360杜躍進ISC演講:每個企業(yè)都要有數(shù)據(jù)安全官
“如果大數(shù)據(jù)殺熟、侵犯用戶隱私等數(shù)據(jù)安全問題不能得到控制,數(shù)字經(jīng)濟的整個社會秩序便會受到影響。”7月28日,三六零(601360.SH,下稱“360”)集團副總裁、首席安全官、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室常務副主任杜躍進博士,在ISC 2021數(shù)據(jù)安全與隱私保護戰(zhàn)略峰會上作題為《數(shù)據(jù)安全與人才培養(yǎng)》的演講。
杜躍進指出,數(shù)據(jù)安全,是當前最恐慌、最混亂的新問題,企業(yè)不能假裝看不見當前數(shù)據(jù)被濫用、被誤用等數(shù)據(jù)安全問題。
“在此背景下,數(shù)據(jù)安全專業(yè)人員將成為保障企業(yè)或組織數(shù)據(jù)安全與依法合規(guī)的關(guān)鍵因素。”杜躍進表示,每個企業(yè)都需要數(shù)據(jù)安全官,以提升企業(yè)數(shù)據(jù)安全整體能力,并以達到保障數(shù)據(jù)安全效果為最終目標。
(360集團副總裁、首席安全官、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室常務副主任杜躍進博士)
大數(shù)據(jù)殺熟也是一種數(shù)據(jù)濫用
“數(shù)據(jù)安全,是當前最恐慌、最混亂的新問題。”在杜躍進看來,數(shù)據(jù)安全不是傳統(tǒng)數(shù)據(jù)文件保密、數(shù)據(jù)版權(quán)保護、數(shù)據(jù)庫安全等,更不是大數(shù)據(jù)平臺安全、云計算安全和傳統(tǒng)網(wǎng)絡信息系統(tǒng)安全,而是大數(shù)據(jù)和智能化時代下,從不同視角關(guān)注的數(shù)據(jù)防竊取/破壞、防濫用和防誤用。
具體來說,數(shù)據(jù)破壞,即黑客潛入其他主體的電腦,對文件加密、竊取或者刪除;數(shù)據(jù)濫用,即別人的個人隱私或信息在自己手里,自己違背別人的意愿訪問或使用這些信息,危害別人的利益;數(shù)據(jù)誤用,即擁有大數(shù)據(jù)的主體對大數(shù)據(jù)的使用方法不當,導致隱私泄露等用戶權(quán)益受損。
杜躍進舉例說,如果擁有數(shù)據(jù)的企業(yè),因為某個消費者消費高,便將同一個商品漲價30%售賣給他,便侵犯了消費者利益,這就是大數(shù)據(jù)殺熟,其本質(zhì)也是一種數(shù)據(jù)濫用,也在客觀上讓消費者遭受了不公平待遇。
“如果企業(yè)等機構(gòu)不能控制濫用和誤用數(shù)據(jù)等安全風險,用戶就無法放心。普通老百姓都很關(guān)注這件事情,監(jiān)管部門對此也有回應,企業(yè)等機構(gòu)不能假裝沒看見。”杜躍進指出。
而從不同視角來看,數(shù)據(jù)安全面臨不同的問題。比如,在電商平臺購物,從個人視角來看,注冊信息以及購物相關(guān)行為數(shù)據(jù)構(gòu)成消費者隱私,從企業(yè)視角來看,涉及企業(yè)利益問題,從監(jiān)管視角來看,一定情況下則涉及國家安全問題。因此,如果大數(shù)據(jù)殺熟、侵犯用戶隱私等數(shù)據(jù)濫用和誤用問題不能得到控制,消費者、企業(yè)、監(jiān)管部門相互之間不能放心,數(shù)字經(jīng)濟的整個社會秩序便會受到影響。
圍繞真實場景迭代數(shù)據(jù)安全解決方案
傳統(tǒng)的數(shù)據(jù)安全概念和方案已經(jīng)不適用于數(shù)字經(jīng)濟時代的數(shù)據(jù)安全,需要新理念和新框架。
杜躍進指出,技術(shù)上,要跳出傳統(tǒng)IT安全的限制,從“以系統(tǒng)為中心”,轉(zhuǎn)到“以數(shù)據(jù)為中心”;管理上,要改變原來自上而下的單一模式,從特定行業(yè)的強化“管理”方式,轉(zhuǎn)到面對普遍問題的多方“治理”模式,建立多方參與的數(shù)據(jù)安全治理生態(tài);機制上,要調(diào)整只會處罰的一刀切做法,從“處罰一招鮮”,轉(zhuǎn)到有處罰有激勵有幫助,充分調(diào)動積極性。
“同時,解決數(shù)字經(jīng)濟時代的數(shù)據(jù)安全問題不能閉門造車,一定要從產(chǎn)業(yè)中來,到產(chǎn)業(yè)中去,在產(chǎn)業(yè)實踐中找問題、找方法,并不斷迭代和完善。”杜躍進舉例稱,數(shù)字經(jīng)濟的技術(shù)和業(yè)務依然在快速發(fā)展變化,不同行業(yè)不同企業(yè)中數(shù)據(jù)是什么形態(tài)、如何應用的有很多不同,在這些場景中究竟面臨哪些數(shù)據(jù)安全威脅和風險也在快速變化,黑灰產(chǎn)規(guī)模龐大人數(shù)眾多,對這些內(nèi)容沒有充分了解,就難以找到真正科學有效的數(shù)據(jù)安全應對方案。因此,對數(shù)字經(jīng)濟時代的數(shù)據(jù)安全問題,亟需各行各業(yè)總結(jié)經(jīng)驗,包括亟需將安全公司與攻擊者對抗的經(jīng)驗進行總結(jié)提煉,并再運用到產(chǎn)業(yè)中去。
此外,僅靠安全產(chǎn)業(yè)界現(xiàn)有的力量是遠遠不夠的,要開放創(chuàng)新,建立數(shù)據(jù)安全生態(tài),從而廣泛依靠社會力量共同探索,才能提高數(shù)據(jù)安全水平,提高數(shù)據(jù)安全整體能力。
快速變化和充滿不確定性將伴隨數(shù)字工業(yè)革命時代,要適應這個特點,應遵循場景為王,并保持持續(xù)迭代。“所有的研究都不能停留在理論證明層面,而是要圍繞真實的場景和問題,依靠真實的效果評價進行檢驗,并且要保持快速迭代和改進。”杜躍進表示。
每個企業(yè)都要有數(shù)據(jù)安全官
“安全不僅是技術(shù)問題已經(jīng)成為常識,但是對組織和管理的要求卻經(jīng)常被忽略。”杜躍進指出,目前很多企業(yè)給出的數(shù)據(jù)安全方案中忽略了組織和管理的部分,并解釋了為什么數(shù)據(jù)安全能力成熟度標準(DSMM)中的能力要素專門增加了“組織建設(shè)”的部分:構(gòu)建能力的要素一般共識是技術(shù)、人員、流程(含資源),但數(shù)字經(jīng)濟時代的數(shù)據(jù)安全必須“以組織為單位”,組織中的數(shù)據(jù)安全設(shè)計必須考慮到數(shù)據(jù)安全組織結(jié)構(gòu)的匹配問題,否則就無法保證數(shù)據(jù)安全能力體系的良好實踐。
數(shù)據(jù)安全問題當前最緊迫的問題是人才不足,一個組織的數(shù)據(jù)安全能力也離不開組織中人員的能力,在企業(yè)內(nèi)設(shè)計數(shù)據(jù)安全崗位勢在必行,國家法律其實也提出了要求。杜躍進表示,該崗位需要理解法律要求、業(yè)務情況、數(shù)據(jù)安全風險和技術(shù)等,按照數(shù)據(jù)在組織內(nèi)的生命周期進行梳理,并根據(jù)不同的數(shù)據(jù)生命周期階段的安全需求,對可能涉及的崗位的數(shù)據(jù)安全能力作出不同要求。
因此,數(shù)據(jù)安全官也將成為企業(yè)的必要崗位。在杜躍進博士看來,數(shù)據(jù)安全官相當于“數(shù)據(jù)風險的治理者”,要負責統(tǒng)籌規(guī)劃數(shù)據(jù)安全戰(zhàn)略目標,協(xié)調(diào)各部門共同協(xié)作進行體系化建設(shè),以提升組織的數(shù)據(jù)安全整體能力,并以達到保障數(shù)據(jù)安全效果為最終目標。
在此背景下,數(shù)據(jù)安全人才能力培養(yǎng)成為當前數(shù)據(jù)安全領(lǐng)域最緊迫的問題。據(jù)悉,大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室已聯(lián)合廣泛的合作伙伴,充分吸取產(chǎn)業(yè)界的經(jīng)驗,推出注冊數(shù)據(jù)安全官、注冊數(shù)據(jù)安全工程師、DSMM(數(shù)據(jù)安全能力成熟度模型)測評師三類人才培訓。
此外,杜躍進博士現(xiàn)場宣布,中國計算機學會大數(shù)據(jù)與計算智能大賽(CCF-BDCI)組委會、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室將聯(lián)合360集團,首度開設(shè)“CCF大數(shù)據(jù)與計算智能大賽大安全專題賽道“數(shù)字安全公開賽”,圍繞數(shù)據(jù)安全、人工智能安全、工業(yè)互聯(lián)網(wǎng)安全等方向,持續(xù)開展開放創(chuàng)新活動。大賽將于8月22日正式開賽,用眾研眾創(chuàng)的生態(tài)力量,尋找真問題,探尋最優(yōu)解,開放數(shù)據(jù)集,共建大生態(tài),也為社會發(fā)現(xiàn)更多高質(zhì)量數(shù)據(jù)安全人才。
實際上,《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和將發(fā)布的《個人信息保護法》等法規(guī)標準早已對數(shù)據(jù)安全人才培養(yǎng)、人員能力提出明確要求,尤其是《數(shù)據(jù)安全法》指出,重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任。擁有專業(yè)的數(shù)據(jù)安全管理和技術(shù)人才,將成為現(xiàn)代企業(yè)不可或缺的重要安全保障。
