以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，正在蓬勃發(fā)展,。越來(lái)越多的企業(yè)將數(shù)據(jù)視為重要資產(chǎn)。同時(shí),，隨之而來(lái)的數(shù)據(jù)安全問(wèn)題與日俱增,。

在實(shí)踐中，國(guó)內(nèi)企業(yè)是如何應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的,，采取了哪些保障措施和解決方案,？

1 將數(shù)據(jù)安全管理要求進(jìn)行量化

近年來(lái)，數(shù)據(jù)的價(jià)值凸顯,，數(shù)據(jù)安全風(fēng)險(xiǎn)也越來(lái)越受到重視,。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟副理事長(zhǎng)劉曉韜指出，近幾年,，數(shù)據(jù)勒索事件頻發(fā),，尤其是數(shù)據(jù)價(jià)值越高的行業(yè)，發(fā)生越頻繁,。比如,，金融行業(yè)擁有大量的個(gè)人交易數(shù)據(jù)、資產(chǎn)數(shù)據(jù),，價(jià)值非常高,，就容易發(fā)生黑客入侵。他們不僅盜取數(shù)據(jù),，售賣(mài)數(shù)據(jù),，甚至對(duì)其進(jìn)行重新加密保護(hù)，對(duì)企業(yè)進(jìn)行勒索,，這已經(jīng)形成了一個(gè)黑色產(chǎn)業(yè)鏈,。

面對(duì)現(xiàn)在層出不窮的數(shù)據(jù)安全風(fēng)險(xiǎn)，多數(shù)企業(yè)把數(shù)據(jù)安全擺在了整個(gè)信息安全體系中最重要的位置,。但是數(shù)據(jù)安全的要求紛繁復(fù)雜,，內(nèi)部員工特別是研發(fā)人員在日常工作中由于缺少對(duì)數(shù)據(jù)安全的理解，或者由于無(wú)法判定行為準(zhǔn)則,，在無(wú)意中也會(huì)產(chǎn)生安全隱患,。

為了解決這些難題，螞蟻集團(tuán)建立了一個(gè)數(shù)據(jù)安全度量體系,，在數(shù)據(jù)安全治理體系下,，對(duì)治理能力和安全水位進(jìn)行量化評(píng)估與監(jiān)控，實(shí)現(xiàn)數(shù)據(jù)安全精細(xì)化管理,，將相關(guān)的數(shù)據(jù)安全管理要求進(jìn)行量化,。

螞蟻集團(tuán)數(shù)據(jù)安全總監(jiān),、螞蟻安全天塹實(shí)驗(yàn)室負(fù)責(zé)人郭亮表示，一方面,，這可以幫助員工理解管理要求,，判斷自己的行為是否滿(mǎn)足當(dāng)下最新的數(shù)據(jù)安全管理要求。首先,，它將復(fù)雜的管理要求,，梳理成簡(jiǎn)潔清晰可規(guī)則化表達(dá)的安全基線，使內(nèi)部人員很輕松地理解這些安全基準(zhǔn),。

其次,，為了讓員工掌握最新的管理要求，加大了對(duì)安全基線的培訓(xùn),、認(rèn)證及日常的宣導(dǎo),。基于形勢(shì)變化,，每半年會(huì)調(diào)整需要重點(diǎn)宣導(dǎo)的紅線,。同時(shí)，特別是對(duì)研發(fā)人員,，會(huì)組織多次認(rèn)證考試,，以提高從事相關(guān)工作的門(mén)檻。

另一方面,，該體系還能更好地衡量?jī)?nèi)部數(shù)據(jù)安全效果,，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)。比如,，在業(yè)務(wù)需求階段,，安全團(tuán)隊(duì)會(huì)詳細(xì)評(píng)估并提出各類(lèi)安全要求，但在業(yè)務(wù)實(shí)施過(guò)程中,，這些要求是否真正被執(zhí)行,、執(zhí)行到位就難以判斷。這時(shí),，該體系就發(fā)揮了安全基線的監(jiān)控和度量作用,，實(shí)時(shí)進(jìn)行跟蹤和監(jiān)督。并且,，業(yè)務(wù)實(shí)施人員,，也可以根據(jù)該體系，自我進(jìn)行判斷某些行為是否正確,，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)問(wèn)題并更正,。

郭亮指出，為了使該體系能發(fā)揮最好效果，還成立了專(zhuān)職的審計(jì)團(tuán)隊(duì),。在有規(guī)范制度的前提下,，對(duì)不遵守安全要求的行為予以追責(zé),。追責(zé)的主要目的,，是讓相關(guān)人員及團(tuán)隊(duì)重視、支持安全工作,，一起提升公司的安全水位,。

2 采用創(chuàng)新技術(shù)，解決“理賠難”痛點(diǎn)

目前,，數(shù)據(jù)安全治理體系更多是偏向于運(yùn)營(yíng),、管理層面的優(yōu)化，而在數(shù)據(jù)安全治理實(shí)踐中,，還需要從技術(shù)層面防范,、杜絕相關(guān)風(fēng)險(xiǎn)。

因此,，相關(guān)企業(yè)加強(qiáng)了數(shù)據(jù)安全的技術(shù)創(chuàng)新,。比如，螞蟻集團(tuán)在2019年推出了保護(hù)數(shù)據(jù)安全的摩斯安全計(jì)算平臺(tái),，在數(shù)據(jù)不泄露,、原始數(shù)據(jù)不出域的前提下運(yùn)用先進(jìn)的區(qū)塊鏈、安全多方計(jì)算,、密碼學(xué),、隱私保護(hù)等多重技術(shù)，保障高效,、安全,，為行業(yè)提供數(shù)據(jù)安全解決方案。

目前,，摩斯安全計(jì)算平臺(tái)已經(jīng)在更多的業(yè)務(wù)場(chǎng)景中得到應(yīng)用,，解決了很多數(shù)據(jù)安全保護(hù)的難題。

比如,，傳統(tǒng)的保險(xiǎn)理賠過(guò)程,，商業(yè)保險(xiǎn)參保人須在就診后將相關(guān)表單、醫(yī)療收據(jù),、病歷等資料收集齊后,，提交或上傳給保險(xiǎn)公司的理賠平臺(tái)，審核通過(guò)后才能獲取賠付,，整個(gè)理賠過(guò)程周期長(zhǎng),、效率低，并且存在騙賠隱患。

因此,，許多保險(xiǎn)公司希望與醫(yī)院數(shù)據(jù)直接打通,，建立快速賠付通道。然而,，醫(yī)院方面顧慮醫(yī)療數(shù)據(jù)安全和患者個(gè)人隱私泄露,，不愿直接開(kāi)放敏感的醫(yī)療數(shù)據(jù)。

而借助螞蟻集團(tuán)的摩斯技術(shù),，可將安全計(jì)算節(jié)點(diǎn)分布式部署在醫(yī)院域和保險(xiǎn)公司理賠服務(wù)域,，由保險(xiǎn)公司將理賠模型和理算規(guī)則遠(yuǎn)程部署在醫(yī)院域的計(jì)算節(jié)點(diǎn)上?；颊呔歪t(yī)后發(fā)起理賠,，醫(yī)院端的安全計(jì)算節(jié)點(diǎn)自動(dòng)利用理賠申請(qǐng)人的原始就醫(yī)和處方數(shù)據(jù)進(jìn)行本地加密計(jì)算，得到相應(yīng)的理賠結(jié)果,。

這樣,，利用創(chuàng)新的技術(shù)形成業(yè)務(wù)和數(shù)據(jù)閉環(huán)，確保了醫(yī)療數(shù)據(jù)安全以及個(gè)人隱私安全,，可大幅提高理賠效率和準(zhǔn)確性,，解決“理賠難”的痛點(diǎn)。

郭亮指出,，除采用創(chuàng)新技術(shù)外,，螞蟻集團(tuán)非常重視數(shù)據(jù)在業(yè)務(wù)過(guò)程中的流轉(zhuǎn)和使用的管控技術(shù)，做好數(shù)據(jù)流轉(zhuǎn)鏈路的刻畫(huà)和分類(lèi)分級(jí),，進(jìn)而實(shí)現(xiàn)對(duì)數(shù)據(jù)流轉(zhuǎn)過(guò)程的風(fēng)險(xiǎn)監(jiān)測(cè)和處置,。

例如，密鑰對(duì)于數(shù)據(jù)平臺(tái),、數(shù)據(jù)庫(kù)來(lái)說(shuō)至關(guān)重要,，但研發(fā)人員接觸到這些密鑰時(shí)，可能會(huì)把它記錄在自己的文檔里,，也可能與別人一起分享,，在無(wú)意中導(dǎo)致密鑰的泄露。

但通過(guò)對(duì)整體數(shù)據(jù)的掃描,，會(huì)發(fā)現(xiàn)和識(shí)別出關(guān)鍵的密鑰,，進(jìn)而對(duì)其進(jìn)行特殊的處理，限制他人的訪問(wèn),。并且,，為了使研發(fā)人員盡量少接觸這些密鑰，又能順利地進(jìn)行相關(guān)開(kāi)發(fā),，技術(shù)團(tuán)隊(duì)推出了無(wú)密鑰化安全方案,，對(duì)這些密鑰進(jìn)行托管,，從源頭上避免密鑰泄露。

南開(kāi)大學(xué)周恩來(lái)政府管理學(xué)院副教授,，數(shù)字城市治理實(shí)驗(yàn)室主任孫軒指出,，解決數(shù)據(jù)安全保護(hù)的問(wèn)題，應(yīng)該從管理和技術(shù)角度著手,。技術(shù)層面,，通過(guò)企業(yè)采用的創(chuàng)新技術(shù)手段，不斷提升數(shù)據(jù)安全保護(hù)能力,；管理層面,，通過(guò)企業(yè)的制度、管理設(shè)計(jì),，以及政府、行業(yè)不斷完善和出臺(tái)相應(yīng)政策,、法律法規(guī),，為數(shù)據(jù)安全的建設(shè)提供更有力的支撐。

3 個(gè)人信息保護(hù)是企業(yè)數(shù)據(jù)安全的重要課題

除了內(nèi)部數(shù)據(jù),，有的企業(yè)還擁有大量個(gè)人數(shù)據(jù),。如何保證個(gè)人數(shù)據(jù)安全也是重要課題。

中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事,、聯(lián)盟數(shù)據(jù)與信息安全智庫(kù)專(zhuān)家柳遵梁表示,，各個(gè)行業(yè)都存在數(shù)據(jù)安全風(fēng)險(xiǎn)，尤其是涉及個(gè)人隱私數(shù)據(jù)較多的金融和醫(yī)療行業(yè),。因?yàn)榻鹑诤歪t(yī)療行業(yè)預(yù)留的信息比較真實(shí),、完備，容易被攻擊,，而且,，金融行業(yè)涉及錢(qián)財(cái)，醫(yī)療行業(yè)涉及生命,，一旦發(fā)生個(gè)人數(shù)據(jù)泄露事件,，破壞影響極大。

因此,，對(duì)那些擁有個(gè)人隱私數(shù)據(jù)較多的行業(yè)和企業(yè)來(lái)說(shuō),，個(gè)人數(shù)據(jù)安全保護(hù)是重中之重。

可以說(shuō),，企業(yè)收集個(gè)人數(shù)據(jù)和信息最直接的窗口就是App,。而很多App卻存在收集信息不規(guī)范的行為。2021年3月12日工信部點(diǎn)名了136款A(yù)pp,，這些應(yīng)用涉及違規(guī)收集個(gè)人信息,。

郭亮表示,，螞蟻集團(tuán)高度重視App個(gè)人信息保護(hù)，在實(shí)踐中,，搭建了涵蓋事前,、事中、事后的多重保障體系,。

比如,，在開(kāi)發(fā)“螞蟻運(yùn)動(dòng)App”時(shí)，首先,，制定了嚴(yán)格的App個(gè)人信息保護(hù)安全管理制度和開(kāi)發(fā)規(guī)范,；然后，在App需求分析階段,，開(kāi)展了隱私保護(hù)和數(shù)據(jù)安全專(zhuān)項(xiàng)評(píng)估,，評(píng)估通過(guò)了才開(kāi)展后續(xù)研發(fā)。

最重要的是,，App上線前階段,，一定會(huì)經(jīng)歷靜態(tài)代碼檢測(cè)和動(dòng)態(tài)沙箱及真機(jī)模擬檢測(cè)，以確保各場(chǎng)景的數(shù)據(jù)采集合法,、正當(dāng),、必要。例如,，程序員在開(kāi)發(fā)時(shí),，有時(shí)可能由于直接復(fù)制某些代碼和程序，就順帶了某些個(gè)人數(shù)據(jù),，但經(jīng)過(guò)了靜態(tài)和動(dòng)態(tài)的檢測(cè),，這些錯(cuò)誤的數(shù)據(jù)采集就可以被發(fā)現(xiàn)。

當(dāng)然,，App上線后也不能放松警惕,。通過(guò)覆蓋全場(chǎng)景的安全切面技術(shù)，能夠及時(shí)發(fā)現(xiàn)針對(duì)App的異常攻擊行為,，并進(jìn)行細(xì)粒度的動(dòng)態(tài)安全管控,。

除此之外，為了加強(qiáng)個(gè)人數(shù)據(jù)保護(hù),，今年螞蟻集團(tuán)還推出了“螞蟻315”消費(fèi)者權(quán)益保護(hù)專(zhuān)項(xiàng)行動(dòng),。由客戶(hù)權(quán)益中心、數(shù)據(jù)安全團(tuán)隊(duì)共同推動(dòng),，對(duì)消費(fèi)者關(guān)心的產(chǎn)品體驗(yàn)問(wèn)題,、營(yíng)銷(xiāo)保護(hù)等問(wèn)題進(jìn)行整治。

目前,，該專(zhuān)項(xiàng)行動(dòng)已經(jīng)陸續(xù)推出上線消費(fèi)者權(quán)益保障頻道,、啟動(dòng)內(nèi)部產(chǎn)品用戶(hù)滿(mǎn)意度考核,、治理支付寶內(nèi)套路營(yíng)銷(xiāo)、在支付寶開(kāi)放平臺(tái)推出“商家防跑路套餐”等舉措,。根據(jù)消費(fèi)者滿(mǎn)意度和體驗(yàn)感,，不斷整治相關(guān)問(wèn)題，對(duì)用戶(hù)滿(mǎn)意度不佳的產(chǎn)品功能不斷進(jìn)行改造,，來(lái)保障消費(fèi)者權(quán)益,。

隨著《數(shù)據(jù)安全法》的出臺(tái)和即將正式實(shí)施，企業(yè)的數(shù)據(jù)安全治理之路變得有法可依,、有章可循,。

郭亮表示，在監(jiān)管合規(guī)方面,，關(guān)鍵是如何真正落實(shí)這些監(jiān)管要求,。為此，螞蟻集團(tuán)成立了合規(guī)團(tuán)隊(duì),，還建設(shè)了監(jiān)管合規(guī)管理平臺(tái),，持續(xù)地追蹤各個(gè)方面是否滿(mǎn)足合規(guī)要求。如果存在相關(guān)問(wèn)題,，再對(duì)其進(jìn)行優(yōu)化和調(diào)整，盡可能地保障監(jiān)管要求能夠落地實(shí)現(xiàn),。

郭亮認(rèn)為,，數(shù)據(jù)安全是企業(yè)的核心發(fā)展問(wèn)題。未來(lái),，還會(huì)加大數(shù)據(jù)安全領(lǐng)域的投入,，加強(qiáng)與高校的技術(shù)合作，并且將自己的數(shù)據(jù)安全管理和技術(shù)經(jīng)驗(yàn)進(jìn)行分享和輸出,，共同推動(dòng)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)的發(fā)展,。

文|新京報(bào)記者 王春蕊