在信息化浪潮下,传统产业数字化转型方兴未艾,网络安全问题也得到了更多关注。随着《网络安全法》《数据安全法》《个人信息保护法》相继公布并实施,企业如何保障数字化转型安全成为必解课题。
11月14日,国家互联网信息办公室发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。通知指出,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,国家互联网信息办公室会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2021年12月13日。
《网络数据安全管理条例(征求意见稿)》(以下简称“征求意见稿”)共包含75条条例,对包括数据泄露、自动化工具(如爬虫)、大数据杀熟、人脸识别等在内的数据安全问题提出了更明确的参考法规。日前,InfoQ邀请到Zilliz研发效能高级经理沈立彬为我们解读数字化转型下的数据安全问题。Zilliz是一家开源基础软件公司,专注于研发非结构化数据库系统,为各种AI应用提供数据基础设施。
《网络数据安全管理条例》拟落地,意味着什么?
《网络安全法》《数据安全法》《个人信息保护法》这三大上位法搭建了我国数据合规的主要法律架构,也是我国网络安全与数据合规领域的基础性法律。如果用软件来进行类比,三大上位法相当于软件架构,承载了软件的整体脉络和大方向,但却不够细化,在执行上缺少具体的参照。而《网络数据安全管理条例》的出台则恰恰补足了这一点。
首先在执行层面上,《网络数据安全管理条例》中的很多条款都是在具象实施路径,对三大上位法中未明确的数字做了进一步明确要求。比如征求意见稿第十三条中规定,处理一百万人以上个人信息的数据处理者赴国外上市的数据处理者,应当按照国家有关规定,申报网络安全审查;第三十九条规定,数据处理者向境外提供数据应当存留相关日志记录和数据出境审批记录三年以上。
其次,《网络数据安全管理条例》在上位法的基础上做了很多原则上的细化。比如《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。征求意见稿第十九条就对此做了进一步的明确规定,逐条阐释了合法、正当、必要:
数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
在沈立彬看来,《网络数据安全管理条例》拟落地对个人和企业都将产生深远的影响。
对个人而言,个人基础信息数据可以得到充分的保障,能够越来越清楚地知道自己的信息为何被采集、哪些信息被采集、被采集的信息如何被使用、信息是否提供给第三方等。在过去,缺少相关法律的明确制约,一些公司游走在黑灰产的边缘,致使用户信息被泄露,严重影响用户个人生活和人身财产安全。而随着《网络数据安全管理条例》的落地,这一乱象也将得到相应治理。
对企业而言,既有上位法的基本框架,又有条例的具体指导,企业需要做的就是积极学习,依据相关合规要求加快整改。同时也需要认识到,市场将不再野蛮式增长,资本不能凌驾于数据安全之上,有数据风险的企业一定会面临巨大的监管和处罚压力。
在短期内,企业必定会增加合规建设的投入,包括资金、人力、时间等成本。但是从长期来看,这些法律法规将引导我国数据安全体系在未来有一个相对清晰的演进路线,帮助企业合规、合法使用数据,同时又能保护用户的个人利益。
在技术层面上,沈立彬认为一些行业以及细分领域将迎来新的机遇。“数据安全及隐私保护处在新的风口上,整个行业将会投入更多的精力和资源来建设。对于加密,密码技术,认证技术、脱敏技术、存储技术等都会有较大的促进作用,同时也带来合规、咨询等安全服务产业的发展。”
构建非结构化数据安全解决方案
当前,随着企业数字化转型进程加快,新技术和新架构的演进也给企业的数据安全带来更高的要求。沈立彬表示,目前企业在数据安全方面通常面临以下挑战:
首先是资源投入的问题。对于一些业务型的中小企业来说,本身技术投入不足,对数据的合规治理会产生较大挑战。
其次,对于有能力进行合规改造的企业而言,业务部门的交付速度和基础部门因合规建设带来的延迟也是难以调和的矛盾。
再者,一些企业的软件研发人员长期忽视数据安全,进行合规建设之后,会产生一个自以为的“工程师文化”和规范的流程/规则之间的矛盾。
另一方面,据IDC预测,2018年到2025年之间,全球产生的数据量将会从33 ZB增长到175 ZB,其中超过80%的数据都会是非结构化数据。如果说结构化数据是机器可读的数据,那么非结构化数据就是人类可读的数据,由人类活动所产生,包括图片、视频、语音和文字等。
相比于传统的结构化数据和半结构化数据,非结构化数据数据量庞大(总量大3个数量级以上),增长速度更快(每1KB结构化数据产生的同时,约有1GB非结构化数据产生),并且采集渠道广泛,数据的处理链路非常长。这些都给非结构化数据的安全防护带来挑战。
数据的安全解决方案是一系列的流程+规范+技术的综合保障。沈立彬认为,在构建非结构化数据的安全解决方案时,应先着重解决其当前面临的问题。“非结构化数据的处理有一个核心的矛盾点是,数据处理者(业务方)有海量的数据和数据价值挖掘的需求,但是这些业务型企业的技术投入往往不足。因此这类企业在构建数据安全解决方案时,需要积极引入整个生命周期内不同角色的解决方案来协同工作。”
以数据防泄露为例,一些科技企业在做非结构化数据安全建设时普遍会考虑在内部环境上部署DLP(Data loss prevention)解决方案,一般会从使用状态下、存储状态下和传输状态下的泄密几个方面来进行保护。整个链接较长,并且相对复杂。因此,很多数据处理者会选择采用基础软件服务商提供的私有部署或者SaaS服务的能力,既不需要在基础安全能力建设上大幅投入,又能获得数据安全合规的保障。
“很多硅谷科技公司都是依赖这种模式,比如苹果做手机、电脑,它的技术能力很强,但它在做日志分析的时候,并不是自己养个一百人或几百人的团队来做这件事情,而是每年花几千万美金去采购成熟的日志分析的解决方案。”沈立彬说道。
作为一家toB的基础数据软件供应商,沈立彬坦言Zilliz身上的责任会更重。“我们的任何一个小问题都会给我们的客户带来巨大的麻烦,因为这些客户都是企业级客户,每个都可能在服务着成千上万,甚至亿级别的企业和个人用户。”为了能更好地支持下游生态企业在数据合规方面的建设,这也就要求基础软件提供商在产品和技术层面进一步加强合规建设。
AI为网络安全开辟新的可能性
近年来,AI技术在越来越多的领域发挥作用,并为数据安全合规带来了新的解题思路。
有数据显示,仅2021年上半年,勒索软件攻击就达到了3.047亿次,打破了2020年全年的攻击总数(3.046亿次),同比增长151%。与之相对应的是,企业在安全团队上的投入并没有增长151%。
“在此背景下,AI正在为网络安全开辟新的可能性。AI会分析大量数据以加快响应时间,并赋能资源有限的安全团队。”沈立彬介绍道。
AI会通过数十亿个攻击数据或漏洞数据进行训练,使用机器学习和深度学习技术来提高其认知,让机器能够“理解”不断变化的网络安全威胁。通过收集漏洞,并使用高级推理,AI可以识别威胁之间的关系,例如恶意文件、可疑IP地址或内部人员。
“通过利用AI+大数据,可能只需要几秒钟,最多几分钟就可以分析出来,让安全分析师对威胁的响应速度提高几十倍,并为过度紧张的IT团队节省了宝贵的时间来专注于其他关键领域。”
今年4月,英国网络安全初创公司Darktrace成功上市,也证明了网络安全人工智能在检测复杂的在线攻击方面颇受欢迎。在国内,也有很多安全厂商积极引入AI技术,为安全监测能力赋能。
公开信息显示,Ziiliz开发的面向AI非结构化数据处理的开源向量数据库Milvus已在2020年交由Linux基金会旗下的LF AI&DATA基金会托管,目前在全球范围内有超过1000家企业在使用Milvus构建上层的AI应用。
“Milvus本身是开源产品,对数据安全方面的一些系统(开源或者闭源)有着天生的优良的互操作性和兼容性。同时我们也建设了完善的日志、metric等机制,确保服务的调用和数据的流转都是可以被审计的。”下一步,Zilliz将发布向量数据库的托管服务(DBaaS),在帮助客户大幅减小总体拥有成本TCO(Total Cost of Ownership)的同时,进一步帮助数据使用方解决数据安全合规问题。
写在最后
随着企业数字化转型不断深入,沈立彬认为数据安全领域分工合作是长远的趋势。
基础软件提供商负责底层可用性、安全性、完整性方面的保障,业务方需要采购相关咨询服务进行定期审计。在合规的前提下,数据可以有效的进行流通,换取更多的价值。而对于开发者而言,在技术技能之外,也需要具备一定的数据安全合规意识。