教授，數(shù)字城市治理實驗室主任孫軒指出，解決數(shù)據(jù)安全保護的問題，應(yīng)該從管理和技術(shù)角度著手。技術(shù)層面，通過企業(yè)采用的創(chuàng)新技術(shù)手段，不斷提升數(shù)據(jù)安全保護能力；管理層面，通過企業(yè)的制度、管理設(shè)計，以及政府、行業(yè)不斷完善和出臺相應(yīng)政策、法律法規(guī)，為數(shù)據(jù)安全的建設(shè)提供更有力的支撐。

3 個人信息保護是企業(yè)數(shù)據(jù)安全的重要課題

除了內(nèi)部數(shù)據(jù)，有的企業(yè)還擁有大量個人數(shù)據(jù)。如何保證個人數(shù)據(jù)安全也是重要課題。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事、聯(lián)盟數(shù)據(jù)與信息安全智庫專家柳遵梁表示，各個行業(yè)都存在數(shù)據(jù)安全風(fēng)險，尤其是涉及個人隱私數(shù)據(jù)較多的金融和醫(yī)療行業(yè)。因為金融和醫(yī)療行業(yè)預(yù)留的信息比較真實、完備，容易被攻擊，而且，金融行業(yè)涉及錢財，醫(yī)療行業(yè)涉及生命，一旦發(fā)生個人數(shù)據(jù)泄露事件，破壞影響極大。

因此，對那些擁有個人隱私數(shù)據(jù)較多的行業(yè)和企業(yè)來說，個人數(shù)據(jù)安全保護是重中之重。

可以說，企業(yè)收集個人數(shù)據(jù)和信息最直接的窗口就是App。而很多App卻存在收集信息不規(guī)范的行為。2021年3月12日工信部點名了136款A(yù)pp，這些應(yīng)用涉及違規(guī)收集個人信息。

郭亮表示，螞蟻集團高度重視App個人信息保護，在實踐中，搭建了涵蓋事前、事中、事后的多重保障體系。

比如，在開發(fā)“螞蟻運動App”時，首先，制定了嚴(yán)格的App個人信息保護安全管理制度和開發(fā)規(guī)范；然后，在App需求分析階段，開展了隱私保護和數(shù)據(jù)安全專項評估，評估通過了才開展后續(xù)研發(fā)。

最重要的是，App上線前階段，一定會經(jīng)歷靜態(tài)代碼檢測和動態(tài)沙箱及真機模擬檢測，以確保各場景的數(shù)據(jù)采集合法、正當(dāng)、必要。例如，程序員在開發(fā)時，有時可能由于直接復(fù)制某些代碼和程序，就順帶了某些個人數(shù)據(jù)，但經(jīng)過了靜態(tài)和動態(tài)的檢測，這些錯誤的數(shù)據(jù)采集就可以被發(fā)現(xiàn)。

當(dāng)然，App上線后也不能放松警惕。通過覆蓋全場景的安全切面技術(shù)，能夠及時發(fā)現(xiàn)針對App的異常攻擊行為，并進行細(xì)粒度的動態(tài)安全管控。

除此之外，為了加強個人數(shù)據(jù)保護，今年螞蟻集團還推出了“螞蟻315”消費者權(quán)益保護專項行動。由客戶權(quán)益中心、數(shù)據(jù)安全團隊共同推動，對消費者關(guān)心的產(chǎn)品體驗問題、營銷保護等問題進行整治。

目前，該專項行動已經(jīng)陸續(xù)推出上線消費者權(quán)益保障頻道、啟動內(nèi)部產(chǎn)品用戶滿意度考核、治理支付寶內(nèi)套路營銷、在支付寶開放平臺推出“商家防跑路套餐”等舉措。根據(jù)消費者滿意度和體驗感，不斷整治相關(guān)問題，對用戶滿意度不佳的產(chǎn)品功能不斷進行改造，來保障消費者權(quán)益。

隨著《數(shù)據(jù)安全法》的出臺和即將正式實施，企業(yè)的數(shù)據(jù)安全治理之路變得有法可依、有章可循。

郭亮表示，在監(jiān)管合規(guī)方面，關(guān)鍵是如何真正落實這些監(jiān)管要求。為此，螞蟻集團成立了合規(guī)團隊，還建設(shè)了監(jiān)管合規(guī)管理平臺，持續(xù)地追蹤各個方面是否滿足合規(guī)要求。如果存在相關(guān)問題，再對其進行優(yōu)化和調(diào)整，盡可能地保障監(jiān)管要求能夠落地實現(xiàn)。

郭亮認(rèn)為，數(shù)據(jù)安全是企業(yè)的核心發(fā)展問題。未來，還會加大數(shù)據(jù)安全領(lǐng)域的投入，加強與高校的技術(shù)合作，并且將自己的數(shù)據(jù)安全管理和技術(shù)經(jīng)驗進行分享和輸出，共同推動數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)的發(fā)展。

文|新京報記者 王春蕊