黑客、前首席信息安全官、数据安全专家共论“流动数据的安全管控” | TF57回顾
5月12日, CCF TF 第57期研讨会《数据安全之流动数据的安全管控》线上会议成功举办。会议邀请了全知科技的创始人、著名黑客方兴(闪空),红途科技创始人,前顺丰集团集息安全与内控负责人刘新凯,数安行创始人王文宇3位重量级嘉宾,活动吸引了260多名观众参与。安全SIG本年度还有三场活动,欢迎各位关注并参与,具体时间请见文末。
在数据安全重要性不断提高,数据安全合规性管理不断加强的前提下,本次研讨会重点讨论了“流动中的数据如何有效管控”,并为参会者答疑解惑。本次会议由CCF TF安全SIG主席谭晓生主持。
图1:CCF TF安全SIG主席谭晓生致辞
谭晓生在开场介绍了三位讲者的背景和他们在数据安全工作方面的经历,以及数据安全在数字化转型背景下的重要性。
《DataSecOps——数字化背景下流动数据的全流程安全》
图2:王文宇分享内容
主题分享开始后,王文宇首先做了题为《DataSecOps——数字化背景下流动数据的全流程安全》的报告。过去对数据采取“封锁”“隔离”的安全管控方法虽然在数据保护中起了作用,但已无法满足数字化转型的要求,数据泄露事故频发。面对数据的无限复制与形态不断改变两大挑战,引入DataSecOps一体化运营平台概念,用统一的数据安全策略,给数据发放“身份证”,实现数据安全从“囚笼”式向“平台化”转换。然后从发展的推动力、演进的路径、开发利用和安全防护的平衡、对未来数据安全发展的展望四个部分展开论述。
图3:王文宇分享内容
DataSecOps保障流动数据的安全,将IT分为了三个平面,第一个平面是基础设施,包括存储、主机、各类业务系统以及终端。在这一过程中我们可以看到数据存储流转的业务流与数据流。
第二个平面,则是关注在基础设施上所运行的数据,数据可能来自不同的数据源,拥有不同的数据类型、不同的用户以及不同的API接口,可能是隐私类数据、商业类数据等,因此第二个平面是从数据的角度来考量的。
第三个平面,是最为核心的技术落地,也就是数据安全平面,其有着不同的数据主体请求以及个人隐私管理,这是《个人信息保护法》中对隐私类数据的要求,包括敏感数据的自适应防护、安全监测以及对数据安全风险评估。建立自动化数据安全和防护诊疗一体的平台,就是未来DataSecOps类产品发展演进的逻辑与路径。
在讲到DataSecOps理念时,王文宇认为,DataSecOps的核心维度是数据安全的左移,在数据处理的第一现场持续对数据处理和使用的过程进行追踪,这样才能监测数据流转的整个过程,并发掘数据风险的真正源头,因此数据安全左移是数据安全未来演进中的一个核心方向。
《数据流动安全》
方兴先介绍了一下自己先后创办三家安全公司的从业经历,然后以“数据安全是什么?”“数据跟信息到底是什么关系?今天讲数据安全,它的差异性在哪里?”作为开场问题。
图4:方兴分享内容
以某电商企业新商家保证金诈骗当作具体案例,分析了数据、信息、知识、情报的关联关系和不同点,提出“我们的信息安全保护的是什么?本质上是保护的知识和情报,那知识和情报会用数据的方式存储,数据又变成信息的载体。我们传统讲的数据安全,本质上是保护高价值的信息在数据载体上的安全。”,然后提出了在大数据与AI时代数据安全面临的挑战,我们从海量数据中计算出知识和情报,这海量的数据你也不知道会产生什么,提出“数据需要流动,在生产的过程中去产生安全,本质上要安全放到生产的环境”的观点。
图5:方兴分享内容
在讲到如何做好流动中的数据安全管控的时候,方兴对DSMM提出了不同见解,认为DSMM通过过程管控的方法难以解决数据安全的问题。
图6:方兴分享内容
图7:方兴分享内容
方兴最后拿防疫做类比,描述了构建一个能看见数据和风险的模型,通过API、应用的数据、终端上面的文件沙箱或者VDM云桌面来对它进行管控的方法,通过这样的技术组合,紧密结合数据的知识,对数据流动的刻画,搞清楚数据到底在哪里,暴露面在哪里,数据流是怎样的,来对数据实施整个的风险识别和相应数据的管控,来建立起构建起真正的数据流动的风控体系。
图8:方兴分享内容
图9:方兴分享内容
《基于数据全链路的数据隐私治理》
刘新凯的分享聚焦在“数据隐私治理在落地的时候会遇到哪些痛点和问题,我们如何去解决这些问题和难点”,从法律合规的角度,最小数据采集合规、二次确认、所有的数据采集和隐私声明是否一定吻合?在数据的共享侧有没有得到原始数据被收集用户方的授权?有没有超范围的使用?在数据跨境传输的时候,有没有进行数据隐私合规管控?数据主体请求,不管是获取权、携带权、删除权等等,在实施的过程中,如何去落地?
图10:刘新凯分享内容
然后花了较长时间解释如何利用“数据隐私治理”来解决数据隐私合规的问题。企业要关心我们有什么数据,这些数据在哪里,在业务系统中如何使用,以及谁在用等问题。
图11:刘新凯分享内容
提出用API级的全链路数据流转追踪的方法来绘制一张真正的数据使用的全景图。围绕用户、应用、数据库以及个人隐私、经营数据,从这四个维度实现数据隐私治理的动态运营能力,保证在数据隐私治理上的完整性、动态性以及真正的准确性。
本次研讨会互动环节,参会者提出了很多问题, 例如“API安全主要能解决哪些问题,有什么优势和不足?”“ 目前数据流动安全防护还有哪些技术上的障碍需要突破,有哪些方向上还需要科研攻关?”等,三位嘉宾各抒己见,对重点问题进行了详尽的经验分享。
数据安全,是社会数字化转型的安全保证,今天还有很多理论与实践问题需要解决,也会是未来很多年的热点。本次分享和交流也给大家带来了不少启发和帮助。本期精彩回顾视频可在CCF数字图书馆观看,欢迎持续关注TF更多精彩活动!
CCF TF安全SIG本年度活动安排
TF62 | 2022/6/16 | 开发安全与供应链安全 |
TF71 | 2022/8/18 | 工业互联网安全 |
TF80 | 2022/10/27 | 云原生安全 |
下期预告:
CCF TF59
本期CCF TF将邀请来自腾讯、(前)阿里和华为等头部企业的技术代表,深入探讨软件企业在推行研发效能提升过程中遇到的问题以及经过验证的最佳实践。内容涉及研发效能提升实践的理论框架体系、工程化实践以及效能提升中关于“人性”的探索。本次的演讲嘉宾分别是《软件研发效能提升之美》的作者和《Google软件工程》的译者,一定能让听众受益匪浅。欢迎报名,期待5月26日线上见!
识别或扫码报名
报名链接:https://conf.ccf.org.cn/TF59
关于CCF TF
CCF TF技术前线(Tech Frontier)创立于2017年6月,旨在为工程师提供顶级交流平台,更好地服务企业界计算机专业人士,帮助企业界专业技术人士职业发展,通过搭建平台实现常态化合作和发展,促进企业间、学术界与企业间技术交流。目前已组建架构、安全、智能前端、知识图谱、数据科学、工程师文化、算法与AI、智能制造、智能设备与交互、产业智能化、研发效能等十一个SIG(Special Interest Group),提供丰富的技术前线内容分享。2022年4月至2023年3月,CCF TF将在线开展47场活动,会员免费参加。
加入CCF
加入CCF会员享受更多超值活动,为自己的技术成长做一次好投资。
点击链接了解更多会员权益:CCF个人会员权益 CCF公司会员权益
识别或扫码入会
欢迎关注CCFTF及CCF业务总部公众号,精彩陆续开启!
关注CCFTF获取TF活动资讯
关注CCF业务总部优惠预定会议场地
CCF推荐
【精品文章】