信息化觀察網(wǎng)

在信息化浪潮下，傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型方興未艾，網(wǎng)絡(luò)安全問題也得到了更多關(guān)注。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》相繼公布并實施，企業(yè)如何保障數(shù)字化轉(zhuǎn)型安全成為必解課題。

11月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見的通知。通知指出，為落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律關(guān)于數(shù)據(jù)安全管理的規(guī)定，規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護國家安全和公共利益，根據(jù)國務(wù)院2021年立法計劃，國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門研究起草《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》，現(xiàn)向社會公開征求意見。意見反饋截止時間為2021年12月13日。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱“征求意見稿”）共包含75條條例，對包括數(shù)據(jù)泄露、自動化工具（如爬蟲）、大數(shù)據(jù)殺熟、人臉識別等在內(nèi)的數(shù)據(jù)安全問題提出了更明確的參考法規(guī)。日前，InfoQ邀請到Zilliz研發(fā)效能高級經(jīng)理沈立彬為我們解讀數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)安全問題。Zilliz是一家開源基礎(chǔ)軟件公司，專注于研發(fā)非結(jié)構(gòu)化數(shù)據(jù)庫系統(tǒng)，為各種AI應(yīng)用提供數(shù)據(jù)基礎(chǔ)設(shè)施。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》擬落地，意味著什么？

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》這三大上位法搭建了我國數(shù)據(jù)合規(guī)的主要法律架構(gòu)，也是我國網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的基礎(chǔ)性法律。如果用軟件來進行類比，三大上位法相當于軟件架構(gòu)，承載了軟件的整體脈絡(luò)和大方向，但卻不夠細化，在執(zhí)行上缺少具體的參照。而《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》的出臺則恰恰補足了這一點。

首先在執(zhí)行層面上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中的很多條款都是在具象實施路徑，對三大上位法中未明確的數(shù)字做了進一步明確要求。比如征求意見稿第十三條中規(guī)定，處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的數(shù)據(jù)處理者，應(yīng)當按照國家有關(guān)規(guī)定，申報網(wǎng)絡(luò)安全審查；第三十九條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當存留相關(guān)日志記錄和數(shù)據(jù)出境審批記錄三年以上。

其次，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》在上位法的基礎(chǔ)上做了很多原則上的細化。比如《個人信息保護法》第五條規(guī)定，處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。征求意見稿第十九條就對此做了進一步的明確規(guī)定，逐條闡釋了合法、正當、必要：

數(shù)據(jù)處理者處理個人信息，應(yīng)當具有明確、合理的目的，遵循合法、正當、必要的原則?；趥€人同意處理個人信息的，應(yīng)當滿足以下要求：（一）處理的個人信息是提供服務(wù)所必需的，或者是履行法律、行政法規(guī)規(guī)定的義務(wù)所必需的；（二）限于實現(xiàn)處理目的最短周期、最低頻次，采取對個人權(quán)益影響最小的方式；（三）不得因個人拒絕提供服務(wù)必需的個人信息以外的信息，拒絕提供服務(wù)或者干擾個人正常使用服務(wù)。

在沈立彬看來，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》擬落地對個人和企業(yè)都將產(chǎn)生深遠的影響。

對個人而言，個人基礎(chǔ)信息數(shù)據(jù)可以得到充分的保障，能夠越來越清楚地知道自己的信息為何被采集、哪些信息被采集、被采集的信息如何被使用、信息是否提供給第三方等。在過去，缺少相關(guān)法律的明確制約，一些公司游走在黑灰產(chǎn)的邊緣，致使用戶信息被泄露，嚴重影響用戶個人生活和人身財產(chǎn)安全。而隨著《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》的落地，這一亂象也將得到相應(yīng)治理。

對企業(yè)而言，既有上位法的基本框架，又有條例的具體指導(dǎo)，企業(yè)需要做的就是積極學(xué)習，依據(jù)相關(guān)合規(guī)要求加快整改。同時也需要認識到，市場將不再野蠻式增長，資本不能凌駕于數(shù)據(jù)安全之上，有數(shù)據(jù)風險的企業(yè)一定會面臨巨大的監(jiān)管和處罰壓力。

在短期內(nèi)，企業(yè)必定會增加合規(guī)建設(shè)的投入，包括資金、人力、時間等成本。但是從長期來看，這些法律法規(guī)將引導(dǎo)我國數(shù)據(jù)安全體系在未來有一個相對清晰的演進路線，幫助企業(yè)合規(guī)、合法使用數(shù)據(jù)，同時又能保護用戶的個人利益。

在技術(shù)層面上，沈立彬認為一些行業(yè)以及細分領(lǐng)域?qū)⒂瓉硇碌臋C遇。“數(shù)據(jù)安全及隱私保護處在新的風口上，整個行業(yè)將會投入更多的精力和資源來建設(shè)。對于加密，密碼技術(shù)，認證技術(shù)、脫敏技術(shù)、存儲技術(shù)等都會有較大的促進作用，同時也帶來合規(guī)、咨詢等安全服務(wù)產(chǎn)業(yè)的發(fā)展。”

構(gòu)建非結(jié)構(gòu)化數(shù)據(jù)安全解決方案

當前，隨著企業(yè)數(shù)字化轉(zhuǎn)型進程加快，新技術(shù)和新架構(gòu)的演進也給企業(yè)的數(shù)據(jù)安全帶來更高的要求。沈立彬表示，目前企業(yè)在數(shù)據(jù)安全方面通常面臨以下挑戰(zhàn)：

首先是資源投入的問題。對于一些業(yè)務(wù)型的中小企業(yè)來說，本身技術(shù)投入不足，對數(shù)據(jù)的合規(guī)治理會產(chǎn)生較大挑戰(zhàn)。

其次，對于有能力進行合規(guī)改造的企業(yè)而言，業(yè)務(wù)部門的交付速度和基礎(chǔ)部門因合規(guī)建設(shè)帶來的延遲也是難以調(diào)和的矛盾。

再者，一些企業(yè)的軟件研發(fā)人員長期忽視數(shù)據(jù)安全，進行合規(guī)建設(shè)之后，會產(chǎn)生一個自以為的“工程師文化”和規(guī)范的流程/規(guī)則之間的矛盾。

另一方面，據(jù)IDC預(yù)測，2018年到2025年之間，全球產(chǎn)生的數(shù)據(jù)量將會從33 ZB增長到175 ZB，其中超過80%的數(shù)據(jù)都會是非結(jié)構(gòu)化數(shù)據(jù)。如果說結(jié)構(gòu)化數(shù)據(jù)是機器可讀的數(shù)據(jù)，那么非結(jié)構(gòu)化數(shù)據(jù)就是人類可讀的數(shù)據(jù)，由人類活動所產(chǎn)生，包括圖片、視頻、語音和文字等。

相比于傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)數(shù)據(jù)量龐大（總量大3個數(shù)量級以上），增長速度更快（每1KB結(jié)構(gòu)化數(shù)據(jù)產(chǎn)生的同時，約有1GB非結(jié)構(gòu)化數(shù)據(jù)產(chǎn)生），并且采集渠道廣泛，數(shù)據(jù)的處理鏈路非常長。這些都給非結(jié)構(gòu)化數(shù)據(jù)的安全防護帶來挑戰(zhàn)。

數(shù)據(jù)的安全解決方案是一系列的流程+規(guī)范+技術(shù)的綜合保障。沈立彬認為，在構(gòu)建非結(jié)構(gòu)化數(shù)據(jù)的安全解決方案時，應(yīng)先著重解決其當前面臨的問題。“非結(jié)構(gòu)化數(shù)據(jù)的處理有一個核心的矛盾點是，數(shù)據(jù)處理者（業(yè)務(wù)方）有海量的數(shù)據(jù)和數(shù)據(jù)價值挖掘的需求，但是這些業(yè)務(wù)型企業(yè)的技術(shù)投入往往不足。因此這類企業(yè)在構(gòu)建數(shù)據(jù)安全解決方案時，需要積極引入整個生命周期內(nèi)不同角色的解決方案來協(xié)同工作。”

以數(shù)據(jù)防泄露為例，一些科技企業(yè)在做非結(jié)構(gòu)化數(shù)據(jù)安全建設(shè)時普遍會考慮在內(nèi)部環(huán)境上部署DLP(Data loss prevention)解決方案，一般會從使用狀態(tài)下、存儲狀態(tài)下和傳輸狀態(tài)下的泄密幾個方面來進行保護。整個鏈接較長，并且相對復(fù)雜。因此，很多數(shù)據(jù)處理者會選擇采用基礎(chǔ)軟件服務(wù)商提供的私有部署或者SaaS服務(wù)的能力，既不需要在基礎(chǔ)安全能力建設(shè)上大幅投入，又能獲得數(shù)據(jù)安全合規(guī)的保障。

“很多硅谷科技公司都是依賴這種模式，比如蘋果做手機、電腦，它的技術(shù)能力很強，但它在做日志分析的時候，并不是自己養(yǎng)個一百人或幾百人的團隊來做這件事情，而是每年花幾千萬美金去采購成熟的日志分析的解決方案。”沈立彬說道。

作為一家toB的基礎(chǔ)數(shù)據(jù)軟件供應(yīng)商，沈立彬坦言Zilliz身上的責任會更重。“我們的任何一個小問題都會給我們的客戶帶來巨大的麻煩，因為這些客戶都是企業(yè)級客戶，每個都可能在服務(wù)著成千上萬，甚至億級別的企業(yè)和個人用戶。”為了能更好地支持下游生態(tài)企業(yè)在數(shù)據(jù)合規(guī)方面的建設(shè)，這也就要求基礎(chǔ)軟件提供商在產(chǎn)品和技術(shù)層面進一步加強合規(guī)建設(shè)。

AI為網(wǎng)絡(luò)安全開辟新的可能性

近年來，AI技術(shù)在越來越多的領(lǐng)域發(fā)揮作用，并為數(shù)據(jù)安全合規(guī)帶來了新的解題思路。

有數(shù)據(jù)顯示，僅2021年上半年，勒索軟件攻擊就達到了3.047億次，打破了2020年全年的攻擊總數(shù)（3.046億次），同比增長151%。與之相對應(yīng)的是，企業(yè)在安全團隊上的投入并沒有增長151%。

“在此背景下，AI正在為網(wǎng)絡(luò)安全開辟新的可能性。AI會分析大量數(shù)據(jù)以加快響應(yīng)時間，并賦能資源有限的安全團隊。”沈立彬介紹道。

AI會通過數(shù)十億個攻擊數(shù)據(jù)或漏洞數(shù)據(jù)進行訓(xùn)練，使用機器學(xué)習和深度學(xué)習技術(shù)來提高其認知，讓機器能夠“理解”不斷變化的網(wǎng)絡(luò)安全威脅。通過收集漏洞，并使用高級推理，AI可以識別威脅之間的關(guān)系，例如惡意文件、可疑IP地址或內(nèi)部人員。

“通過利用AI+大數(shù)據(jù)，可能只需要幾秒鐘，最多幾分鐘就可以分析出來，讓安全分析師對威脅的響應(yīng)速度提高幾十倍，并為過度緊張的IT團隊節(jié)省了寶貴的時間來專注于其他關(guān)鍵領(lǐng)域。”

今年4月，英國網(wǎng)絡(luò)安全初創(chuàng)公司Darktrace成功上市，也證明了網(wǎng)絡(luò)安全人工智能在檢測復(fù)雜的在線攻擊方面頗受歡迎。在國內(nèi)，也有很多安全廠商積極引入AI技術(shù)，為安全監(jiān)測能力賦能。

公開信息顯示，Ziiliz開發(fā)的面向AI非結(jié)構(gòu)化數(shù)據(jù)處理的開源向量數(shù)據(jù)庫Milvus已在2020年交由Linux基金會旗下的LF AI&DATA基金會托管，目前在全球范圍內(nèi)有超過1000家企業(yè)在使用Milvus構(gòu)建上層的AI應(yīng)用。

“Milvus本身是開源產(chǎn)品，對數(shù)據(jù)安全方面的一些系統(tǒng)(開源或者閉源)有著天生的優(yōu)良的互操作性和兼容性。同時我們也建設(shè)了完善的日志、metric等機制，確保服務(wù)的調(diào)用和數(shù)據(jù)的流轉(zhuǎn)都是可以被審計的。”下一步，Zilliz將發(fā)布向量數(shù)據(jù)庫的托管服務(wù)(DBaaS)，在幫助客戶大幅減小總體擁有成本TCO(Total Cost of Ownership)的同時，進一步幫助數(shù)據(jù)使用方解決數(shù)據(jù)安全合規(guī)問題。

寫在最后

隨著企業(yè)數(shù)字化轉(zhuǎn)型不斷深入，沈立彬認為數(shù)據(jù)安全領(lǐng)域分工合作是長遠的趨勢。

基礎(chǔ)軟件提供商負責底層可用性、安全性、完整性方面的保障，業(yè)務(wù)方需要采購相關(guān)咨詢服務(wù)進行定期審計。在合規(guī)的前提下，數(shù)據(jù)可以有效的進行流通，換取更多的價值。而對于開發(fā)者而言，在技術(shù)技能之外，也需要具備一定的數(shù)據(jù)安全合規(guī)意識。