8月22—23日，2023 DEMO WORLD企業(yè)開放式創(chuàng)新大會(huì)在長三角G60科創(chuàng)走廊策源地松江隆重舉行。本屆大會(huì)由創(chuàng)業(yè)邦主辦，松江區(qū)經(jīng)濟(jì)委員會(huì)、松江區(qū)投資促進(jìn)服務(wù)中心、國家級(jí)上海松江經(jīng)濟(jì)技術(shù)開發(fā)區(qū)、松江區(qū)泗涇鎮(zhèn)人民政府、松江區(qū)佘山鎮(zhèn)人民政府協(xié)辦。

大會(huì)以“擁抱開放”為主題，邀請200+跨國公司及本土企業(yè)創(chuàng)新領(lǐng)袖，聚焦開放式創(chuàng)新，通過演講分享、報(bào)告發(fā)布、榜單評(píng)選、案例展示、需求對(duì)接等多種方式，推動(dòng)全球創(chuàng)新資源在行業(yè)中的流動(dòng)，加速世界各地的企業(yè)在中國成長。

8月22日下午，數(shù)據(jù)安全專場，亞信安全副總裁劉政平帶來題為《先理后治，保障數(shù)據(jù)安全》的主題分享，

精彩觀點(diǎn)如下：

1. 傳統(tǒng)安全模式基于安全域概念，像守護(hù)城堡一樣設(shè)立關(guān)卡。然而，如今數(shù)據(jù)為中心，涵蓋整個(gè)業(yè)務(wù)周期的安全風(fēng)險(xiǎn)需要統(tǒng)一管控。

2. 我們需要厘清組織架構(gòu)、機(jī)制、管理制度以及管理人員等方面。若企業(yè)有首席數(shù)據(jù)官，同樣需要有數(shù)據(jù)安全官，他們將對(duì)企業(yè)全業(yè)務(wù)的數(shù)據(jù)負(fù)責(zé)，確保安全與合規(guī)。

3. 數(shù)據(jù)安全實(shí)際上是以運(yùn)營為核心的工作。

以下為演講內(nèi)容，由創(chuàng)業(yè)邦整理：

01數(shù)智化轉(zhuǎn)型浪潮之下，安全治理亟需革新認(rèn)知

從宏觀數(shù)據(jù)上可以看到，去年全國的數(shù)據(jù)經(jīng)濟(jì)規(guī)模已經(jīng)達(dá)到了50萬億，占GDP比重41%。明年1月1日，數(shù)據(jù)資產(chǎn)要正式列入資產(chǎn)負(fù)債表。這些數(shù)據(jù)、動(dòng)作都表明，我們處在一個(gè)全面數(shù)字化的時(shí)代。

一方面，數(shù)字產(chǎn)業(yè)，以及產(chǎn)業(yè)化的數(shù)字化，已經(jīng)成為經(jīng)濟(jì)發(fā)展的驅(qū)動(dòng)力。另一方面，隨著數(shù)字作為生產(chǎn)要素的發(fā)展，風(fēng)險(xiǎn)也與日俱增。例如電信詐騙、勒索攻擊，其底層很多都是跟數(shù)據(jù)泄露相關(guān)。

許多制造業(yè)的客戶、政府、金融單位都最擔(dān)心的就是被勒索攻擊，因?yàn)樵破脚_(tái)一旦被勒索攻擊，就會(huì)造成業(yè)務(wù)中斷，或者客戶數(shù)據(jù)、生產(chǎn)數(shù)據(jù)被黑產(chǎn)從業(yè)者盜走，放到暗網(wǎng)上銷售。去年全球因勒索攻擊損失的資產(chǎn)到了6萬億的規(guī)模，全球安全公司的銷售收入加在一起遠(yuǎn)遠(yuǎn)不如黑產(chǎn)。

網(wǎng)絡(luò)安全在數(shù)據(jù)安全層面的風(fēng)險(xiǎn)是快速增大，其背后有這樣一些原因。

一是IT架構(gòu)的變化。隨著信息化數(shù)字化的發(fā)展，我們所說的ABCDE，即人工智能、區(qū)塊鏈、云計(jì)算、大數(shù)據(jù)、新能源、車聯(lián)網(wǎng)等技術(shù)的普及，傳統(tǒng)的IT邊界越來越模糊。原來我們做網(wǎng)絡(luò)安全早期做安全比較簡單，劃分安全域，內(nèi)外網(wǎng)做防火，防火墻、防病毒、入侵檢測安全三大件就可以了。

最近的七八年，很多企業(yè)都在走數(shù)字化轉(zhuǎn)型。純云化、移動(dòng)辦公、柔性生產(chǎn)導(dǎo)致生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)做連接，內(nèi)外邊界便沒那么容易區(qū)分，這個(gè)時(shí)候安全風(fēng)險(xiǎn)就增加了。

隨著IT架構(gòu)的變化，數(shù)字化轉(zhuǎn)型帶來的風(fēng)險(xiǎn)與日俱增。包括我們國家剛剛建立了國家數(shù)據(jù)局，各省市都有大數(shù)據(jù)局，數(shù)據(jù)集約化之后目標(biāo)變大了，帶來的風(fēng)險(xiǎn)也增加了。

除此之外，還有地緣政治帶來的軍事風(fēng)險(xiǎn)。俄烏戰(zhàn)爭打了一年半，三四年前俄烏之間就爆發(fā)了大規(guī)模的網(wǎng)絡(luò)戰(zhàn)爭，你們經(jīng)?？梢钥吹?，烏克蘭東部地區(qū)全部斷網(wǎng)或者斷電。俄羅斯正式打俄烏戰(zhàn)爭之前，烏克蘭的部門網(wǎng)絡(luò)全部癱瘓，中了勒索病毒。像這樣的攻防對(duì)抗越來越激烈。

從法律法規(guī)的角度看，這幾年包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《數(shù)據(jù)出境安全備案機(jī)制》陸續(xù)出臺(tái)。我最近接觸的幾個(gè)國內(nèi)的龍頭企業(yè)，都在忙這個(gè)事。因?yàn)椴徽撌侵袊髽I(yè)在海外開辦工廠，還是海外公司在中國建立業(yè)務(wù)，都牽涉到數(shù)據(jù)跨境的合規(guī)問題。

從信息化到網(wǎng)絡(luò)化再到數(shù)字化，如今邁向數(shù)智化，融入人工智能。數(shù)字化安全邏輯在變化，以前的網(wǎng)絡(luò)安全強(qiáng)調(diào)中心化三重防護(hù)，現(xiàn)在數(shù)據(jù)安全更強(qiáng)調(diào)以數(shù)據(jù)為核心，保護(hù)生產(chǎn)要素。傳統(tǒng)安全模式基于安全域概念，像守護(hù)城堡一樣設(shè)立關(guān)卡。然而，如今數(shù)據(jù)為中心，涵蓋整個(gè)業(yè)務(wù)周期的安全風(fēng)險(xiǎn)需要統(tǒng)一管控。

這是內(nèi)生安全的概念，與外部安全不同。

在這個(gè)內(nèi)生安全中，我們需要進(jìn)行分類分級(jí)。對(duì)數(shù)據(jù)的重要性要進(jìn)行區(qū)分，并進(jìn)行權(quán)限管理、訪問控制。同時(shí)，對(duì)流動(dòng)數(shù)據(jù)進(jìn)行全流程的監(jiān)管和監(jiān)測，采用新的技術(shù)，如隱私計(jì)算和合規(guī)管控?？缇硵?shù)據(jù)交流也涉及不同國家的地緣政治和法律法規(guī)，需要考慮合規(guī)性。這與傳統(tǒng)網(wǎng)絡(luò)安全有相似之處，但也存在顯著差異。

02先理后治，數(shù)據(jù)安全是一項(xiàng)長期運(yùn)營工作

基于今天的題目，我提出了一個(gè)觀點(diǎn)：數(shù)據(jù)安全治理即為業(yè)務(wù)安全，因此要“先理后治”，這本身是一個(gè)運(yùn)營的概念。就像我們今天在開展業(yè)務(wù)時(shí)是不是一個(gè)運(yùn)營過程一樣？它需要端到端的全流程管控，而不僅僅是彌補(bǔ)短板。以前的安全工作主要基于木桶原理，哪塊木板短了我就補(bǔ)長了。然而，如今我們需要全流程思維。首先，我們需要厘清組織架構(gòu)、機(jī)制、管理制度以及管理人員等方面。若企業(yè)有首席數(shù)據(jù)官，同樣需要有數(shù)據(jù)安全官，他們將對(duì)企業(yè)全業(yè)務(wù)的數(shù)據(jù)負(fù)責(zé)，確保安全與合規(guī)。此外，對(duì)于其中的資產(chǎn)，我們需要進(jìn)行全面梳理。針對(duì)在座眾多的企業(yè)和政府單位，從明年1月1日開始，數(shù)據(jù)將納入資產(chǎn)負(fù)債表。首要任務(wù)是清楚了解數(shù)據(jù)的來源與去向，然后進(jìn)行分類分級(jí)。

舉例來說，如果我們經(jīng)營一家工廠，擁有一條生產(chǎn)線，我以生產(chǎn)新能源電池為主。在這個(gè)生產(chǎn)線中，涉及多種數(shù)據(jù)類型，因此需要專業(yè)人員進(jìn)行梳理。一旦梳理完成，我們可以將這些數(shù)據(jù)分門別類，確定哪些數(shù)據(jù)會(huì)影響國家安全，哪些與個(gè)人隱私相關(guān)，然后對(duì)其進(jìn)行標(biāo)識(shí)。緊接著，我們需要全面分析這些數(shù)據(jù)的風(fēng)險(xiǎn)，因?yàn)橹挥性诶砬屣L(fēng)險(xiǎn)后才能進(jìn)行相應(yīng)的治理措施。

在治理部分，我們可以清楚地看到一個(gè)全生命周期管理的理念。這個(gè)管理涵蓋了數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換以及銷毀這六個(gè)階段，每個(gè)階段都需要有相應(yīng)的抓手和控制措施。當(dāng)然，同時(shí)我們還需要一個(gè)平臺(tái)，使用適當(dāng)?shù)募夹g(shù)來實(shí)現(xiàn)管控，我們稱之為數(shù)據(jù)態(tài)勢。

貫穿以上所述的理念與治理，我們實(shí)際上需要建立一個(gè)全面的數(shù)據(jù)安全服務(wù)體系，貫穿整個(gè)業(yè)務(wù)。從評(píng)估到監(jiān)視再到處理，我們可以看到所有這些都是相互關(guān)聯(lián)的，就像一條線一樣。法條都是基于中國的法律體系，但如果作為一家全球化的企業(yè)，你要向全球擴(kuò)張，就必須深入研究各國的法規(guī)。這也是中國在數(shù)據(jù)跨境方面面臨的難題，不同國家的法規(guī)越來越復(fù)雜，而每個(gè)國家設(shè)立業(yè)務(wù)都必須遵守當(dāng)?shù)氐姆ㄒ?guī)。

我們來看幾個(gè)關(guān)鍵點(diǎn)。首先是梳理數(shù)據(jù)資產(chǎn)的方法論是什么？從識(shí)別、保護(hù)、監(jiān)測到響應(yīng)，這四個(gè)階段都需要一些關(guān)鍵步驟。舉個(gè)例子，現(xiàn)在智能化工具結(jié)合行業(yè)模型被廣泛應(yīng)用于數(shù)據(jù)識(shí)別和分類分級(jí)。我們首先需要對(duì)數(shù)據(jù)進(jìn)行詳細(xì)分析，然后由專業(yè)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估。不僅金融行業(yè)和高端制造業(yè)，許多行業(yè)都在進(jìn)行這種風(fēng)險(xiǎn)評(píng)估，還包括安全防護(hù)、數(shù)據(jù)監(jiān)視以及數(shù)據(jù)處置等。

從方法論的角度來看，這是一個(gè)持續(xù)改進(jìn)的過程。我們可以引用PDCA（Plan-Do-Check-Act）的概念，一旦識(shí)別出業(yè)務(wù)的風(fēng)險(xiǎn)，我們就可以制定統(tǒng)一的管理目標(biāo)。我們通過梳理數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并動(dòng)態(tài)調(diào)整安全策略，實(shí)現(xiàn)能力編排。最終，我們進(jìn)行驗(yàn)證，將這個(gè)過程循環(huán)不斷地進(jìn)行下去，建立一個(gè)零信任的體系。

業(yè)務(wù)側(cè)明顯可見，建立基于體系的運(yùn)營框架，數(shù)據(jù)安全實(shí)際上是以運(yùn)營為核心的工作?？梢杂^察到，整個(gè)安全能力的提升持續(xù)由數(shù)據(jù)安全運(yùn)營的體系支撐。

針對(duì)分類分級(jí)，我們運(yùn)用專業(yè)工具如數(shù)據(jù)資產(chǎn)分析，協(xié)助金融、運(yùn)營商、能源電力、醫(yī)療等行業(yè)客戶制作數(shù)據(jù)資產(chǎn)清單。隨后，進(jìn)行敏感信息的辨識(shí)，根據(jù)行業(yè)分類分級(jí)的指南規(guī)范進(jìn)行操作。最終，形成數(shù)據(jù)地圖，這正是我們目前著手處理的首要任務(wù)。

其次，我們關(guān)注關(guān)鍵的控制領(lǐng)域。前述的勒索事件引出亞信安全去年推行的“方舟計(jì)劃”，幫助客戶進(jìn)行安全檢測，查明黑客攻擊風(fēng)險(xiǎn)和漏洞。為了防范數(shù)據(jù)泄露，必須進(jìn)行數(shù)據(jù)脫敏處理并進(jìn)行標(biāo)識(shí)，包含泄露監(jiān)測、阻斷和溯源分析的能力。

第三個(gè)要點(diǎn)是數(shù)據(jù)共享。我們借助聯(lián)邦學(xué)習(xí)、多方計(jì)算和數(shù)據(jù)沙箱等技術(shù)，解決數(shù)據(jù)可見性與安全共享之間的問題。

在全流程中，數(shù)據(jù)持續(xù)流動(dòng)。如何在流動(dòng)過程中監(jiān)控風(fēng)險(xiǎn)？尤其是提到跨境數(shù)據(jù)流動(dòng)，特別重要的是網(wǎng)絡(luò)通信層面。我們需要建構(gòu)實(shí)時(shí)監(jiān)測風(fēng)險(xiǎn)的體系，例如在通信網(wǎng)絡(luò)中建立協(xié)議還原體系。無論是圖像、視頻還是文件，都能進(jìn)行協(xié)議還原，同時(shí)也可以集中發(fā)現(xiàn)敏感信息，根據(jù)標(biāo)識(shí)進(jìn)行分類分級(jí)聚類，最終實(shí)現(xiàn)監(jiān)測。

實(shí)際上，這已經(jīng)成為一項(xiàng)廣泛需求。我最近與許多單位交流時(shí)，他們都提到了全流量、全協(xié)議的無死角監(jiān)測的重要性。只有實(shí)現(xiàn)了這種能力，我們才能在全球范圍內(nèi)開展業(yè)務(wù)，并真正保障我們的數(shù)據(jù)安全。

另外，我們還需要進(jìn)行數(shù)據(jù)管控。我們的數(shù)據(jù)資產(chǎn)存放在各個(gè)系統(tǒng)中，如果能夠從中提取訪問日志和數(shù)據(jù)交換信息，就能形成三個(gè)關(guān)鍵能力。首先是發(fā)現(xiàn)和識(shí)別能力，無死角地發(fā)現(xiàn)許多潛在的影子資產(chǎn)。其次是數(shù)據(jù)的堅(jiān)實(shí)能力，能夠即時(shí)監(jiān)測到非法和越權(quán)的訪問。最后是風(fēng)險(xiǎn)的識(shí)別和檢測能力。一旦這些能力形成，我們就可以賦予安全管理平臺(tái)以能力，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)、數(shù)據(jù)安全事件和數(shù)據(jù)風(fēng)險(xiǎn)的管理。這一管理平臺(tái)能力形成后，我們就可以持續(xù)地優(yōu)化防護(hù)措施，將安全策略應(yīng)用于端、邊、云、網(wǎng)等不同的安全產(chǎn)品和技術(shù)中，實(shí)現(xiàn)持續(xù)的優(yōu)化。

亞信安全旨在將傳統(tǒng)網(wǎng)絡(luò)安全與數(shù)據(jù)安全結(jié)合，實(shí)現(xiàn)端到端全周期的安全。從分類分級(jí)、身份安全管理，到數(shù)據(jù)加解密、數(shù)據(jù)脫敏、審計(jì)、溯源、多方計(jì)算、隱私計(jì)算、數(shù)據(jù)態(tài)勢，涵蓋端、邊、云、網(wǎng)的安全保護(hù)能力，形成一體化方案。許多用戶都要求一體化的數(shù)據(jù)安全，而不是碎片化的解決方案。亞信安全與座上的生態(tài)合作伙伴共同構(gòu)建更安全的數(shù)據(jù)計(jì)算環(huán)境和數(shù)據(jù)要素市場的基礎(chǔ)。

介紹一下亞信安全，成立于1993年，由田博士創(chuàng)立，致力于將互聯(lián)網(wǎng)引入中國。我們在1995年開始與運(yùn)營商合作，建設(shè)了中國的六大骨干網(wǎng)，被譽(yù)為“互聯(lián)網(wǎng)的建筑師”。2000年成為中國第一家登陸美國納斯達(dá)克的科技公司。安全領(lǐng)域始于2000年，特別是在身份安全領(lǐng)域市場份額突出。我們在云安全、數(shù)據(jù)安全領(lǐng)域耕耘20多年。2015年正式成立亞信安全，快速發(fā)展，建立產(chǎn)業(yè)技術(shù)研究院，舉辦C3安全峰會(huì)。2018年網(wǎng)絡(luò)安全軟件市場份額第一，云安全、身份安全、終端、態(tài)勢感知、安全運(yùn)營領(lǐng)域處于突出地位。去年在上海科創(chuàng)板上市。

這些年來，我們在核心技術(shù)能力和信創(chuàng)領(lǐng)域取得了顯著進(jìn)步。已經(jīng)實(shí)現(xiàn)了全信創(chuàng)產(chǎn)品的解決方案。在新的市場機(jī)遇中，亞信安全期待在數(shù)據(jù)安全領(lǐng)域取得新的成就。

更多活動(dòng)大會(huì)一手信息，歡迎加入創(chuàng)業(yè)邦會(huì)員，現(xiàn)場聆聽一線投資人、頭部企業(yè)家精彩分享，掌握最新創(chuàng)投趨勢！