当前位置:CIO新闻中心 → 正文

让数据安全合规的创造价值

责任编辑:cres |来源:企业网D1Net  2023-05-10 16:12:54 原创文章 企业网D1Net

5月10日,由企业网D1Net举办的2023全国CIO大会盛大召开。本届大会以“企业承压,IT怎么干?”为主题,汇集300+企业CIO及IT高管,旨在搭建CIO与同行交流的高质量交流和社交平台,通过观点与思想的激烈碰撞,可落地的实战干货分享,帮助CIO用户群化解困惑和焦虑,助力广大CIO找准数字化机遇、少走弯路,应对数字化转型过程中的诸多挑战。主论坛外,另设新安全、数据赋能、新技术增效三个分论坛。包括CIO中年职业危机应对也是本次大会的议题之一。
 
以下是现场速记。
 


数安云智创始人 徐刚
 
徐刚:很高兴在美丽的新疆跟大家分享,我的主题是“让数据安全合规地创造价值”,刚才刘总讲的合规是不是给大家带来了很多压力?我们做的事情就是想让合规变得更简单,让大家能够更好地聚焦于业务,而我们把自己的合规体系更容易地建立起来,这是我们希望做的事情。
 
我叫徐刚,本人在IBM做了十八年,在微软做了两年,离开IBM以后是在新奥集团作为高级副总裁主管数字化三年半,数安云智是我创立的专门关注数据安全领域的一家公司。为什么要讲数据安全?传统的讲到数据安全,大家想到的就是怎么把数据防护好,不让别人看,而我认为今天在数字化时代,数据被捆在家里一定不是方向,未来的数据一定需要更好地进行分享和共享,只有分享和共享才能产生价值,所以我们的目标和方向就是让数据安全合规地创造价值。
 
2020年4月,国务院第一次提出数据要素化的概念,大家可能都不清楚这是什么意思。其实从国家层面是把数据拉到了一个非常高的层面,认为是核心的生产要素,等同于农业经济时代的土地和劳动力,或者是工业经济时代,我们把资本和技术放上去。数字经济时代,其实数据是最核心的,所以把数据变成一种生产要素。提出数据要素化的时候,大家对这一块的理解还是非常模糊,反而是在2021年7-8月,各种个人信息保护法、数据安全法都陆续出台,大家的感觉是对数据管控的要求是不是更高了?我跟团队很多人都在讲,数据安全法、个人信息保护法的出台是为了以后我们能够更好地利用数据打基础,先把规矩做好,告诉大家我们应该怎样对数据进行分类分级,能够针对不同的数据进行不同类型的处理方式,所以只有把这些规矩做好才能更好地推动数据的共享。
 
今天在数字经济时代,数据有点像石油,原来工业时代的时候通过自然形成的石油存放在地下没有任何价值,现在的数据基本上都是企业通过业务系统逐渐沉淀下来放在自己家里。我们知道一些企业数字化做得好就在想怎么利用自己的数据推动业务,所以叫做数据驱动业务,怎么把自己沉淀的数据用好。我们可以看到从国家层面不是光有企业内部怎么把数据用好的问题,而是今天到了人工智能,需要大数据,也需要跨业数据融合或者同行业数据整合,能够在上面产生更多的智能、更多的创新业务,我们到底应该怎样去做。
 
不知道大家有没有注意到,国家最近两年在各地都在成立数据交易所,数据交易所是干嘛的?就是让大家把数据开始进行真正有价值的交易,这些是我们看到的国家正在大力推动的。数据交易本身就像原油,拿出来的时候没有人卖,因为原油本身不能给我带来什么价值,而我们也可以看到数字化时代有很多公司已经在做人工智能。前两年我们也觉得很辛苦,就是没有数据,我们有技术、有算法,但没有数据就没有办法去做。我们发觉真正要想推动的话还是需要靠能够有一个数据的加工商,通过把这些数据进行加工分享以后才可以让我们的受用方真正使用到我们这样的数据。
 
怎样把数据安全流通交易起来,这些是我们现在已经遇到的问题。现在企业也有看到一个最实际的问题,虽然说流通是一个很重要的环节,但法律现在也有一个很明确的规定,不是说数据拿出来交易就可以。之前在数据安全法各个方面的法律规定起来就在说,数据需要先进行分类分级,之后就会知道哪些是重要的数据,不能出狱,哪些是个人敏感数据,需要脱敏后才能使用,哪些是普通数据,可以拿来创造价值。我们可以看到企业目前虽然是知道有这样的法律法规,也在不断地内部利用我们的数据,但是不是合规地使用这些数据?我们认为很多企业是不清楚的,哪些数据能用,哪些数据能拿出去,未来产生更多价值有没有方法,这些都是目前我们遇到的问题。
 
国家对数据安全现在已经有了明确的要求,公司要上市的时候,上市公司要做审计的时候,数据安全已经和财务审计一样变成了一个必要项,就是要求我们能够全面自查和定期自查,需要对自己的数据进行全面的分类分级管理,同时对数据生命周期合规与企业管理合规进行整体的管控,而且需要根据监管的动态及时进行风险预判。因为现在监管政策也是不断出台的,比如我们有数据需要跨境去做的时候,我们需要严格参照监管的要求,看一看哪些数据允许出境,哪些数据严格限制。
 
对标海外的话,国内数据安全合规的需求其实还是刚起步。OneTrust和BigID真正发展是在2018年的时候,当时欧洲正式发布GDPR,是对个人隐私数据进行非常严格的管控,美国加州出台数据安全法案是2018年6月。随着这些法规的出台,很多企业开始有困惑,就是到底怎么去做。因为法律对隐私数据怎么使用已经有了严格的规定,今天在中国我们自己还有感觉,数据在哪里登录以后就被卖到哪里,但从欧洲和美国来讲很早就已经提出对个人隐私数据的管控要求。随着国内数据安全法、个人隐私保护法2021年逐渐推出以后,其实企业也有遇到这个问题。以前我们是从采集数据、存储数据、使用数据,按照我们自己的想法就可以去用了,未来是不是可以按照这种方式合规地去用,已经成为了每个企业都要考虑的问题。因为这些已经牵涉到法律上的问题,如果我们不遵循这样的法律,哪一天被查到的话极有可能会被驳回,甚至已经上升到刑事责任。
 
当然,现在还有一个相对比较好的事情,就是国家正在推动数据资产入表。我们也意识到一家企业和另外一家企业,为什么这家企业非常值钱?数字化时代,我们会发觉就像有一千万粉丝和一百万粉丝的博主,价值是完全不一样的。企业沉淀下来的数据也是一种资产,怎样能够体现价值?未来怎样真正变成企业资产,并入资产表?2022年12月财政部颁布的文章也开始推动这件事情,大家可以想像,未来我们能够保证数据是安全合规,可以拿到,形成资产的话,未来对企业整个自身资产的增值也是非常有帮助,前提就是合规。
 
前面讲的很多都是国家层面或者未来看到的趋势,数安云智自己在做数据安全的过程中整个理念就是让数据安全合规地创造价值。我们整体设计数据安全治理的框架,第一步做的事情就是怎样帮助企业发现和识别我们的数据,这也是为什么数据资产地图是我们第一步做的事情。有了数据资产地图,我们可以快速盘点企业到底有什么样的类型的数据,可以对数据进行分类分级,完成分类分级以后,能够形成多维的标签,为未来的合规做好最基础的准备工作。我们发现识别数据以后就要对数据进行安全的管控,通过安全的管控策略告诉哪些数据是需要的,个人敏感数据在使用的时候是需要进行脱敏才能使用,企业重要数据一定要加密才能使用,这些都是我们在未来的安全策略上可以制定的。在此基础上,我们再根据未来的用户对数据的使用行为,判断、分析这种风险,通过我们的安全大脑知道哪些数据是被非法使用或者违规使用。
 
我们公司推出的第一个产品就是数据资产地图,帮助我们纳管现有的数据资产,通过主动扫描和被动监听的方式帮助企业自动化地生成自己的数据资产地图,告诉我的数据资源在什么地方,都有什么类型的数据,通过智能化识别的手段,通过规则引擎以及人工智能,我们对实体和对数据的理解自动进行分类分级,通过资产地图就可以形成自己的数据资产目录和标签,现在我们打的是安全标签,我们也可以让企业知道敏感数据的分布以及未来潜在的合规风险在什么地方。
 
打造这种数据资产地图最底层的、需要有的一些功能,我们主要需要考虑几点:平台化设计的功能,数据资产地图绝对不是扫描一遍就给客户导出一张表,告诉有什么数据资产就结束了,因为数据是一直在流通,不断增加和减少的过程,所以需要持续监控。我们有这张数据资产地图以后,我们知道有哪些资产、哪些敏感数据、哪些重要数据、哪些普通数据,未来使用这些数据的时候就可以参照这张表针对不同的数据采取不同的合规策略或者安全管控策略。这些应该是平台化的设计,能够让我们支撑、接入和对接不同的应用系统需要。我们支持多模态的数据,其实对数据的管控不应该仅仅在于关系型数据库,企业还有大量非结构化数据库。我们现在正在花时间、花力气做的就是文档型数据库,能够快速识别出来,告诉这个企业都有哪些文档含有重要数据、含有敏感数据,针对不同权限的人去访问这些数据,怎样进行动态脱敏或者静态脱敏。当然,针对未来的图片和视音频,我们还在持续去做,因为我们也知道人工智能现在发展到了一定时期,对自然语言的理解、上下文语义的理解有了一定的技术,怎样把一些技术运用到这样的领域是未来需要考虑的。
 
我们强调自适应的分类分级算法,也是基于自研的小样本自学习算法,因为企业不大可能把自己大量的数据扔到公有云或者公开算法平台去做训练,很多数据必须在自己的企业内部,而且可能是企业自己特有的。针对这种特有数据,我们怎样智能化识别和快速适应,也是需要考虑的问题。
 
最后就是多维度标签和多领域标准,当我们做这张地图去看我们自己的数据资产,包括去打安全标签的时候,我们要看到底符合GDPR的标准还是符合国内数据安全的标准,不同的法律标准以及企业里面有不同的分类分级要求。因为国家是有国家的规范,行业可能有行业的标准,有些企业自己对自己的数据也有一些自己的要求,怎样对数据进行多维标签的打造,未来实现不同法律法规的检测规则的植入?这些是我们在考虑的问题。
 
人工智能技术怎样实现未来的算法?这些是我们自主研发的小样本环境自适应的算法,可以理解为包含两个最核心的技术功能:一个就是特征工程,我们需要对未来的数据特征进行识别,包括数据实体的特征。另一个是我们需要聚类算法,针对不认识的数据能够去做一个自动的聚类,通过自动聚类以后的数据形成这一类数据特征的提取以及人工的批量打标,完成整个训练的过程。我们自己自研的这套体系是整合有监督学习和无监督学习,也是跟行业进行紧密结合的训练方式,让我们的很多算法可解释性是非常好的,也是自适应的,不断地帮助企业发掘新的类型,通过这种模型能够快速更改。
 
通过我们自己的分类分级算法和智能算法,能够快速地帮助我们找到原来企业不知道的标准或者不认识的内容,通过聚类分类的算法,可以看到我们的准确率可以达到92%。
 
刚才讲的是数据资产地图,下面讲一讲我们对数据安全大脑的研发过程。可以把数据安全大脑称之为数据安全治理下一代安全运营中心的思路,所以也会针对数据安全的整个体系构建打造安全数据中台,会把所有安全行为数据,包括未来的日志数据、报警数据等等,通过一个安全数据中台进行统一的治理。这些治理完的数据在安全数据中台整合以后,我们会通过传统的规则或者人工智能形成我们对异常事件的判断,并且对异常事件进行报警和未来的安全事件处理,所以这些是未来整体的架构。
 
图中就是我们针对汽车企业,举个简单的例子,我们怎么帮助客户进行行为异常的判断,能够根据客户的行为数据为我们自己的行为建模,形成建模以后可以形成行为基线。所谓的行为基线就是针对不同的用户、不同的设备、不同的访问请求,可以形成一个行为基线,针对这种行为基线形成异常事件的判断。行为基线完全是通过智能的算法完成,然后在此基础上会形成用户的画像和评分,以及为未来的行为追溯去做一个整体的调查。
 
因为我自己在新奥做高级副总裁,负责数字化,安全这个事情也是原来我一直考虑的事情。在座的CIO压力更多的是来自于业务,怎样快速地把业务做起来。今天越来越多的压力,我们看到安全已经成为一个很重要的话题,为什么?刚才讲到合规现在对我们有这样的要求,国家的法律法规已经越来越健全,如果我们不去做这方面的考虑一定会有问题。原来传统的安全公司到我这里的时候更多的是给我们介绍一些产品,而我很少看到有人跟我讲安全体系到底应该怎么建设,我们应该怎样打造这样的安全体系。现在网络边界已经被打破,有的在云上,有的在边缘计算,有的在5G,我们已经不能光靠一个网络的边界定义怎样去打造安全体系。
 
未来我们的安全体系打造到底应该以网络为边界考虑还是应该以数据为核心考虑?我当时跟很多朋友沟通的时候也有提到,未来的安全管控体系要想打造的话,应该打造以数据为中心,以网络为基础,并不是网络安全不行,网络安全是基础,必须去看,但未来的安全体系打造一定是以数据为中心打造整个安全体系。今天我们在做自己产品和规划的时候考虑的是事前利用安全地图对企业核心机密、敏感数据进行扫描标识、分类分级,形成我们自己的管控基础,事中也在打造数据安全网关,通过数据安全网关,未来会把安全合规的体系以及权限的控制放到安全网关里面,使得用户可以细粒度地管控数据哪些人能看哪些人不能看,数据出去的时候是不是有合规的风险。我们希望事中和事后利用安全大脑实现安全实时的运营,通过我们对各种行为数据、各种网络安全数据的融合和分析,包括通过人工智能找出我们的异常,整合未来我们行动中心的行动能力。之前安全行业都有谈到Thor和未来的RPA,形成我们的整个闭环。
 
由于时间关系,我就简单分享这些想法,大家如果有兴趣的话可以去看一看我们的介绍,当然也欢迎大家加我微信,我们可以有更进一步的交流。

关键字:数据安全

原创文章 企业网D1Net

x 让数据安全合规的创造价值 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

让数据安全合规的创造价值

责任编辑:cres |来源:企业网D1Net  2023-05-10 16:12:54 原创文章 企业网D1Net

5月10日,由企业网D1Net举办的2023全国CIO大会盛大召开。本届大会以“企业承压,IT怎么干?”为主题,汇集300+企业CIO及IT高管,旨在搭建CIO与同行交流的高质量交流和社交平台,通过观点与思想的激烈碰撞,可落地的实战干货分享,帮助CIO用户群化解困惑和焦虑,助力广大CIO找准数字化机遇、少走弯路,应对数字化转型过程中的诸多挑战。主论坛外,另设新安全、数据赋能、新技术增效三个分论坛。包括CIO中年职业危机应对也是本次大会的议题之一。
 
以下是现场速记。
 


数安云智创始人 徐刚
 
徐刚:很高兴在美丽的新疆跟大家分享,我的主题是“让数据安全合规地创造价值”,刚才刘总讲的合规是不是给大家带来了很多压力?我们做的事情就是想让合规变得更简单,让大家能够更好地聚焦于业务,而我们把自己的合规体系更容易地建立起来,这是我们希望做的事情。
 
我叫徐刚,本人在IBM做了十八年,在微软做了两年,离开IBM以后是在新奥集团作为高级副总裁主管数字化三年半,数安云智是我创立的专门关注数据安全领域的一家公司。为什么要讲数据安全?传统的讲到数据安全,大家想到的就是怎么把数据防护好,不让别人看,而我认为今天在数字化时代,数据被捆在家里一定不是方向,未来的数据一定需要更好地进行分享和共享,只有分享和共享才能产生价值,所以我们的目标和方向就是让数据安全合规地创造价值。
 
2020年4月,国务院第一次提出数据要素化的概念,大家可能都不清楚这是什么意思。其实从国家层面是把数据拉到了一个非常高的层面,认为是核心的生产要素,等同于农业经济时代的土地和劳动力,或者是工业经济时代,我们把资本和技术放上去。数字经济时代,其实数据是最核心的,所以把数据变成一种生产要素。提出数据要素化的时候,大家对这一块的理解还是非常模糊,反而是在2021年7-8月,各种个人信息保护法、数据安全法都陆续出台,大家的感觉是对数据管控的要求是不是更高了?我跟团队很多人都在讲,数据安全法、个人信息保护法的出台是为了以后我们能够更好地利用数据打基础,先把规矩做好,告诉大家我们应该怎样对数据进行分类分级,能够针对不同的数据进行不同类型的处理方式,所以只有把这些规矩做好才能更好地推动数据的共享。
 
今天在数字经济时代,数据有点像石油,原来工业时代的时候通过自然形成的石油存放在地下没有任何价值,现在的数据基本上都是企业通过业务系统逐渐沉淀下来放在自己家里。我们知道一些企业数字化做得好就在想怎么利用自己的数据推动业务,所以叫做数据驱动业务,怎么把自己沉淀的数据用好。我们可以看到从国家层面不是光有企业内部怎么把数据用好的问题,而是今天到了人工智能,需要大数据,也需要跨业数据融合或者同行业数据整合,能够在上面产生更多的智能、更多的创新业务,我们到底应该怎样去做。
 
不知道大家有没有注意到,国家最近两年在各地都在成立数据交易所,数据交易所是干嘛的?就是让大家把数据开始进行真正有价值的交易,这些是我们看到的国家正在大力推动的。数据交易本身就像原油,拿出来的时候没有人卖,因为原油本身不能给我带来什么价值,而我们也可以看到数字化时代有很多公司已经在做人工智能。前两年我们也觉得很辛苦,就是没有数据,我们有技术、有算法,但没有数据就没有办法去做。我们发觉真正要想推动的话还是需要靠能够有一个数据的加工商,通过把这些数据进行加工分享以后才可以让我们的受用方真正使用到我们这样的数据。
 
怎样把数据安全流通交易起来,这些是我们现在已经遇到的问题。现在企业也有看到一个最实际的问题,虽然说流通是一个很重要的环节,但法律现在也有一个很明确的规定,不是说数据拿出来交易就可以。之前在数据安全法各个方面的法律规定起来就在说,数据需要先进行分类分级,之后就会知道哪些是重要的数据,不能出狱,哪些是个人敏感数据,需要脱敏后才能使用,哪些是普通数据,可以拿来创造价值。我们可以看到企业目前虽然是知道有这样的法律法规,也在不断地内部利用我们的数据,但是不是合规地使用这些数据?我们认为很多企业是不清楚的,哪些数据能用,哪些数据能拿出去,未来产生更多价值有没有方法,这些都是目前我们遇到的问题。
 
国家对数据安全现在已经有了明确的要求,公司要上市的时候,上市公司要做审计的时候,数据安全已经和财务审计一样变成了一个必要项,就是要求我们能够全面自查和定期自查,需要对自己的数据进行全面的分类分级管理,同时对数据生命周期合规与企业管理合规进行整体的管控,而且需要根据监管的动态及时进行风险预判。因为现在监管政策也是不断出台的,比如我们有数据需要跨境去做的时候,我们需要严格参照监管的要求,看一看哪些数据允许出境,哪些数据严格限制。
 
对标海外的话,国内数据安全合规的需求其实还是刚起步。OneTrust和BigID真正发展是在2018年的时候,当时欧洲正式发布GDPR,是对个人隐私数据进行非常严格的管控,美国加州出台数据安全法案是2018年6月。随着这些法规的出台,很多企业开始有困惑,就是到底怎么去做。因为法律对隐私数据怎么使用已经有了严格的规定,今天在中国我们自己还有感觉,数据在哪里登录以后就被卖到哪里,但从欧洲和美国来讲很早就已经提出对个人隐私数据的管控要求。随着国内数据安全法、个人隐私保护法2021年逐渐推出以后,其实企业也有遇到这个问题。以前我们是从采集数据、存储数据、使用数据,按照我们自己的想法就可以去用了,未来是不是可以按照这种方式合规地去用,已经成为了每个企业都要考虑的问题。因为这些已经牵涉到法律上的问题,如果我们不遵循这样的法律,哪一天被查到的话极有可能会被驳回,甚至已经上升到刑事责任。
 
当然,现在还有一个相对比较好的事情,就是国家正在推动数据资产入表。我们也意识到一家企业和另外一家企业,为什么这家企业非常值钱?数字化时代,我们会发觉就像有一千万粉丝和一百万粉丝的博主,价值是完全不一样的。企业沉淀下来的数据也是一种资产,怎样能够体现价值?未来怎样真正变成企业资产,并入资产表?2022年12月财政部颁布的文章也开始推动这件事情,大家可以想像,未来我们能够保证数据是安全合规,可以拿到,形成资产的话,未来对企业整个自身资产的增值也是非常有帮助,前提就是合规。
 
前面讲的很多都是国家层面或者未来看到的趋势,数安云智自己在做数据安全的过程中整个理念就是让数据安全合规地创造价值。我们整体设计数据安全治理的框架,第一步做的事情就是怎样帮助企业发现和识别我们的数据,这也是为什么数据资产地图是我们第一步做的事情。有了数据资产地图,我们可以快速盘点企业到底有什么样的类型的数据,可以对数据进行分类分级,完成分类分级以后,能够形成多维的标签,为未来的合规做好最基础的准备工作。我们发现识别数据以后就要对数据进行安全的管控,通过安全的管控策略告诉哪些数据是需要的,个人敏感数据在使用的时候是需要进行脱敏才能使用,企业重要数据一定要加密才能使用,这些都是我们在未来的安全策略上可以制定的。在此基础上,我们再根据未来的用户对数据的使用行为,判断、分析这种风险,通过我们的安全大脑知道哪些数据是被非法使用或者违规使用。
 
我们公司推出的第一个产品就是数据资产地图,帮助我们纳管现有的数据资产,通过主动扫描和被动监听的方式帮助企业自动化地生成自己的数据资产地图,告诉我的数据资源在什么地方,都有什么类型的数据,通过智能化识别的手段,通过规则引擎以及人工智能,我们对实体和对数据的理解自动进行分类分级,通过资产地图就可以形成自己的数据资产目录和标签,现在我们打的是安全标签,我们也可以让企业知道敏感数据的分布以及未来潜在的合规风险在什么地方。
 
打造这种数据资产地图最底层的、需要有的一些功能,我们主要需要考虑几点:平台化设计的功能,数据资产地图绝对不是扫描一遍就给客户导出一张表,告诉有什么数据资产就结束了,因为数据是一直在流通,不断增加和减少的过程,所以需要持续监控。我们有这张数据资产地图以后,我们知道有哪些资产、哪些敏感数据、哪些重要数据、哪些普通数据,未来使用这些数据的时候就可以参照这张表针对不同的数据采取不同的合规策略或者安全管控策略。这些应该是平台化的设计,能够让我们支撑、接入和对接不同的应用系统需要。我们支持多模态的数据,其实对数据的管控不应该仅仅在于关系型数据库,企业还有大量非结构化数据库。我们现在正在花时间、花力气做的就是文档型数据库,能够快速识别出来,告诉这个企业都有哪些文档含有重要数据、含有敏感数据,针对不同权限的人去访问这些数据,怎样进行动态脱敏或者静态脱敏。当然,针对未来的图片和视音频,我们还在持续去做,因为我们也知道人工智能现在发展到了一定时期,对自然语言的理解、上下文语义的理解有了一定的技术,怎样把一些技术运用到这样的领域是未来需要考虑的。
 
我们强调自适应的分类分级算法,也是基于自研的小样本自学习算法,因为企业不大可能把自己大量的数据扔到公有云或者公开算法平台去做训练,很多数据必须在自己的企业内部,而且可能是企业自己特有的。针对这种特有数据,我们怎样智能化识别和快速适应,也是需要考虑的问题。
 
最后就是多维度标签和多领域标准,当我们做这张地图去看我们自己的数据资产,包括去打安全标签的时候,我们要看到底符合GDPR的标准还是符合国内数据安全的标准,不同的法律标准以及企业里面有不同的分类分级要求。因为国家是有国家的规范,行业可能有行业的标准,有些企业自己对自己的数据也有一些自己的要求,怎样对数据进行多维标签的打造,未来实现不同法律法规的检测规则的植入?这些是我们在考虑的问题。
 
人工智能技术怎样实现未来的算法?这些是我们自主研发的小样本环境自适应的算法,可以理解为包含两个最核心的技术功能:一个就是特征工程,我们需要对未来的数据特征进行识别,包括数据实体的特征。另一个是我们需要聚类算法,针对不认识的数据能够去做一个自动的聚类,通过自动聚类以后的数据形成这一类数据特征的提取以及人工的批量打标,完成整个训练的过程。我们自己自研的这套体系是整合有监督学习和无监督学习,也是跟行业进行紧密结合的训练方式,让我们的很多算法可解释性是非常好的,也是自适应的,不断地帮助企业发掘新的类型,通过这种模型能够快速更改。
 
通过我们自己的分类分级算法和智能算法,能够快速地帮助我们找到原来企业不知道的标准或者不认识的内容,通过聚类分类的算法,可以看到我们的准确率可以达到92%。
 
刚才讲的是数据资产地图,下面讲一讲我们对数据安全大脑的研发过程。可以把数据安全大脑称之为数据安全治理下一代安全运营中心的思路,所以也会针对数据安全的整个体系构建打造安全数据中台,会把所有安全行为数据,包括未来的日志数据、报警数据等等,通过一个安全数据中台进行统一的治理。这些治理完的数据在安全数据中台整合以后,我们会通过传统的规则或者人工智能形成我们对异常事件的判断,并且对异常事件进行报警和未来的安全事件处理,所以这些是未来整体的架构。
 
图中就是我们针对汽车企业,举个简单的例子,我们怎么帮助客户进行行为异常的判断,能够根据客户的行为数据为我们自己的行为建模,形成建模以后可以形成行为基线。所谓的行为基线就是针对不同的用户、不同的设备、不同的访问请求,可以形成一个行为基线,针对这种行为基线形成异常事件的判断。行为基线完全是通过智能的算法完成,然后在此基础上会形成用户的画像和评分,以及为未来的行为追溯去做一个整体的调查。
 
因为我自己在新奥做高级副总裁,负责数字化,安全这个事情也是原来我一直考虑的事情。在座的CIO压力更多的是来自于业务,怎样快速地把业务做起来。今天越来越多的压力,我们看到安全已经成为一个很重要的话题,为什么?刚才讲到合规现在对我们有这样的要求,国家的法律法规已经越来越健全,如果我们不去做这方面的考虑一定会有问题。原来传统的安全公司到我这里的时候更多的是给我们介绍一些产品,而我很少看到有人跟我讲安全体系到底应该怎么建设,我们应该怎样打造这样的安全体系。现在网络边界已经被打破,有的在云上,有的在边缘计算,有的在5G,我们已经不能光靠一个网络的边界定义怎样去打造安全体系。
 
未来我们的安全体系打造到底应该以网络为边界考虑还是应该以数据为核心考虑?我当时跟很多朋友沟通的时候也有提到,未来的安全管控体系要想打造的话,应该打造以数据为中心,以网络为基础,并不是网络安全不行,网络安全是基础,必须去看,但未来的安全体系打造一定是以数据为中心打造整个安全体系。今天我们在做自己产品和规划的时候考虑的是事前利用安全地图对企业核心机密、敏感数据进行扫描标识、分类分级,形成我们自己的管控基础,事中也在打造数据安全网关,通过数据安全网关,未来会把安全合规的体系以及权限的控制放到安全网关里面,使得用户可以细粒度地管控数据哪些人能看哪些人不能看,数据出去的时候是不是有合规的风险。我们希望事中和事后利用安全大脑实现安全实时的运营,通过我们对各种行为数据、各种网络安全数据的融合和分析,包括通过人工智能找出我们的异常,整合未来我们行动中心的行动能力。之前安全行业都有谈到Thor和未来的RPA,形成我们的整个闭环。
 
由于时间关系,我就简单分享这些想法,大家如果有兴趣的话可以去看一看我们的介绍,当然也欢迎大家加我微信,我们可以有更进一步的交流。

关键字:数据安全

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^