在信息化浪潮下,傳統產業數字化轉型方興未艾,網絡安全問題也得到了更多關注。隨著《網絡安全法》《數據安全法》《個人信息保護法》相繼公布并實施,企業如何保障數字化轉型安全成為必解課題。
11 月 14 日,國家互聯網信息辦公室發布關于《網絡數據安全管理條例(征求意見稿)》公開征求意見的通知。通知指出,為落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律關于數據安全管理的規定,規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益,根據國務院 2021 年立法計劃,國家互聯網信息辦公室會同相關部門研究起草《網絡數據安全管理條例(征求意見稿)》,現向社會公開征求意見。意見反饋截止時間為 2021 年 12 月 13 日。
《網絡數據安全管理條例(征求意見稿)》(以下簡稱“征求意見稿”)共包含 75 條條例,對包括數據泄露、自動化工具(如爬蟲)、大數據殺熟、人臉識別等在內的數據安全問題提出了更明確的參考法規。日前,InfoQ 邀請到 Zilliz 研發效能高級經理沈立彬為我們解讀數字化轉型下的數據安全問題。Zilliz 是一家開源基礎軟件公司,專注于研發非結構化數據庫系統,為各種 AI 應用提供數據基礎設施。
1
《網絡數據安全管理條例》擬落地,意味著什么?
《網絡安全法》《數據安全法》《個人信息保護法》這三大上位法搭建了我國數據合規的主要法律架構,也是我國網絡安全與數據合規領域的基礎性法律。如果用軟件來進行類比,三大上位法相當于軟件架構,承載了軟件的整體脈絡和大方向,但卻不夠細化,在執行上缺少具體的參照。而《網絡數據安全管理條例》的出臺則恰恰補足了這一點。
首先在執行層面上,《網絡數據安全管理條例》中的很多條款都是在具象實施路徑,對三大上位法中未明確的數字做了進一步明確要求。比如征求意見稿第十三條中規定,處理一百萬人以上個人信息的數據處理者赴國外上市的數據處理者,應當按照國家有關規定,申報網絡安全審查;第三十九條規定,數據處理者向境外提供數據應當存留相關日志記錄和數據出境審批記錄三年以上。
其次,《網絡數據安全管理條例》在上位法的基礎上做了很多原則上的細化。比如《個人信息保護法》第五條規定,處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。征求意見稿第十九條就對此做了進一步的明確規定,逐條闡釋了合法、正當、必要:
數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基于個人同意處理個人信息的,應當滿足以下要求:(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;(二)限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式;(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
在沈立彬看來,《網絡數據安全管理條例》擬落地對個人和企業都將產生深遠的影響。
對個人而言,個人基礎信息數據可以得到充分的保障,能夠越來越清楚地知道自己的信息為何被采集、哪些信息被采集、被采集的信息如何被使用、信息是否提供給第三方等。在過去,缺少相關法律的明確制約,一些公司游走在黑灰產的邊緣,致使用戶信息被泄露,嚴重影響用戶個人生活和人身財產安全。而隨著《網絡數據安全管理條例》的落地,這一亂象也將得到相應治理。
對企業而言,既有上位法的基本框架,又有條例的具體指導,企業需要做的就是積極學習,依據相關合規要求加快整改。同時也需要認識到,市場將不再野蠻式增長,資本不能凌駕于數據安全之上,有數據風險的企業一定會面臨巨大的監管和處罰壓力。
在短期內,企業必定會增加合規建設的投入,包括資金、人力、時間等成本。但是從長期來看,這些法律法規將引導我國數據安全體系在未來有一個相對清晰的演進路線,幫助企業合規、合法使用數據,同時又能保護用戶的個人利益。
在技術層面上,沈立彬認為一些行業以及細分領域將迎來新的機遇。“數據安全及隱私保護處在新的風口上,整個行業將會投入更多的精力和資源來建設。對于加密,密碼技術,認證技術、脫敏技術、存儲技術等都會有較大的促進作用,同時也帶來合規、咨詢等安全服務產業的發展。”
2
構建非結構化數據安全解決方案
當前,隨著企業數字化轉型進程加快,新技術和新架構的演進也給企業的數據安全帶來更高的要求。沈立彬表示,目前企業在數據安全方面通常面臨以下挑戰:
首先是資源投入的問題。對于一些業務型的中小企業來說,本身技術投入不足,對數據的合規治理會產生較大挑戰。
其次,對于有能力進行合規改造的企業而言,業務部門的交付速度和基礎部門因合規建設帶來的延遲也是難以調和的矛盾。
再者,一些企業的軟件研發人員長期忽視數據安全,進行合規建設之后,會產生一個自以為的“工程師文化”和規范的流程 / 規則之間的矛盾。
另一方面,據 IDC 預測,2018 年到 2025 年之間,全球產生的數據量將會從 33 ZB 增長到 175 ZB,其中超過 80% 的數據都會是非結構化數據。如果說結構化數據是機器可讀的數據,那么非結構化數據就是人類可讀的數據,由人類活動所產生,包括圖片、視頻、語音和文字等。
相比于傳統的結構化數據和半結構化數據,非結構化數據數據量龐大(總量大 3 個數量級以上),增長速度更快(每 1KB 結構化數據產生的同時,約有 1GB 非結構化數據產生),并且采集渠道廣泛,數據的處理鏈路非常長。這些都給非結構化數據的安全防護帶來挑戰。
數據的安全解決方案是一系列的流程 + 規范 + 技術的綜合保障。沈立彬認為,在構建非結構化數據的安全解決方案時,應先著重解決其當前面臨的問題。“非結構化數據的處理有一個核心的矛盾點是,數據處理者(業務方)有海量的數據和數據價值挖掘的需求,但是這些業務型企業的技術投入往往不足。因此這類企業在構建數據安全解決方案時,需要積極引入整個生命周期內不同角色的解決方案來協同工作。”
以數據防泄露為例,一些科技企業在做非結構化數據安全建設時普遍會考慮在內部環境上部署 DLP(Data loss prevention) 解決方案,一般會從使用狀態下、存儲狀態下和傳輸狀態下的泄密幾個方面來進行保護。整個鏈接較長,并且相對復雜。因此,很多數據處理者會選擇采用基礎軟件服務商提供的私有部署或者 SaaS 服務的能力,既不需要在基礎安全能力建設上大幅投入,又能獲得數據安全合規的保障。
“很多硅谷科技公司都是依賴這種模式,比如蘋果做手機、電腦,它的技術能力很強,但它在做日志分析的時候,并不是自己養個一百人或幾百人的團隊來做這件事情,而是每年花幾千萬美金去采購成熟的日志分析的解決方案。”沈立彬說道。
作為一家 toB 的基礎數據軟件供應商,沈立彬坦言 Zilliz 身上的責任會更重。“我們的任何一個小問題都會給我們的客戶帶來巨大的麻煩,因為這些客戶都是企業級客戶,每個都可能在服務著成千上萬,甚至億級別的企業和個人用戶。”為了能更好地支持下游生態企業在數據合規方面的建設,這也就要求基礎軟件提供商在產品和技術層面進一步加強合規建設。
3
AI 為網絡安全開辟新的可能性
近年來,AI 技術在越來越多的領域發揮作用,并為數據安全合規帶來了新的解題思路。
有數據顯示,僅 2021 年上半年,勒索軟件攻擊就達到了 3.047 億次,打破了 2020 年全年的攻擊總數(3.046 億次),同比增長 151%。與之相對應的是,企業在安全團隊上的投入并沒有增長 151%。
“在此背景下,AI 正在為網絡安全開辟新的可能性。AI 會分析大量數據以加快響應時間,并賦能資源有限的安全團隊。”沈立彬介紹道。
AI 會通過數十億個攻擊數據或漏洞數據進行訓練,使用機器學習和深度學習技術來提高其認知,讓機器能夠“理解”不斷變化的網絡安全威脅。通過收集漏洞,并使用高級推理,AI 可以識別威脅之間的關系,例如惡意文件、可疑 IP 地址或內部人員。
“通過利用 AI + 大數據,可能只需要幾秒鐘,最多幾分鐘就可以分析出來,讓安全分析師對威脅的響應速度提高幾十倍,并為過度緊張的 IT 團隊節省了寶貴的時間來專注于其他關鍵領域。”
今年 4 月,英國網絡安全初創公司 Darktrace 成功上市,也證明了網絡安全人工智能在檢測復雜的在線攻擊方面頗受歡迎。在國內,也有很多安全廠商積極引入 AI 技術,為安全監測能力賦能。
公開信息顯示,Ziiliz 開發的面向 AI 非結構化數據處理的開源向量數據庫 Milvus 已在 2020 年交由 Linux 基金會旗下的 LF AI & DATA 基金會托管,目前在全球范圍內有超過 1000 家企業在使用 Milvus 構建上層的 AI 應用。
“Milvus 本身是開源產品,對數據安全方面的一些系統 (開源或者閉源) 有著天生的優良的互操作性和兼容性。同時我們也建設了完善的日志、metric 等機制,確保服務的調用和數據的流轉都是可以被審計的。”下一步,Zilliz 將發布向量數據庫的托管服務 (DBaaS),在幫助客戶大幅減小總體擁有成本 TCO(Total Cost of Ownership) 的同時,進一步幫助數據使用方解決數據安全合規問題。
4
寫在最后
隨著企業數字化轉型不斷深入,沈立彬認為數據安全領域分工合作是長遠的趨勢。
基礎軟件提供商負責底層可用性、安全性、完整性方面的保障,業務方需要采購相關咨詢服務進行定期審計。在合規的前提下,數據可以有效的進行流通,換取更多的價值。而對于開發者而言,在技術技能之外,也需要具備一定的數據安全合規意識。
