返回
近日,工业和信息化部、国家互联网信息办公室等十六部门联合印发《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》(以下简称《指导意见》)。

国投智能美亚柏科网络安全联合实验室高级专家陈志飞、林山就《指导意见》的相关热点问题进行了解答,并重点介绍了美亚柏科目前在数据安全建设方面的情况及相关优势和能力。

出台背景

数据是经济发展的重要生产要素和核心引擎,数据安全已成为我国总体国家安全观的重要组成部分。发展数据安全产业对于提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础有着重要意义。党的十八大以来,党中央、国务院高度重视数据安全工作,习近平总书记多次作出重要指示批示,《数据安全法》《个人信息保护法》相继颁布实施,国家数据安全工作协调机制正式建立,数据安全被赋予新的时代意义,发展数据安全产业既是数字经济社会发展趋势使然,也是新时代使命使然。为指导产业各方主体积极、有序开展数据安全产业发展相关工作,共同推动数据安全产业高质量发展,工业和信息化部与国家互联网信息办公室等十六个部门联合出台《指导意见》。 

整体解读

《指导意见》的总体考虑:其一,贯彻《数据安全法》,落实国家数据安全工作协调机制工作的部署。其二,多维度分层次地明确数据安全产业发展的任务。其三,营造良好的数据安全产业生态,保障产业持续的发展。

企业主要关注安全、可信、合规。合规即法律法规对企业的约束,监管部门对企业的监督管理,尤其是存储了大量数据的互联网企业。

此外,传统的网络安全监管部门,例如公安,对企业也有新的要求。目前,市面上很多传统数据安全厂商的标准产品满足不了新业务应用的要求,如对大数据组件的支撑等。美亚柏科在与互联网厂家做深入合作的时候发现多数厂商的痛点在于无法平衡业务与安全。所以在数据安全的新产品研发方面,多数厂家又在同一个起跑线上,而美亚柏科在大数据方面有比较大的先天优势。

Q1:网络安全和数据安全,有何差异性?

在宏观层面,网络安全主要保障网络运行安全;数据安全主要保障数据全生命周期的安全。

在微观层面,网络安全的解决方案主要涉及网络和云层面的安全防护,如传统的网络安全防火墙、防病毒、堡垒机、抗DDOS攻击等,美亚柏科有相应解决方案。而大数据项目离不开网络安全。在大数据层面,美亚柏科有安全大脑等大数据相关的成熟产品和集成。

数据安全主要是数据全生命周期的安全,《数据安全法》、《个人信息保护法》、《工业和信息化领域数据安全管理办法(试行)》都提到数据的全生命周期,但是范围逐步扩大。
•    在《数据安全法》里提到关于数据的全生命周期主要包括数据的“收集、存储、使用、加工、传输、提供、公开”,有7个环节;
•    在《个人信息保护法》里,增加了“删除”,有8个环节;
•    在《工业和信息化领域数据安全管理办法(试行)》里,又把数据的“出境、转移、委托”等环节列入。
每个环节对应不同的路线,针对不同的行业领域也会有不同的解决方案。

目前,美亚柏科的产品已经覆盖了数据全生命周期的各个环节,包括数据的分类分级、加密、脱敏、数据库防火墙、审计等。以互联网企业为例,互联网主要的应用都在云端,所以网络安全主要保障云端的安全,即保障网络不被人攻击、渗透。数据安全层面则会更精细,从数据的收集开始,便涉及数据安全。比如,数据采集是否经过个人同意,数据存储是否透明,敏感信息是否脱敏,主要信息是否要加密等等都是数据安全层面,其解决方案也很丰富、广泛。

Q2:《指导意见》列举了一些优先推进的行业或者具体的领域,未来数据安全领域的哪些行业会推进和落地得更快?

以疫情期间为例,大量的数据收集主要集中在公安、大数据局、卫健等部门,因此政务大数据、互联网行业会推进得更快。近年来,由于触碰了《数据安全法》和《网络安全法》,针对互联网企业的处罚也不胜枚举。随着处罚的增多,互联网企业的数据安全推出进度也会更快一些。

美亚柏科早已布局,特别是在公安、互联网领域,有对应的产品和实战案例,相信通过美亚柏科的技术能力和经验积累,在未来的数据安全领域我们有先发优势,必将成为行业的领先者。

Q3:在数据安全领域哪些新的技术方向值得关注?

《指导意见》提到提升产业的创新能力,主要是数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术,加强隐私计算、数据流转分析等关键技术攻关。在技术层面,美亚柏科数据安全相关技术积累深厚:
一是大数据原生数据安全技术
二是人工智能技术识别数据是否存在敏感信息及数据的分类分级;
三是国投智能美亚柏科网络安全联合实验室推出的元数据驱动技术
四是数据的协议解析还原技术,主要用在数据的流转分析,以分析网络链路的数据是否存在违规情况;
五是美亚柏科核心且成熟的密码技术

未来,美亚柏科和国投美亚柏科网络安全联合实验室将进一步增强在隐私计算,联邦学习和安全多方计算等方面的预研性投入,研究技术和业务的结合点并推出相应产品。

数据全生命周期的数据安全治理是数据安全较为核心的内容。目前市面上,多数厂商只提供相关数据安全产品,但是真正的数据安全还是大数据公司的事,大数据系统是否安全应该是大数据公司要一并承担的,而非传统企业买个防火墙就能解决。数据安全与业务是强关联的,所以需要大数据应用公司去做这些数据安全。此外,数据安全要从被动到主动,不依赖网络防火墙去解决,而要依靠研发的零信任产品的过程检测,从数据全生命周期的层面去解决数据安全。

在业务层面,美亚柏科也在研究数据出境相应的政策法规,主要为数据出境的监管者提供技术支撑,例如提供数据出境检查工具箱、备案平台、分析平台。对于数据拥有者,即数据生产者,如果数据要出境,美亚柏科可以提供数据出境安全保护的工具箱和工具盒子,用来审查审计,避免后续出现违规的行为。

Q4:美亚柏科在网络安全零信任技术方面的研发情况和具体应用案例是什么?

零信任有相应的标准,应用在不同行业的差异大。

在公安侧,零信任不是以用户对象为导向,而是以任务为导向。所以美亚柏科研发系统是以任务为导向,案件发生后赋予相应办案人员权限,解决数据使用的安全问题。

在政企侧,零信任以用户为导向,例如总经理可以看到任何员工的薪酬,职位决定数据权限。

 

美亚柏科在上述两套系统中花费了很多研发投入,已成熟应用在美亚柏科体系内的子公司。

Q5美亚柏科与美图在互联网企业的数据安全合规合作方面有何建设经验分享?

美图技术总监在“互联网企业数据安全合规建设”主题沙龙上,多角度剖析目前与美亚柏科合作探索的数据安全领域的成果,对美亚柏科的产品及服务给予肯定。其中,美亚柏科的“数网”产品在美图业务中落地验证。

 
美亚柏科与美图公司就企业数据安全达成战略合作

中国科协教授刘利钊也对美图的数据安全建设成果给予了高度的评价。在全国走访众多互联网企业后,他认为在互联网企业中,美图做得首屈一指。这与美亚柏科分不开,美图提供试验田,即环境,美亚柏科提供对政策的理解、对技术的深入研究,并研发出产品,赋能美图。双方合作实现双赢:美图主要解决安全合规的问题,美亚柏科通过美图的实验室环境的打磨数据安全相关产品,比如数据资产识别、分类分级、脱敏、加密等。

根据目前的市场调研结果来看,很多企业还在观望,一方面是在政策上还未出台具体的实施指南。另一方面在于有些企业不知道怎么做,以及企业也不具备建设条件。所以美亚柏科在对接企业时都建议其先从数据的分类分级、资产梳理着手,因为等到监管部门要对企业进行检查的时候,企业如果才开始做建设,周期往往会拖得比较长,整改时间仓促。从法律法规层面来讲,也鼓励各个行业的相关单位去大胆尝试。所以企业提前进行数据安全建设肯定有好处。

Q6:美亚柏科的网络安全业务与数据安全业务怎样协同打通?

作为网络空间安全与社会治理领域国家队,近年,美亚柏科结合了大数据和网络安全能力打造“一中心两体系”。从产品的维度来看,“一中心”指网络安全大数据中心,主要是应用大数据技术来解决网络安全和数据安全问题。两体系包含零信任体系和网络安全体系。

零信任体系主要以数据安全为核心,即数据治理的全生命周期安全,包括数据收集、存储、使用、加工、传输等环节,目前美亚柏科的产品都已经覆盖了全生命周期。其中,存储环节已经用到大数据,所以美亚柏科的产品不仅是传统的关系数据库,也支持大数据组件等,在业界内较有竞争力。
在传统的网络安全体系方面,美亚柏科在提供综合的解决方案方面优势突出。网络安全也是系统信息化建设的一部分,之前国家发文提到网络安全的投入不能低于信息化总额度的5%,实际占比甚至达10–15%。目前,这部分也是一个很大的市场。美亚柏科既提供解决方案,也有对应的产品。

大数据公司需要业务的应用场景。在技术上,美亚柏科深耕公安大数据二十余年,公安大数据对数据安全的要求较之其他行业更高,而美亚柏科很多的技术是公安大数据业务剥离出来的,大数据技术以及其应用都是通用的,因此美亚柏科的产品能很快适应互联网企业的业务模式,并能得到很高的评价。在场景结合上,美亚柏科的技术应用到互联网企业时,首先需要考虑的是与互联网企业业务结合的问题。美亚柏科与美图签订的战略合作协议,主要目的是使得美亚柏科的技术在美图的应用场景中碰撞出更适合互联网行业使用的产品,这也是美亚柏科的主要优势。

大数据时代,数据在各个领域发挥重要作用,相关政策的不断出炉,让我国的数据安全产业全面迈入高质量发展阶段。作为国投集团数字经济板块的重要企业,集大数据和网络安全于一身的美亚柏科将秉承“数据更智能,网络更安全”的企业使命,始终做国家数据安全的务实探索者,为网络强国建设贡献力量!