以下是現(xiàn)場速記。
數(shù)安云智創(chuàng)始人 徐剛
徐剛:很高興在美麗的新疆跟大家分享,我的主題是“讓數(shù)據(jù)安全合規(guī)地創(chuàng)造價值”,剛才劉總講的合規(guī)是不是給大家?guī)砹撕芏鄩毫?我們做的事情就是想讓合規(guī)變得更簡單,讓大家能夠更好地聚焦于業(yè)務(wù),而我們把自己的合規(guī)體系更容易地建立起來,這是我們希望做的事情。
我叫徐剛,本人在IBM做了十八年,在微軟做了兩年,離開IBM以后是在新奧集團作為高級副總裁主管數(shù)字化三年半,數(shù)安云智是我創(chuàng)立的專門關(guān)注數(shù)據(jù)安全領(lǐng)域的一家公司。為什么要講數(shù)據(jù)安全?傳統(tǒng)的講到數(shù)據(jù)安全,大家想到的就是怎么把數(shù)據(jù)防護好,不讓別人看,而我認(rèn)為今天在數(shù)字化時代,數(shù)據(jù)被捆在家里一定不是方向,未來的數(shù)據(jù)一定需要更好地進行分享和共享,只有分享和共享才能產(chǎn)生價值,所以我們的目標(biāo)和方向就是讓數(shù)據(jù)安全合規(guī)地創(chuàng)造價值。
2020年4月,國務(wù)院第一次提出數(shù)據(jù)要素化的概念,大家可能都不清楚這是什么意思。其實從國家層面是把數(shù)據(jù)拉到了一個非常高的層面,認(rèn)為是核心的生產(chǎn)要素,等同于農(nóng)業(yè)經(jīng)濟時代的土地和勞動力,或者是工業(yè)經(jīng)濟時代,我們把資本和技術(shù)放上去。數(shù)字經(jīng)濟時代,其實數(shù)據(jù)是最核心的,所以把數(shù)據(jù)變成一種生產(chǎn)要素。提出數(shù)據(jù)要素化的時候,大家對這一塊的理解還是非常模糊,反而是在2021年7-8月,各種個人信息保護法、數(shù)據(jù)安全法都陸續(xù)出臺,大家的感覺是對數(shù)據(jù)管控的要求是不是更高了?我跟團隊很多人都在講,數(shù)據(jù)安全法、個人信息保護法的出臺是為了以后我們能夠更好地利用數(shù)據(jù)打基礎(chǔ),先把規(guī)矩做好,告訴大家我們應(yīng)該怎樣對數(shù)據(jù)進行分類分級,能夠針對不同的數(shù)據(jù)進行不同類型的處理方式,所以只有把這些規(guī)矩做好才能更好地推動數(shù)據(jù)的共享。
今天在數(shù)字經(jīng)濟時代,數(shù)據(jù)有點像石油,原來工業(yè)時代的時候通過自然形成的石油存放在地下沒有任何價值,現(xiàn)在的數(shù)據(jù)基本上都是企業(yè)通過業(yè)務(wù)系統(tǒng)逐漸沉淀下來放在自己家里。我們知道一些企業(yè)數(shù)字化做得好就在想怎么利用自己的數(shù)據(jù)推動業(yè)務(wù),所以叫做數(shù)據(jù)驅(qū)動業(yè)務(wù),怎么把自己沉淀的數(shù)據(jù)用好。我們可以看到從國家層面不是光有企業(yè)內(nèi)部怎么把數(shù)據(jù)用好的問題,而是今天到了人工智能,需要大數(shù)據(jù),也需要跨業(yè)數(shù)據(jù)融合或者同行業(yè)數(shù)據(jù)整合,能夠在上面產(chǎn)生更多的智能、更多的創(chuàng)新業(yè)務(wù),我們到底應(yīng)該怎樣去做。
不知道大家有沒有注意到,國家最近兩年在各地都在成立數(shù)據(jù)交易所,數(shù)據(jù)交易所是干嘛的?就是讓大家把數(shù)據(jù)開始進行真正有價值的交易,這些是我們看到的國家正在大力推動的。數(shù)據(jù)交易本身就像原油,拿出來的時候沒有人賣,因為原油本身不能給我?guī)硎裁磧r值,而我們也可以看到數(shù)字化時代有很多公司已經(jīng)在做人工智能。前兩年我們也覺得很辛苦,就是沒有數(shù)據(jù),我們有技術(shù)、有算法,但沒有數(shù)據(jù)就沒有辦法去做。我們發(fā)覺真正要想推動的話還是需要靠能夠有一個數(shù)據(jù)的加工商,通過把這些數(shù)據(jù)進行加工分享以后才可以讓我們的受用方真正使用到我們這樣的數(shù)據(jù)。
怎樣把數(shù)據(jù)安全流通交易起來,這些是我們現(xiàn)在已經(jīng)遇到的問題?,F(xiàn)在企業(yè)也有看到一個最實際的問題,雖然說流通是一個很重要的環(huán)節(jié),但法律現(xiàn)在也有一個很明確的規(guī)定,不是說數(shù)據(jù)拿出來交易就可以。之前在數(shù)據(jù)安全法各個方面的法律規(guī)定起來就在說,數(shù)據(jù)需要先進行分類分級,之后就會知道哪些是重要的數(shù)據(jù),不能出獄,哪些是個人敏感數(shù)據(jù),需要脫敏后才能使用,哪些是普通數(shù)據(jù),可以拿來創(chuàng)造價值。我們可以看到企業(yè)目前雖然是知道有這樣的法律法規(guī),也在不斷地內(nèi)部利用我們的數(shù)據(jù),但是不是合規(guī)地使用這些數(shù)據(jù)?我們認(rèn)為很多企業(yè)是不清楚的,哪些數(shù)據(jù)能用,哪些數(shù)據(jù)能拿出去,未來產(chǎn)生更多價值有沒有方法,這些都是目前我們遇到的問題。
國家對數(shù)據(jù)安全現(xiàn)在已經(jīng)有了明確的要求,公司要上市的時候,上市公司要做審計的時候,數(shù)據(jù)安全已經(jīng)和財務(wù)審計一樣變成了一個必要項,就是要求我們能夠全面自查和定期自查,需要對自己的數(shù)據(jù)進行全面的分類分級管理,同時對數(shù)據(jù)生命周期合規(guī)與企業(yè)管理合規(guī)進行整體的管控,而且需要根據(jù)監(jiān)管的動態(tài)及時進行風(fēng)險預(yù)判。因為現(xiàn)在監(jiān)管政策也是不斷出臺的,比如我們有數(shù)據(jù)需要跨境去做的時候,我們需要嚴(yán)格參照監(jiān)管的要求,看一看哪些數(shù)據(jù)允許出境,哪些數(shù)據(jù)嚴(yán)格限制。
對標(biāo)海外的話,國內(nèi)數(shù)據(jù)安全合規(guī)的需求其實還是剛起步。OneTrust和BigID真正發(fā)展是在2018年的時候,當(dāng)時歐洲正式發(fā)布GDPR,是對個人隱私數(shù)據(jù)進行非常嚴(yán)格的管控,美國加州出臺數(shù)據(jù)安全法案是2018年6月。隨著這些法規(guī)的出臺,很多企業(yè)開始有困惑,就是到底怎么去做。因為法律對隱私數(shù)據(jù)怎么使用已經(jīng)有了嚴(yán)格的規(guī)定,今天在中國我們自己還有感覺,數(shù)據(jù)在哪里登錄以后就被賣到哪里,但從歐洲和美國來講很早就已經(jīng)提出對個人隱私數(shù)據(jù)的管控要求。隨著國內(nèi)數(shù)據(jù)安全法、個人隱私保護法2021年逐漸推出以后,其實企業(yè)也有遇到這個問題。以前我們是從采集數(shù)據(jù)、存儲數(shù)據(jù)、使用數(shù)據(jù),按照我們自己的想法就可以去用了,未來是不是可以按照這種方式合規(guī)地去用,已經(jīng)成為了每個企業(yè)都要考慮的問題。因為這些已經(jīng)牽涉到法律上的問題,如果我們不遵循這樣的法律,哪一天被查到的話極有可能會被駁回,甚至已經(jīng)上升到刑事責(zé)任。
當(dāng)然,現(xiàn)在還有一個相對比較好的事情,就是國家正在推動數(shù)據(jù)資產(chǎn)入表。我們也意識到一家企業(yè)和另外一家企業(yè),為什么這家企業(yè)非常值錢?數(shù)字化時代,我們會發(fā)覺就像有一千萬粉絲和一百萬粉絲的博主,價值是完全不一樣的。企業(yè)沉淀下來的數(shù)據(jù)也是一種資產(chǎn),怎樣能夠體現(xiàn)價值?未來怎樣真正變成企業(yè)資產(chǎn),并入資產(chǎn)表?2022年12月財政部頒布的文章也開始推動這件事情,大家可以想像,未來我們能夠保證數(shù)據(jù)是安全合規(guī),可以拿到,形成資產(chǎn)的話,未來對企業(yè)整個自身資產(chǎn)的增值也是非常有幫助,前提就是合規(guī)。
前面講的很多都是國家層面或者未來看到的趨勢,數(shù)安云智自己在做數(shù)據(jù)安全的過程中整個理念就是讓數(shù)據(jù)安全合規(guī)地創(chuàng)造價值。我們整體設(shè)計數(shù)據(jù)安全治理的框架,第一步做的事情就是怎樣幫助企業(yè)發(fā)現(xiàn)和識別我們的數(shù)據(jù),這也是為什么數(shù)據(jù)資產(chǎn)地圖是我們第一步做的事情。有了數(shù)據(jù)資產(chǎn)地圖,我們可以快速盤點企業(yè)到底有什么樣的類型的數(shù)據(jù),可以對數(shù)據(jù)進行分類分級,完成分類分級以后,能夠形成多維的標(biāo)簽,為未來的合規(guī)做好最基礎(chǔ)的準(zhǔn)備工作。我們發(fā)現(xiàn)識別數(shù)據(jù)以后就要對數(shù)據(jù)進行安全的管控,通過安全的管控策略告訴哪些數(shù)據(jù)是需要的,個人敏感數(shù)據(jù)在使用的時候是需要進行脫敏才能使用,企業(yè)重要數(shù)據(jù)一定要加密才能使用,這些都是我們在未來的安全策略上可以制定的。在此基礎(chǔ)上,我們再根據(jù)未來的用戶對數(shù)據(jù)的使用行為,判斷、分析這種風(fēng)險,通過我們的安全大腦知道哪些數(shù)據(jù)是被非法使用或者違規(guī)使用。
我們公司推出的第一個產(chǎn)品就是數(shù)據(jù)資產(chǎn)地圖,幫助我們納管現(xiàn)有的數(shù)據(jù)資產(chǎn),通過主動掃描和被動監(jiān)聽的方式幫助企業(yè)自動化地生成自己的數(shù)據(jù)資產(chǎn)地圖,告訴我的數(shù)據(jù)資源在什么地方,都有什么類型的數(shù)據(jù),通過智能化識別的手段,通過規(guī)則引擎以及人工智能,我們對實體和對數(shù)據(jù)的理解自動進行分類分級,通過資產(chǎn)地圖就可以形成自己的數(shù)據(jù)資產(chǎn)目錄和標(biāo)簽,現(xiàn)在我們打的是安全標(biāo)簽,我們也可以讓企業(yè)知道敏感數(shù)據(jù)的分布以及未來潛在的合規(guī)風(fēng)險在什么地方。
打造這種數(shù)據(jù)資產(chǎn)地圖最底層的、需要有的一些功能,我們主要需要考慮幾點:平臺化設(shè)計的功能,數(shù)據(jù)資產(chǎn)地圖絕對不是掃描一遍就給客戶導(dǎo)出一張表,告訴有什么數(shù)據(jù)資產(chǎn)就結(jié)束了,因為數(shù)據(jù)是一直在流通,不斷增加和減少的過程,所以需要持續(xù)監(jiān)控。我們有這張數(shù)據(jù)資產(chǎn)地圖以后,我們知道有哪些資產(chǎn)、哪些敏感數(shù)據(jù)、哪些重要數(shù)據(jù)、哪些普通數(shù)據(jù),未來使用這些數(shù)據(jù)的時候就可以參照這張表針對不同的數(shù)據(jù)采取不同的合規(guī)策略或者安全管控策略。這些應(yīng)該是平臺化的設(shè)計,能夠讓我們支撐、接入和對接不同的應(yīng)用系統(tǒng)需要。我們支持多模態(tài)的數(shù)據(jù),其實對數(shù)據(jù)的管控不應(yīng)該僅僅在于關(guān)系型數(shù)據(jù)庫,企業(yè)還有大量非結(jié)構(gòu)化數(shù)據(jù)庫。我們現(xiàn)在正在花時間、花力氣做的就是文檔型數(shù)據(jù)庫,能夠快速識別出來,告訴這個企業(yè)都有哪些文檔含有重要數(shù)據(jù)、含有敏感數(shù)據(jù),針對不同權(quán)限的人去訪問這些數(shù)據(jù),怎樣進行動態(tài)脫敏或者靜態(tài)脫敏。當(dāng)然,針對未來的圖片和視音頻,我們還在持續(xù)去做,因為我們也知道人工智能現(xiàn)在發(fā)展到了一定時期,對自然語言的理解、上下文語義的理解有了一定的技術(shù),怎樣把一些技術(shù)運用到這樣的領(lǐng)域是未來需要考慮的。
我們強調(diào)自適應(yīng)的分類分級算法,也是基于自研的小樣本自學(xué)習(xí)算法,因為企業(yè)不大可能把自己大量的數(shù)據(jù)扔到公有云或者公開算法平臺去做訓(xùn)練,很多數(shù)據(jù)必須在自己的企業(yè)內(nèi)部,而且可能是企業(yè)自己特有的。針對這種特有數(shù)據(jù),我們怎樣智能化識別和快速適應(yīng),也是需要考慮的問題。
最后就是多維度標(biāo)簽和多領(lǐng)域標(biāo)準(zhǔn),當(dāng)我們做這張地圖去看我們自己的數(shù)據(jù)資產(chǎn),包括去打安全標(biāo)簽的時候,我們要看到底符合GDPR的標(biāo)準(zhǔn)還是符合國內(nèi)數(shù)據(jù)安全的標(biāo)準(zhǔn),不同的法律標(biāo)準(zhǔn)以及企業(yè)里面有不同的分類分級要求。因為國家是有國家的規(guī)范,行業(yè)可能有行業(yè)的標(biāo)準(zhǔn),有些企業(yè)自己對自己的數(shù)據(jù)也有一些自己的要求,怎樣對數(shù)據(jù)進行多維標(biāo)簽的打造,未來實現(xiàn)不同法律法規(guī)的檢測規(guī)則的植入?這些是我們在考慮的問題。
人工智能技術(shù)怎樣實現(xiàn)未來的算法?這些是我們自主研發(fā)的小樣本環(huán)境自適應(yīng)的算法,可以理解為包含兩個最核心的技術(shù)功能:一個就是特征工程,我們需要對未來的數(shù)據(jù)特征進行識別,包括數(shù)據(jù)實體的特征。另一個是我們需要聚類算法,針對不認(rèn)識的數(shù)據(jù)能夠去做一個自動的聚類,通過自動聚類以后的數(shù)據(jù)形成這一類數(shù)據(jù)特征的提取以及人工的批量打標(biāo),完成整個訓(xùn)練的過程。我們自己自研的這套體系是整合有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí),也是跟行業(yè)進行緊密結(jié)合的訓(xùn)練方式,讓我們的很多算法可解釋性是非常好的,也是自適應(yīng)的,不斷地幫助企業(yè)發(fā)掘新的類型,通過這種模型能夠快速更改。
通過我們自己的分類分級算法和智能算法,能夠快速地幫助我們找到原來企業(yè)不知道的標(biāo)準(zhǔn)或者不認(rèn)識的內(nèi)容,通過聚類分類的算法,可以看到我們的準(zhǔn)確率可以達到92%。
剛才講的是數(shù)據(jù)資產(chǎn)地圖,下面講一講我們對數(shù)據(jù)安全大腦的研發(fā)過程??梢园褦?shù)據(jù)安全大腦稱之為數(shù)據(jù)安全治理下一代安全運營中心的思路,所以也會針對數(shù)據(jù)安全的整個體系構(gòu)建打造安全數(shù)據(jù)中臺,會把所有安全行為數(shù)據(jù),包括未來的日志數(shù)據(jù)、報警數(shù)據(jù)等等,通過一個安全數(shù)據(jù)中臺進行統(tǒng)一的治理。這些治理完的數(shù)據(jù)在安全數(shù)據(jù)中臺整合以后,我們會通過傳統(tǒng)的規(guī)則或者人工智能形成我們對異常事件的判斷,并且對異常事件進行報警和未來的安全事件處理,所以這些是未來整體的架構(gòu)。
圖中就是我們針對汽車企業(yè),舉個簡單的例子,我們怎么幫助客戶進行行為異常的判斷,能夠根據(jù)客戶的行為數(shù)據(jù)為我們自己的行為建模,形成建模以后可以形成行為基線。所謂的行為基線就是針對不同的用戶、不同的設(shè)備、不同的訪問請求,可以形成一個行為基線,針對這種行為基線形成異常事件的判斷。行為基線完全是通過智能的算法完成,然后在此基礎(chǔ)上會形成用戶的畫像和評分,以及為未來的行為追溯去做一個整體的調(diào)查。
因為我自己在新奧做高級副總裁,負責(zé)數(shù)字化,安全這個事情也是原來我一直考慮的事情。在座的CIO壓力更多的是來自于業(yè)務(wù),怎樣快速地把業(yè)務(wù)做起來。今天越來越多的壓力,我們看到安全已經(jīng)成為一個很重要的話題,為什么?剛才講到合規(guī)現(xiàn)在對我們有這樣的要求,國家的法律法規(guī)已經(jīng)越來越健全,如果我們不去做這方面的考慮一定會有問題。原來傳統(tǒng)的安全公司到我這里的時候更多的是給我們介紹一些產(chǎn)品,而我很少看到有人跟我講安全體系到底應(yīng)該怎么建設(shè),我們應(yīng)該怎樣打造這樣的安全體系。現(xiàn)在網(wǎng)絡(luò)邊界已經(jīng)被打破,有的在云上,有的在邊緣計算,有的在5G,我們已經(jīng)不能光靠一個網(wǎng)絡(luò)的邊界定義怎樣去打造安全體系。
未來我們的安全體系打造到底應(yīng)該以網(wǎng)絡(luò)為邊界考慮還是應(yīng)該以數(shù)據(jù)為核心考慮?我當(dāng)時跟很多朋友溝通的時候也有提到,未來的安全管控體系要想打造的話,應(yīng)該打造以數(shù)據(jù)為中心,以網(wǎng)絡(luò)為基礎(chǔ),并不是網(wǎng)絡(luò)安全不行,網(wǎng)絡(luò)安全是基礎(chǔ),必須去看,但未來的安全體系打造一定是以數(shù)據(jù)為中心打造整個安全體系。今天我們在做自己產(chǎn)品和規(guī)劃的時候考慮的是事前利用安全地圖對企業(yè)核心機密、敏感數(shù)據(jù)進行掃描標(biāo)識、分類分級,形成我們自己的管控基礎(chǔ),事中也在打造數(shù)據(jù)安全網(wǎng)關(guān),通過數(shù)據(jù)安全網(wǎng)關(guān),未來會把安全合規(guī)的體系以及權(quán)限的控制放到安全網(wǎng)關(guān)里面,使得用戶可以細粒度地管控數(shù)據(jù)哪些人能看哪些人不能看,數(shù)據(jù)出去的時候是不是有合規(guī)的風(fēng)險。我們希望事中和事后利用安全大腦實現(xiàn)安全實時的運營,通過我們對各種行為數(shù)據(jù)、各種網(wǎng)絡(luò)安全數(shù)據(jù)的融合和分析,包括通過人工智能找出我們的異常,整合未來我們行動中心的行動能力。之前安全行業(yè)都有談到Thor和未來的RPA,形成我們的整個閉環(huán)。
由于時間關(guān)系,我就簡單分享這些想法,大家如果有興趣的話可以去看一看我們的介紹,當(dāng)然也歡迎大家加我微信,我們可以有更進一步的交流。