在信息化浪潮下，傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型方興未艾，網(wǎng)絡(luò)安全問(wèn)題也得到了更多關(guān)注。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》相繼公布并實(shí)施，企業(yè)如何保障數(shù)字化轉(zhuǎn)型安全成為必解課題。

11 月 14 日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知。通知指出，為落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律關(guān)于數(shù)據(jù)安全管理的規(guī)定，規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保護(hù)個(gè)人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護(hù)國(guó)家安全和公共利益，根據(jù)國(guó)務(wù)院 2021 年立法計(jì)劃，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)研究起草《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》，現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。意見(jiàn)反饋截止時(shí)間為 2021 年 12 月 13 日。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“征求意見(jiàn)稿”）共包含 75 條條例，對(duì)包括數(shù)據(jù)泄露、自動(dòng)化工具（如爬蟲(chóng)）、大數(shù)據(jù)殺熟、人臉識(shí)別等在內(nèi)的數(shù)據(jù)安全問(wèn)題提出了更明確的參考法規(guī)。日前，InfoQ 邀請(qǐng)到 Zilliz 研發(fā)效能高級(jí)經(jīng)理沈立彬?yàn)槲覀兘庾x數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)安全問(wèn)題。Zilliz 是一家開(kāi)源基礎(chǔ)軟件公司，專注于研發(fā)非結(jié)構(gòu)化數(shù)據(jù)庫(kù)系統(tǒng)，為各種 AI 應(yīng)用提供數(shù)據(jù)基礎(chǔ)設(shè)施。

1

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》擬落地，意味著什么？

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》這三大上位法搭建了我國(guó)數(shù)據(jù)合規(guī)的主要法律架構(gòu)，也是我國(guó)網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的基礎(chǔ)性法律。如果用軟件來(lái)進(jìn)行類比，三大上位法相當(dāng)于軟件架構(gòu)，承載了軟件的整體脈絡(luò)和大方向，但卻不夠細(xì)化，在執(zhí)行上缺少具體的參照。而《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》的出臺(tái)則恰恰補(bǔ)足了這一點(diǎn)。

首先在執(zhí)行層面上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》中的很多條款都是在具象實(shí)施路徑，對(duì)三大上位法中未明確的數(shù)字做了進(jìn)一步明確要求。比如征求意見(jiàn)稿第十三條中規(guī)定，處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的數(shù)據(jù)處理者，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，申報(bào)網(wǎng)絡(luò)安全審查；第三十九條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)存留相關(guān)日志記錄和數(shù)據(jù)出境審批記錄三年以上。

其次，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》在上位法的基礎(chǔ)上做了很多原則上的細(xì)化。比如《個(gè)人信息保護(hù)法》第五條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。征求意見(jiàn)稿第十九條就對(duì)此做了進(jìn)一步的明確規(guī)定，逐條闡釋了合法、正當(dāng)、必要：

數(shù)據(jù)處理者處理個(gè)人信息，應(yīng)當(dāng)具有明確、合理的目的，遵循合法、正當(dāng)、必要的原則?；趥€(gè)人同意處理個(gè)人信息的，應(yīng)當(dāng)滿足以下要求：（一）處理的個(gè)人信息是提供服務(wù)所必需的，或者是履行法律、行政法規(guī)規(guī)定的義務(wù)所必需的；（二）限于實(shí)現(xiàn)處理目的最短周期、最低頻次，采取對(duì)個(gè)人權(quán)益影響最小的方式；（三）不得因個(gè)人拒絕提供服務(wù)必需的個(gè)人信息以外的信息，拒絕提供服務(wù)或者干擾個(gè)人正常使用服務(wù)。

在沈立彬看來(lái)，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》擬落地對(duì)個(gè)人和企業(yè)都將產(chǎn)生深遠(yuǎn)的影響。

對(duì)個(gè)人而言，個(gè)人基礎(chǔ)信息數(shù)據(jù)可以得到充分的保障，能夠越來(lái)越清楚地知道自己的信息為何被采集、哪些信息被采集、被采集的信息如何被使用、信息是否提供給第三方等。在過(guò)去，缺少相關(guān)法律的明確制約，一些公司游走在黑灰產(chǎn)的邊緣，致使用戶信息被泄露，嚴(yán)重影響用戶個(gè)人生活和人身財(cái)產(chǎn)安全。而隨著《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》的落地，這一亂象也將得到相應(yīng)治理。

對(duì)企業(yè)而言，既有上位法的基本框架，又有條例的具體指導(dǎo)，企業(yè)需要做的就是積極學(xué)習(xí)，依據(jù)相關(guān)合規(guī)要求加快整改。同時(shí)也需要認(rèn)識(shí)到，市場(chǎng)將不再野蠻式增長(zhǎng)，資本不能凌駕于數(shù)據(jù)安全之上，有數(shù)據(jù)風(fēng)險(xiǎn)的企業(yè)一定會(huì)面臨巨大的監(jiān)管和處罰壓力。

在短期內(nèi)，企業(yè)必定會(huì)增加合規(guī)建設(shè)的投入，包括資金、人力、時(shí)間等成本。但是從長(zhǎng)期來(lái)看，這些法律法規(guī)將引導(dǎo)我國(guó)數(shù)據(jù)安全體系在未來(lái)有一個(gè)相對(duì)清晰的演進(jìn)路線，幫助企業(yè)合規(guī)、合法使用數(shù)據(jù)，同時(shí)又能保護(hù)用戶的個(gè)人利益。

在技術(shù)層面上，沈立彬認(rèn)為一些行業(yè)以及細(xì)分領(lǐng)域?qū)⒂瓉?lái)新的機(jī)遇。“數(shù)據(jù)安全及隱私保護(hù)處在新的風(fēng)口上，整個(gè)行業(yè)將會(huì)投入更多的精力和資源來(lái)建設(shè)。對(duì)于加密，密碼技術(shù)，認(rèn)證技術(shù)、脫敏技術(shù)、存儲(chǔ)技術(shù)等都會(huì)有較大的促進(jìn)作用，同時(shí)也帶來(lái)合規(guī)、咨詢等安全服務(wù)產(chǎn)業(yè)的發(fā)展。”

2

構(gòu)建非結(jié)構(gòu)化數(shù)據(jù)安全解決方案

當(dāng)前，隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程加快，新技術(shù)和新架構(gòu)的演進(jìn)也給企業(yè)的數(shù)據(jù)安全帶來(lái)更高的要求。沈立彬表示，目前企業(yè)在數(shù)據(jù)安全方面通常面臨以下挑戰(zhàn)：

首先是資源投入的問(wèn)題。對(duì)于一些業(yè)務(wù)型的中小企業(yè)來(lái)說(shuō)，本身技術(shù)投入不足，對(duì)數(shù)據(jù)的合規(guī)治理會(huì)產(chǎn)生較大挑戰(zhàn)。

其次，對(duì)于有能力進(jìn)行合規(guī)改造的企業(yè)而言，業(yè)務(wù)部門(mén)的交付速度和基礎(chǔ)部門(mén)因合規(guī)建設(shè)帶來(lái)的延遲也是難以調(diào)和的矛盾。

再者，一些企業(yè)的軟件研發(fā)人員長(zhǎng)期忽視數(shù)據(jù)安全，進(jìn)行合規(guī)建設(shè)之后，會(huì)產(chǎn)生一個(gè)自以為的“工程師文化”和規(guī)范的流程 / 規(guī)則之間的矛盾。

另一方面，據(jù) IDC 預(yù)測(cè)，2018 年到 2025 年之間，全球產(chǎn)生的數(shù)據(jù)量將會(huì)從 33 ZB 增長(zhǎng)到 175 ZB，其中超過(guò) 80% 的數(shù)據(jù)都會(huì)是非結(jié)構(gòu)化數(shù)據(jù)。如果說(shuō)結(jié)構(gòu)化數(shù)據(jù)是機(jī)器可讀的數(shù)據(jù)，那么非結(jié)構(gòu)化數(shù)據(jù)就是人類可讀的數(shù)據(jù)，由人類活動(dòng)所產(chǎn)生，包括圖片、視頻、語(yǔ)音和文字等。

相比于傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)數(shù)據(jù)量龐大（總量大 3 個(gè)數(shù)量級(jí)以上），增長(zhǎng)速度更快（每 1KB 結(jié)構(gòu)化數(shù)據(jù)產(chǎn)生的同時(shí)，約有 1GB 非結(jié)構(gòu)化數(shù)據(jù)產(chǎn)生），并且采集渠道廣泛，數(shù)據(jù)的處理鏈路非常長(zhǎng)。這些都給非結(jié)構(gòu)化數(shù)據(jù)的安全防護(hù)帶來(lái)挑戰(zhàn)。

數(shù)據(jù)的安全解決方案是一系列的流程 + 規(guī)范 + 技術(shù)的綜合保障。沈立彬認(rèn)為，在構(gòu)建非結(jié)構(gòu)化數(shù)據(jù)的安全解決方案時(shí)，應(yīng)先著重解決其當(dāng)前面臨的問(wèn)題?！胺墙Y(jié)構(gòu)化數(shù)據(jù)的處理有一個(gè)核心的矛盾點(diǎn)是，數(shù)據(jù)處理者（業(yè)務(wù)方）有海量的數(shù)據(jù)和數(shù)據(jù)價(jià)值挖掘的需求，但是這些業(yè)務(wù)型企業(yè)的技術(shù)投入往往不足。因此這類企業(yè)在構(gòu)建數(shù)據(jù)安全解決方案時(shí)，需要積極引入整個(gè)生命周期內(nèi)不同角色的解決方案來(lái)協(xié)同工作。”

以數(shù)據(jù)防泄露為例，一些科技企業(yè)在做非結(jié)構(gòu)化數(shù)據(jù)安全建設(shè)時(shí)普遍會(huì)考慮在內(nèi)部環(huán)境上部署 DLP(Data loss prevention) 解決方案，一般會(huì)從使用狀態(tài)下、存儲(chǔ)狀態(tài)下和傳輸狀態(tài)下的泄密幾個(gè)方面來(lái)進(jìn)行保護(hù)。整個(gè)鏈接較長(zhǎng)，并且相對(duì)復(fù)雜。因此，很多數(shù)據(jù)處理者會(huì)選擇采用基礎(chǔ)軟件服務(wù)商提供的私有部署或者 SaaS 服務(wù)的能力，既不需要在基礎(chǔ)安全能力建設(shè)上大幅投入，又能獲得數(shù)據(jù)安全合規(guī)的保障。

“很多硅谷科技公司都是依賴這種模式，比如蘋(píng)果做手機(jī)、電腦，它的技術(shù)能力很強(qiáng)，但它在做日志分析的時(shí)候，并不是自己養(yǎng)個(gè)一百人或幾百人的團(tuán)隊(duì)來(lái)做這件事情，而是每年花幾千萬(wàn)美金去采購(gòu)成熟的日志分析的解決方案?！鄙蛄⒈蛘f(shuō)道。

作為一家 toB 的基礎(chǔ)數(shù)據(jù)軟件供應(yīng)商，沈立彬坦言 Zilliz 身上的責(zé)任會(huì)更重。“我們的任何一個(gè)小問(wèn)題都會(huì)給我們的客戶帶來(lái)巨大的麻煩，因?yàn)檫@些客戶都是企業(yè)級(jí)客戶，每個(gè)都可能在服務(wù)著成千上萬(wàn)，甚至億級(jí)別的企業(yè)和個(gè)人用戶。”為了能更好地支持下游生態(tài)企業(yè)在數(shù)據(jù)合規(guī)方面的建設(shè)，這也就要求基礎(chǔ)軟件提供商在產(chǎn)品和技術(shù)層面進(jìn)一步加強(qiáng)合規(guī)建設(shè)。

3

AI 為網(wǎng)絡(luò)安全開(kāi)辟新的可能性

近年來(lái)，AI 技術(shù)在越來(lái)越多的領(lǐng)域發(fā)揮作用，并為數(shù)據(jù)安全合規(guī)帶來(lái)了新的解題思路。

有數(shù)據(jù)顯示，僅 2021 年上半年，勒索軟件攻擊就達(dá)到了 3.047 億次，打破了 2020 年全年的攻擊總數(shù)（3.046 億次），同比增長(zhǎng) 151%。與之相對(duì)應(yīng)的是，企業(yè)在安全團(tuán)隊(duì)上的投入并沒(méi)有增長(zhǎng) 151%。

“在此背景下，AI 正在為網(wǎng)絡(luò)安全開(kāi)辟新的可能性。AI 會(huì)分析大量數(shù)據(jù)以加快響應(yīng)時(shí)間，并賦能資源有限的安全團(tuán)隊(duì)。”沈立彬介紹道。

AI 會(huì)通過(guò)數(shù)十億個(gè)攻擊數(shù)據(jù)或漏洞數(shù)據(jù)進(jìn)行訓(xùn)練，使用機(jī)器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)來(lái)提高其認(rèn)知，讓機(jī)器能夠“理解”不斷變化的網(wǎng)絡(luò)安全威脅。通過(guò)收集漏洞，并使用高級(jí)推理，AI 可以識(shí)別威脅之間的關(guān)系，例如惡意文件、可疑 IP 地址或內(nèi)部人員。

“通過(guò)利用 AI + 大數(shù)據(jù)，可能只需要幾秒鐘，最多幾分鐘就可以分析出來(lái)，讓安全分析師對(duì)威脅的響應(yīng)速度提高幾十倍，并為過(guò)度緊張的 IT 團(tuán)隊(duì)節(jié)省了寶貴的時(shí)間來(lái)專注于其他關(guān)鍵領(lǐng)域?！?/p>

今年 4 月，英國(guó)網(wǎng)絡(luò)安全初創(chuàng)公司 Darktrace 成功上市，也證明了網(wǎng)絡(luò)安全人工智能在檢測(cè)復(fù)雜的在線攻擊方面頗受歡迎。在國(guó)內(nèi)，也有很多安全廠商積極引入 AI 技術(shù)，為安全監(jiān)測(cè)能力賦能。

公開(kāi)信息顯示，Ziiliz 開(kāi)發(fā)的面向 AI 非結(jié)構(gòu)化數(shù)據(jù)處理的開(kāi)源向量數(shù)據(jù)庫(kù) Milvus 已在 2020 年交由 Linux 基金會(huì)旗下的 LF AI & DATA 基金會(huì)托管，目前在全球范圍內(nèi)有超過(guò) 1000 家企業(yè)在使用 Milvus 構(gòu)建上層的 AI 應(yīng)用。

“Milvus 本身是開(kāi)源產(chǎn)品，對(duì)數(shù)據(jù)安全方面的一些系統(tǒng) (開(kāi)源或者閉源) 有著天生的優(yōu)良的互操作性和兼容性。同時(shí)我們也建設(shè)了完善的日志、metric 等機(jī)制，確保服務(wù)的調(diào)用和數(shù)據(jù)的流轉(zhuǎn)都是可以被審計(jì)的?！毕乱徊?，Zilliz 將發(fā)布向量數(shù)據(jù)庫(kù)的托管服務(wù) (DBaaS)，在幫助客戶大幅減小總體擁有成本 TCO(Total Cost of Ownership) 的同時(shí)，進(jìn)一步幫助數(shù)據(jù)使用方解決數(shù)據(jù)安全合規(guī)問(wèn)題。

4

寫(xiě)在最后

隨著企業(yè)數(shù)字化轉(zhuǎn)型不斷深入，沈立彬認(rèn)為數(shù)據(jù)安全領(lǐng)域分工合作是長(zhǎng)遠(yuǎn)的趨勢(shì)。

基礎(chǔ)軟件提供商負(fù)責(zé)底層可用性、安全性、完整性方面的保障，業(yè)務(wù)方需要采購(gòu)相關(guān)咨詢服務(wù)進(jìn)行定期審計(jì)。在合規(guī)的前提下，數(shù)據(jù)可以有效的進(jìn)行流通，換取更多的價(jià)值。而對(duì)于開(kāi)發(fā)者而言，在技術(shù)技能之外，也需要具備一定的數(shù)據(jù)安全合規(guī)意識(shí)。