無邊界網絡時代數據安全如何做到無懈可擊

侯彬炳

這兩年，國家對安全合規的要求越來越高，對于掌握大量用戶信息的企業來說，必須嚴格按照相關要求，進行分級分類保護，在法律框架規范內進行數據共享、使用和傳輸。

那么，國家為什么要狠抓網絡安全，尤其特別重視數據安全？

“這都是數字化轉型帶來的結果，不僅是中國，在全世界，各個行業都把安全看成是數字經濟發展的基石?！敝袊畔f會信息安全專委會副主任李京春認為，數據成為新動能，是重要的生產要素，相應的法律法規必須與時俱進，才能進一步規范和推動數據要素市場的培育和數據產業鏈的形成。

前不久，2022數據安全技術大會暨中國信息協會信息安全專業委員會年會在北京成功召開。在北京市通信管理局和北京經濟技術開發區管委會指導下，本次大會由中國信息協會信息安全專業委員會主辦，由中國信息協會信息安全專業委員會數據安全技術工作部和北京天空衛士網絡安全技術有限公司聯合承辦，逾3 000家企業線上參與，嘉賓、用戶、廠商以“線上+線下”的方式奏響數據安全最強音。會議期間，李京春李主任發表了重要講話，并就數據安全相關話題接受了專業媒體采訪。

無規矩不成方圓

如今，不管是國家，還是企業，都把數據看成是黃金、石油，如果不加以治理，難免會出現負面影響，甚至是重大損失。在李京春看來，有些企業在利益的驅使下，非常有可能會沖破道德底線，掠奪數據，或者去竊取數據。所以，數據不再是簡單的原始數據的一次性使用，一定要在滿足數據安全需求的前提下，進行數據積累、數據治理以及數據使用。

目前，從行業數據安全整體現狀來看，還處于初級階段。雖然，我國數字經濟發展很快，也取得了很多可喜的成績，但許多行業、個人信息保護和數據安全保護的整體能力仍然處在保護不規范、不充分、不全面、不徹底的狀態，亟待加強合規性、安全性、完整性、可用性、可控性的保護和數據安全治理。而《網絡安全法》《數據安全法》《個人信息保護法》相繼實施，等于有了與需求相配套的可操作、可落地的基礎標準規范，通過一些試點、示范案例來落實法律法規要求，可以形成符合全社會、全行業利益的數據安全治理制度與體系。

另外，國際環境復雜多變，網絡安全已不是每家企業、每個人的事，而是已上升為國家戰略，必須全面加強安全保護。同時，網絡安全不但要保護數據和信息本身，也要關注數據和信息訪問的主體和客體的安全。比如人、社會、程序，誰能訪問數據，哪個設備能讀取數據，哪個程序能啟動數據等，這些都需要有身份認證，這是主體安全。而承載數據和信息的客體是什么？這需要關注承載客體的安全，小到內存、文件，大到系統、平臺，這些都是客體。

值得一提的是，網絡安全不只網絡本身，而是網絡空間安全，更具體的定義是信息安全，其中涵蓋了數據安全。隨著互聯網邊界的擴展，傳統的信息安全概念也變小了，所以有人提出全面的網絡安全應該覆蓋到網絡空間、賽博空間的安全。所以，今天的網絡安全是一個大IT網絡概念，除了傳統網絡，還包括聲、光、電、磁及其他類型的網絡數據傳輸。比如，對聲波傳輸的反竊聽，電力載波的對抗，都是現代化的網絡戰最典型特征。涉及到數據層面，除了計算機的數據、互聯網的數據，未來還有元宇宙數據。在物理世界跟虛擬世界互通、互操作過程中產生的數據，也是數據安全保護的核心內容。

簡單理解，數據和信息安全保護，并不是一個新課題，數據治理只是數據全生命周期中的基礎性工作。但時代不同，數據安全保護策略也在變革，必須采用與之匹配的法律體系和更先進的技術，滿足新應用發展需求。但現在看，數據安全保護任重道遠，還不夠充分、全面、規范、徹底。相信隨著法律法規的完善以及各種新技術、新手段的出現，這種境遇會逐步改善！

數據安全處理自動化

對于有著大量個人信息的企業來說，要想合理合法運營業務，必須提升數據安全意識，構建以人和數據為中心的安全架構。

“公司從2015年成立就一直深耕數據安全領域，提倡以人為中心構建數據安全體系。”在天空衛士合伙人兼高級技術總監楊明非看來，要想對數據進行有效管理和分類，需要采用自動化的手段，解決負責的業務場景和流程問題。

天空衛士最新發布的多維度數據防泄露解決方案，最典型特征就是自動化理念，具體包括數據分類分級的自動化、數據安全處理的自動化，以及應用場景層面的行為分析自動化。

第一，數據分類分級的自動化。是指圍繞數據分類分級，對不同價值的數據采取不同的保護方式和手段，并且通過自動化手段去簡化復雜流程，通過發現、掃描等方式，對相應的數據進行聚類，然后輸出聚類的特征，或者給出一些自動分類分級的建議，整個過程都在自動化的平臺上完成。不管企業的數據是在數據庫、文件存儲，還是在個人終端電腦上，都可以在盡量少的人工參與的情況下，完成對數據分類分級的識別。

第二，數據安全處理的自動化?？梢栽跀祿芷谶M行，包括從數據創建開始，到后期的存儲、使用和傳輸，用戶可以對數據進行標記、權限設置、審計動作，還可以進行可視化管理，了解數據的最終流向。用戶能在各個網絡節點、個人終端節點，包括一些關鍵的業務節點，捕獲或者分析數據。

第三，應用場景層面的行為分析自動化。要想做到以人為中心，以數據為中心，就需要對人的行為進行分析，去處理問題。通過人工智能技術，用戶可以在正常事件中找到潛在的異常點。

當然，安全問題是一個綜合型的問題，我們不能“頭疼醫頭、腳疼醫腳”，在網絡、終端、云這種無邊界的網絡環境下，數據安全風險無處不在。不管公司數據、個人數據還是國家數據，可能在不經意間，就通過手機、電腦、iPad或者通過云端泄露出去。

所以，天空衛士的處理模式是采用統一的、成體系化的數據安全策略，包括數據分類分級的識別，分類分級的保護，數據的加密、脫敏、標簽，圍繞數據形成一個保護層，這是第一層。在這個保護層之上，是數據的通路層，包括外部訪問入口、郵件、手機、終端等應用的整個體系，不管數據來自哪個通路，都可以進行流量的截獲或者處理，這是第二層。在最外層，再形成一個網絡安全威脅保護層，阻止對數據可能會產生危害的病毒、木馬、惡意鏈接的侵入，包括對各種各樣的APT攻擊、釣魚或者垃圾郵件的有效攔截。通過3層立體式防護，可以全面確保數據安全。

其中，統一管控平臺將發揮重要價值，可以對所有通路和數據安全設備統一下發策略，并根據行為分析技術，把中間的數據安全通路產生的數據進行一個完整的行為分析，發現可能潛在的風險和威脅。

以智能汽車場景為例，在汽車網聯化、自動化、智能化的趨勢下，汽車網絡安全、數據安全已成為汽車交通安全的重要延伸，跟交通安全相伴相隨，密不可分。除了關注傳統汽車領域涉及的交通安全、駕駛安全、人身安全等問題，如何全面關注車端網絡安全、數據安全？

“車企需要提高網絡安全和數據安全意識，加強網絡安全和數據安全合規管理，確保合規采集、使用、存儲車輛數據。嚴格保護用戶隱私數據，平衡數據流通與泄露風險，使智能網聯汽車產業能健康快速發展?！闭缋罹┐豪钪魅卧谄嚪终搲裕刈o智能汽車數據安全不只是車企的責任，更需要多方主體共同發力，讓數據能流轉起來，共享起來，應用起來。通過海量數據處理，能夠幫助車企有效分析駕乘人員的使用習慣，進而及時安全提醒輔助駕駛，不斷更新迭代新功能，打造出更多、更完美的新產品。

總之，安全無小事，只有做到數據安全的無懈可擊，才能充分發揮數據價值，享受數字化轉型帶來的成果。