在信息化浪潮下，傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉型方興未艾，網(wǎng)絡安全問題也得到了更多關注。隨著《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》相繼公布并實施，企業(yè)如何保障數(shù)字化轉型安全成為必解課題。

11 月 14 日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關于《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見的通知。通知指出，為落實《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律關于數(shù)據(jù)安全管理的規(guī)定，規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，保護個人、組織在網(wǎng)絡空間的合法權益，維護國家安全和公共利益，根據(jù)國務院 2021 年立法計劃，國家互聯(lián)網(wǎng)信息辦公室會同相關部門研究起草《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》，現(xiàn)向社會公開征求意見。意見反饋截止時間為 2021 年 12 月 13 日。

《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱“征求意見稿”）共包含 75 條條例，對包括數(shù)據(jù)泄露、自動化工具（如爬蟲）、大數(shù)據(jù)殺熟、人臉識別等在內的數(shù)據(jù)安全問題提出了更明確的參考法規(guī)。日前，InfoQ 邀請到 Zilliz 研發(fā)效能高級經(jīng)理沈立彬為我們解讀數(shù)字化轉型下的數(shù)據(jù)安全問題。Zilliz 是一家開源基礎軟件公司，專注于研發(fā)非結構化數(shù)據(jù)庫系統(tǒng)，為各種 AI 應用提供數(shù)據(jù)基礎設施。

1

《網(wǎng)絡數(shù)據(jù)安全管理條例》擬落地，意味著什么？

《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》這三大上位法搭建了我國數(shù)據(jù)合規(guī)的主要法律架構，也是我國網(wǎng)絡安全與數(shù)據(jù)合規(guī)領域的基礎性法律。如果用軟件來進行類比，三大上位法相當于軟件架構，承載了軟件的整體脈絡和大方向，但卻不夠細化，在執(zhí)行上缺少具體的參照。而《網(wǎng)絡數(shù)據(jù)安全管理條例》的出臺則恰恰補足了這一點。

首先在執(zhí)行層面上，《網(wǎng)絡數(shù)據(jù)安全管理條例》中的很多條款都是在具象實施路徑，對三大上位法中未明確的數(shù)字做了進一步明確要求。比如征求意見稿第十三條中規(guī)定，處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的數(shù)據(jù)處理者，應當按照國家有關規(guī)定，申報網(wǎng)絡安全審查；第三十九條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當存留相關日志記錄和數(shù)據(jù)出境審批記錄三年以上。

其次，《網(wǎng)絡數(shù)據(jù)安全管理條例》在上位法的基礎上做了很多原則上的細化。比如《個人信息保護法》第五條規(guī)定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。征求意見稿第十九條就對此做了進一步的明確規(guī)定，逐條闡釋了合法、正當、必要：

數(shù)據(jù)處理者處理個人信息，應當具有明確、合理的目的，遵循合法、正當、必要的原則。基于個人同意處理個人信息的，應當滿足以下要求：（一）處理的個人信息是提供服務所必需的，或者是履行法律、行政法規(guī)規(guī)定的義務所必需的；（二）限于實現(xiàn)處理目的最短周期、最低頻次，采取對個人權益影響最小的方式；（三）不得因個人拒絕提供服務必需的個人信息以外的信息，拒絕提供服務或者干擾個人正常使用服務。

在沈立彬看來，《網(wǎng)絡數(shù)據(jù)安全管理條例》擬落地對個人和企業(yè)都將產(chǎn)生深遠的影響。

對個人而言，個人基礎信息數(shù)據(jù)可以得到充分的保障，能夠越來越清楚地知道自己的信息為何被采集、哪些信息被采集、被采集的信息如何被使用、信息是否提供給第三方等。在過去，缺少相關法律的明確制約，一些公司游走在黑灰產(chǎn)的邊緣，致使用戶信息被泄露，嚴重影響用戶個人生活和人身財產(chǎn)安全。而隨著《網(wǎng)絡數(shù)據(jù)安全管理條例》的落地，這一亂象也將得到相應治理。

對企業(yè)而言，既有上位法的基本框架，又有條例的具體指導，企業(yè)需要做的就是積極學習，依據(jù)相關合規(guī)要求加快整改。同時也需要認識到，市場將不再野蠻式增長，資本不能凌駕于數(shù)據(jù)安全之上，有數(shù)據(jù)風險的企業(yè)一定會面臨巨大的監(jiān)管和處罰壓力。

在短期內，企業(yè)必定會增加合規(guī)建設的投入，包括資金、人力、時間等成本。但是從長期來看，這些法律法規(guī)將引導我國數(shù)據(jù)安全體系在未來有一個相對清晰的演進路線，幫助企業(yè)合規(guī)、合法使用數(shù)據(jù)，同時又能保護用戶的個人利益。

在技術層面上，沈立彬認為一些行業(yè)以及細分領域將迎來新的機遇。“數(shù)據(jù)安全及隱私保護處在新的風口上，整個行業(yè)將會投入更多的精力和資源來建設。對于加密，密碼技術，認證技術、脫敏技術、存儲技術等都會有較大的促進作用，同時也帶來合規(guī)、咨詢等安全服務產(chǎn)業(yè)的發(fā)展。”

2

構建非結構化數(shù)據(jù)安全解決方案

當前，隨著企業(yè)數(shù)字化轉型進程加快，新技術和新架構的演進也給企業(yè)的數(shù)據(jù)安全帶來更高的要求。沈立彬表示，目前企業(yè)在數(shù)據(jù)安全方面通常面臨以下挑戰(zhàn)：

首先是資源投入的問題。對于一些業(yè)務型的中小企業(yè)來說，本身技術投入不足，對數(shù)據(jù)的合規(guī)治理會產(chǎn)生較大挑戰(zhàn)。

其次，對于有能力進行合規(guī)改造的企業(yè)而言，業(yè)務部門的交付速度和基礎部門因合規(guī)建設帶來的延遲也是難以調和的矛盾。

再者，一些企業(yè)的軟件研發(fā)人員長期忽視數(shù)據(jù)安全，進行合規(guī)建設之后，會產(chǎn)生一個自以為的“工程師文化”和規(guī)范的流程 / 規(guī)則之間的矛盾。

另一方面，據(jù) IDC 預測，2018 年到 2025 年之間，全球產(chǎn)生的數(shù)據(jù)量將會從 33 ZB 增長到 175 ZB，其中超過 80% 的數(shù)據(jù)都會是非結構化數(shù)據(jù)。如果說結構化數(shù)據(jù)是機器可讀的數(shù)據(jù)，那么非結構化數(shù)據(jù)就是人類可讀的數(shù)據(jù)，由人類活動所產(chǎn)生，包括圖片、視頻、語音和文字等。

相比于傳統(tǒng)的結構化數(shù)據(jù)和半結構化數(shù)據(jù)，非結構化數(shù)據(jù)數(shù)據(jù)量龐大（總量大 3 個數(shù)量級以上），增長速度更快（每 1KB 結構化數(shù)據(jù)產(chǎn)生的同時，約有 1GB 非結構化數(shù)據(jù)產(chǎn)生），并且采集渠道廣泛，數(shù)據(jù)的處理鏈路非常長。這些都給非結構化數(shù)據(jù)的安全防護帶來挑戰(zhàn)。

數(shù)據(jù)的安全解決方案是一系列的流程 + 規(guī)范 + 技術的綜合保障。沈立彬認為，在構建非結構化數(shù)據(jù)的安全解決方案時，應先著重解決其當前面臨的問題?！胺墙Y構化數(shù)據(jù)的處理有一個核心的矛盾點是，數(shù)據(jù)處理者（業(yè)務方）有海量的數(shù)據(jù)和數(shù)據(jù)價值挖掘的需求，但是這些業(yè)務型企業(yè)的技術投入往往不足。因此這類企業(yè)在構建數(shù)據(jù)安全解決方案時，需要積極引入整個生命周期內不同角色的解決方案來協(xié)同工作。”

以數(shù)據(jù)防泄露為例，一些科技企業(yè)在做非結構化數(shù)據(jù)安全建設時普遍會考慮在內部環(huán)境上部署 DLP(Data loss prevention) 解決方案，一般會從使用狀態(tài)下、存儲狀態(tài)下和傳輸狀態(tài)下的泄密幾個方面來進行保護。整個鏈接較長，并且相對復雜。因此，很多數(shù)據(jù)處理者會選擇采用基礎軟件服務商提供的私有部署或者 SaaS 服務的能力，既不需要在基礎安全能力建設上大幅投入，又能獲得數(shù)據(jù)安全合規(guī)的保障。

“很多硅谷科技公司都是依賴這種模式，比如蘋果做手機、電腦，它的技術能力很強，但它在做日志分析的時候，并不是自己養(yǎng)個一百人或幾百人的團隊來做這件事情，而是每年花幾千萬美金去采購成熟的日志分析的解決方案?！鄙蛄⒈蛘f道。

作為一家 toB 的基礎數(shù)據(jù)軟件供應商，沈立彬坦言 Zilliz 身上的責任會更重。“我們的任何一個小問題都會給我們的客戶帶來巨大的麻煩，因為這些客戶都是企業(yè)級客戶，每個都可能在服務著成千上萬，甚至億級別的企業(yè)和個人用戶?！睘榱四芨玫刂С窒掠紊鷳B(tài)企業(yè)在數(shù)據(jù)合規(guī)方面的建設，這也就要求基礎軟件提供商在產(chǎn)品和技術層面進一步加強合規(guī)建設。

3

AI 為網(wǎng)絡安全開辟新的可能性

近年來，AI 技術在越來越多的領域發(fā)揮作用，并為數(shù)據(jù)安全合規(guī)帶來了新的解題思路。

有數(shù)據(jù)顯示，僅 2021 年上半年，勒索軟件攻擊就達到了 3.047 億次，打破了 2020 年全年的攻擊總數(shù)（3.046 億次），同比增長 151%。與之相對應的是，企業(yè)在安全團隊上的投入并沒有增長 151%。

“在此背景下，AI 正在為網(wǎng)絡安全開辟新的可能性。AI 會分析大量數(shù)據(jù)以加快響應時間，并賦能資源有限的安全團隊?！鄙蛄⒈蚪榻B道。

AI 會通過數(shù)十億個攻擊數(shù)據(jù)或漏洞數(shù)據(jù)進行訓練，使用機器學習和深度學習技術來提高其認知，讓機器能夠“理解”不斷變化的網(wǎng)絡安全威脅。通過收集漏洞，并使用高級推理，AI 可以識別威脅之間的關系，例如惡意文件、可疑 IP 地址或內部人員。

“通過利用 AI + 大數(shù)據(jù)，可能只需要幾秒鐘，最多幾分鐘就可以分析出來，讓安全分析師對威脅的響應速度提高幾十倍，并為過度緊張的 IT 團隊節(jié)省了寶貴的時間來專注于其他關鍵領域?！?/p>

今年 4 月，英國網(wǎng)絡安全初創(chuàng)公司 Darktrace 成功上市，也證明了網(wǎng)絡安全人工智能在檢測復雜的在線攻擊方面頗受歡迎。在國內，也有很多安全廠商積極引入 AI 技術，為安全監(jiān)測能力賦能。

公開信息顯示，Ziiliz 開發(fā)的面向 AI 非結構化數(shù)據(jù)處理的開源向量數(shù)據(jù)庫 Milvus 已在 2020 年交由 Linux 基金會旗下的 LF AI & DATA 基金會托管，目前在全球范圍內有超過 1000 家企業(yè)在使用 Milvus 構建上層的 AI 應用。

“Milvus 本身是開源產(chǎn)品，對數(shù)據(jù)安全方面的一些系統(tǒng) (開源或者閉源) 有著天生的優(yōu)良的互操作性和兼容性。同時我們也建設了完善的日志、metric 等機制，確保服務的調用和數(shù)據(jù)的流轉都是可以被審計的?！毕乱徊剑琙illiz 將發(fā)布向量數(shù)據(jù)庫的托管服務 (DBaaS)，在幫助客戶大幅減小總體擁有成本 TCO(Total Cost of Ownership) 的同時，進一步幫助數(shù)據(jù)使用方解決數(shù)據(jù)安全合規(guī)問題。

4

寫在最后

隨著企業(yè)數(shù)字化轉型不斷深入，沈立彬認為數(shù)據(jù)安全領域分工合作是長遠的趨勢。

基礎軟件提供商負責底層可用性、安全性、完整性方面的保障，業(yè)務方需要采購相關咨詢服務進行定期審計。在合規(guī)的前提下，數(shù)據(jù)可以有效的進行流通，換取更多的價值。而對于開發(fā)者而言，在技術技能之外，也需要具備一定的數(shù)據(jù)安全合規(guī)意識。