行业资讯 >> 行业资讯详情

杜跃进:大数据时代下的数据安全治理

发布时间:2019-11-01作者:阅读次数: 分享到:

如今互联网的发展离不开数据,网络加上数据,才构成有价值的互联网。互联网基础设施如同一个人的血管系统,而数据则是在这个系统里流动的血液提供营养。即便血管都是联通的,可是血液被分割在不同的地方不能流动,那也是没意义的。当然,血液也就是数据不能随意流动,而必须是正常有序地流动。

数据安全如今在全球都受到极大的关注,大家都在讨论这个话题。但什么是数据安全、该如何保护数据安全等基本问题,还存在很多混乱甚至误解。带着这些问题我们采访了阿里巴巴集团技术副总裁杜跃进,围绕当前数据安全相关的一些基本概念进行探讨。

杜跃进提到,人们正在以安全的名义制定各种保守的数据政策,这些政策有可能导致数据最终无法有效地流动起来。如果一直这样下去,同样会导致互联网的碎片化。而这种碎片化的结果,会导致互联网这个人类的“通天高塔”计划再次失败,即我们正在爆发的各个领域潜力无穷的创新会被遏制、我们造福世界特别是待发展地区人们的各种普惠发展机会被阻碍、甚至我们用今天的技术实现自身安全的显著改进也会停滞不前。

“数据安全”而非“大数据安全”

如今我们讨论的数据安全和过去相比有了很大区别。现今数据本身存在的形式、产生方式以及使用模式都和过去完全不同。在过去你手里的数据可能仅属于你个人,数据的使用方式也比较简单,数据本身也只是用来做一些存储或者信息化的内容。所以过去我们在保护数据的时候所涉及的仅仅是完整性、可用性以及保密性。

但随着科学技术和数字应用的发展,数据的形式和种类变得更加多样,呈现出碎片化的形式。而且如今我们要保护的数据不仅是自己的,你手中可能有属于合作伙伴的数据、可能还涉及到用户的个人信息,这些都不仅仅是属于你个人的数据。所以只保证了自己的数据安全是远远不够的,还要解决的问题包括这些数据不应该被非法地滥用和盗取、应该用于用户许可的正当目的等。

在大数据时代数据不断地分散并且在快速地流动,在这个过程中数据发挥的价值和过去也不尽相同。过去信息化是用计算机技术提高效率,但在今天数据可以改变生产模式和流程,通过数据化的加工,实现精准化服务和个性化服务。在此过程中,会不会侵犯到他人的权益、是否侵犯了个人隐私,这都是以前没有遇到过的问题,也都是大数据时代下所面临的数据安全问题。用一句话概括和比喻就是“旧瓶装新酒”,我们今天所探讨的数据安全,既不是说大数据本身的安全,也不是说传统数据安全的概念,这是一个全新的内容。

对于大数据产业的发展来说,安全才是产业发展的前提。但今天大多数人在对解决数据安全问题的方法和思路上都是有误解的。大数据时代下的数据安全是一个全新的问题,无法简单地用原来的安全方法来解决。这主要体现在以下两个层面。一是不能用“以系统为中心的安全”思路解决问题。以系统为中心的安全是大家熟悉的安全方法,例如看某个软件、某个服务器或某个手机终端安全与否。主要是看这些系统在各种人为干预下是否会出现与预期设计不符合的功能,从而导致运行状态失控。如今,数据要在不同的系统之间流动,若某个系统出了问题,可能影响到当时在这个系统中的数据,包括被窃取。但这些数据也可能在别的系统中出问题。数据本身并不存在运行状态,数据出问题的概念和系统出问题的概念也不同。两者的关系有点像医院里“心血管科”和“血液科”一样,前者解决的是血液循环系统本身的安全运转正常,后者则是要保障血液自己的安全。两者显然有关系,但又有很大不同。单个系统的安全并不等价于数据的安全,系统被入侵也不等于数据一定会被偷走,每个系统都固若金汤也不等于数据就不会被滥用或误用。解决数据自身的安全问题,需要切换到“以数据为中心”的安全思路上来。

二是不能用传统的“数据安全”方法解决问题。数据安全是最古老的安全概念。但是原来的概念和方法已经远远不适应于今天的情况了。因此,在解决数据安全问题的方法上,需要我们重新建立对数据安全真正的理解,我们所要保护的是数据防内外部窃取以及数据本身如何使用等问题。但现如今我们更多的是试图把过去保护信息系统的方法,用来等同于保护数据安全,这样的方法其实是不对的。需要将重心转移到真正以数据为中心的安全上,而不能套用过去的方法。

在政策和规则的制定上面,也面临很多困扰,大家都认为数据是重要的战略资源,所以很多政策就想要捂住数据,如果把数据比作是血液就容易理解这样的政策只会让血液不流通。如果政策让大家只背负责任而没有收益,那也没有人愿意产生数据,相当于造血出问题了。所以首先大家要真正地改变对数据安全的认知,在新的轨道上来研究,如何在技术方法上、在产品上、在政策标准上,能够制定出真正适合于今天的要解决数据安全问题的方法和路径,这是现在解决数据安全最迫切的问题。

在今天的大数据环境下保护数据安全与传统的安全领域一样,从用户的角度来说维护自身数据安全可做的事情甚少,能做的最多就是提高自己的安全意识,然后懂得哪些是用户的基本权益。

但是从产业界和政府能做的却非常多。从产业界来说首先也还是观念,你要知道你所拥有的数据不一定都属于你,你要保护的数据可能包括你的上下游合作伙伴,可能包括消费者。所以首先要改变意识,不能打擦边球。政府也尽快要有相应的法律法规政策出台,特别重要的是不能为了保护数据安全而把产业扼杀掉。

对于企业和政府部门来说,人人都说数据拥有宝贵的价值以及作用。但为什么当数据可以产生价值的时候却跟数据贡献者和所有者并没有任何关系,未来企业和组织在数据使用共享流转产生价值的过程中,更应该考虑自己的权利是什么。当我自己的知识产权、数据资产等被侵犯的时候,有没有相关的法律来保护我。目前探讨和意识到这个问题的人很少,但面对这些问题如何解决其实现在已经越来越迫切了。

“数据安全”不仅仅是防窃取

现在很多人说的数据安全问题实际仅仅是实际要解决的问题的一小部分。从用户的角度来看,当前数据安全至少包括以下三方面问题。一是数据被窃取,即担心自己的数据被坏人偷走。实际上坏人可能从外面偷数据,也可能从内部偷数据。按照以往安全行业的基本共识,来自外界的安全威胁只占1/3左右,2/3的安全威胁是从组织内部发起的。根据我们的调查,在一些特定行业中内鬼窃取数据的比例还要更高。然而目前依然有很多人把防范外部数据窃取作为数据防窃取的全部内容,而忽视对来自内部的攻击应对。仅仅强调用户侧应用软件的安全、数据通信过程加密、防火墙设大门等,以为门外管好就行了,这是远远不够的。

二是数据被滥用,即用户对拥有数据的服务方不放心,担心它们会滥用自己的数据。用户的数据在服务提供方那里,它们的员工会不会滥用权限、随便访问用户数据?他们会不会因为好奇或者朋友要求去看某个用户的个人信息?他们会不会把用户的个人信息倒卖出去?与通过内部网络攻击窃取数据的行为不同,这里说的是服务方工作人员在授权范围内从事了不符合业务场景的数据访问。例如,用户要求客服帮忙,客服人员在这种场景下访问该用户的数据解决其问题,这是正常的业务场景。但是如果没有用户请求,客服人员擅自访问用户数据,就属于滥用行为。在大数据时代,数据和业务都在高频产生和变化,若对每一次数据访问行为都重新进行权限申请与审核,将直接扼杀业务,用户也无法接受这样的效率。因此数据安全的工作需要包括对数据滥用行为的识别、报警甚至阻止,并且有制度保障对实施滥用行为的员工进行严厉制裁。从目前曝光的数据黑灰产案件中看到,大量案件都是通过买通内部人员滥用数据权限进行数据倒卖的,而这些情况都是案发之后才被调查发现,说明这方面能力的欠缺。

三是数据被误用,即在大数据加工使用的过程中会不会侵犯用户利益,也就是很多人谈之色变的“用户画像”、“精准营销”等。在各种描绘大数据给人类带来美好机会的故事中,实际上都离不开精准的个性化服务。而这些故事已经在金融、健康、医疗、教育等很多领域中开始切实发生,甚至制造领域也在快马加鞭地发展,未来所有的领域都会走到这一天。这种精准的个性化服务背后其实就是“用户画像”、“精准营销”这些大数据加工技术。技术本身是中立的,关键在于技术被如何应用。“精准营销”是被用来“杀熟”还是用来更好地满足用户的个性化需求?“用户画像”是用在支持个性化服务或者保护用户安全,还是用在满足其他不良动机?在大数据分析加工的过程中,有没有人能够从中窥探到某个特定人的个人信息或者隐私?这些是防误用的内容。当前的技术和管理总体上能够控制大数据加工过程中的误用,使人们在享受大数据带来的好处的同时,把危险关在笼子里。但是现实中,还有很多企业和组织在发展的过程中忽略了这个问题,让用户感到大数据是个恐怖的恶魔。数据防误用的问题,现在被关注得更少。

除此以外,还有数据的污染,利用数据造假来影响数字经济,甚至是来破坏非常重要系统的决策等问题。

数据安全需要强调治理而非管理

数据安全需要强调治理而非管理,这里说的管理,指的是根据事务的规律制定一整套规则,然后自上而下进行规则的执行落地,控制系统达到预期状态。而治理指的是找到若干关键抓手和基本逻辑,调动多方力量和资源形成某种协同或者生态,通过社会协同引导整个系统达到预期状态。大数据时代下的数据安全治理无法使用传统的管理模式达到目标,必须走协同治理的道路。

全社会所有的行业都在进行数字化转型,一切都将步入数据驱动,数据将成为所有领域的基本生产资料。因此数据安全问题也将涉及所有行业,并且涉及产品、业务、人员、共享机制等,并不是某个垂直领域的知识或者某个层面的单一方法就可以解决的。如果按照过去管理某个垂直特定行业的方式,设立若干部门自上而下进行管理,不但成本无法承担,效率也无法适应今天的实际情况。因此,政府、行业、企业、安全、第三方机构等需要发挥各自优势形成有效的配合,才能建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。



本文转载自北京商报,如有侵权请联系删除



服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1