“如果大数据杀戮、侵犯用户隐私等数据安全问题得不到控制,数字经济的整个社会秩序都会受到影响。”7月28日,大数据协同安全技术国家工程实验室常务副主任、360(601360.SH,以下简称“360”)副总裁兼首席安全官杜跃进博士,在ISC2021数据安全与隐私保护战略峰会上发表了题为《数据安全与人才培养》的演讲。杜跃进指出,数据安全是当前最令人恐慌和困惑的新问题,企业不能对当前数据滥用、误用等数据安全问题视而不见。“在此背景下,数据安全专业人员将成为企业或组织确保数据安全和遵守法律法规的关键因素。”杜跃进表示,每个企业都需要一名数据安全官,提升企业数据安全的整体能力,最终目的是达到保障数据安全的效果。(360集团副总裁、首席安全官、大数据协同安全技术国家工程实验室常务副主任杜跃进博士)大数据杀戮也是一种数据滥用“数据安全是目前最恐慌和困惑的新问题。”在杜跃进看来,数据安全不是传统的数据文件保密、数据版权保护、数据库安全等,也不是大数据平台安全、云计算安全、传统网络信息系统安全,而是大数据和智能,数据窃取/破坏预防、滥用预防和误用预防从不同的角度来关注。具体来说,数据破坏是指黑客潜入其他主体的计算机,加密、窃取或删除文件;数据滥用是指他人的个人隐私或信息掌握在自己手中,违背他人意愿访问或使用信息,危害他人利益;滥用数据,即拥有大数据的主体对大数据的使用不当,导致隐私泄露等用户权益的丧失。例如,杜跃进表示,如果一家拥有数据的公司,以30%的提成,将同样的产品卖给某个消费者。因为高消费加冰,会侵犯消费者的利益。这种数据滥用也在客观上导致消费者遭受不公平待遇。“如果企业和其他机构不能控制数据被滥用和误用等安全风险,用户就不会安心。老百姓对这件事很关心,监管部门也对此做出了回应。企业和其他机构不能假装不想看到它。”杜跃进指出。从不同的角度来看,数据安全面临着不同的问题。例如在电商平台购物,从个人角度来看,注册信息和购物相关行为数据构成消费者隐私;从企业角度看,涉及企业利益;从监管的角度来看,它涉及特定情况下的国家安全问题。因此,如果大数据过度炒作、侵犯用户隐私等数据滥用和误用得不到控制,消费者、企业和监管部门之间就无法相互信任,数字经济的整个社会秩序都将受到影响。围绕真实场景迭代数据安全解决方案。传统的数据安全理念和解决方案已经不适合数字经济时代的数据安全,需要新的思路和框架。杜跃进指出,在技术上,要跳出传统IT安全的局限,从“以系统为中心”到“以数据为中心”;在管理方面,要改变原来自上而下的单一强化“管理”方式,转为面对共同问题的多方“治理”模式,建立多方参与的数据安全治理生态;在机制上,要调整一刀切、一刀切、一刀切的做法,由“一招一罚”转变为有罚有励,有利于充分调动积极性。“同时,解决数字经济时代的数据安全问题,也不能闭门造车,必须从产业中来,到产业中去,在产业实践中发现问题和方法,不断迭代完善。”“杜跃进举例说,数字经济技术和业务仍在快速发展变化。不同行业和企业的数据形态和应用有很大差异。这些场景所面临的数据安全威胁和风险也在快速变化。黑灰生产规模巨大。如果不充分了解这些内容,就很难找到真正科学有效的数据安全解决方案。因此,对于数字经济时代的数据安全问题,迫切需要总结各行各业的经验,包括迫切需要总结和提炼安全公司对抗攻击者的经验,进而应用到行业中。此外,仅仅依靠安防行业的现有实力是远远不够的。要开拓创新,建立数据安全生态圈,广泛依托社会力量共同探索,提高数据安全水平,提升数据安全综合能力。数字工业革命时代将伴随快速变化和不确定性。适应这个特点,场景为王,保持持续迭代。“一切研究不应停留在理论论证层面,而应着眼于真实场景和问题,依靠真实效果评估进行测试,保持快速迭代和完善。”杜跃进说道。每个企业都必须有一名数据安全员“安全不仅是一个技术问题已经成为常识,但对组织和管理的要求往往被忽视。”杜跃进指出,目前很多企业都忽略了数据安全计划中的组织管理部分,并解释了为什么数据安全能力成熟度标准(DSMM)中的能力要素专门增加了“组织建设”部分:普遍共识能力建设的要素是技术、人员、流程(包括资源),但数字经济时代的数据安全必须是“组织本位”,组织内的数据安全设计必须考虑到与组织的匹配。数据安全组织架构,否则无法保证数据安全能力体系的良好实践,数据安全最紧迫的问题是人才短缺,一个组织的数据安全能力也离不开人员的能力在组织中。在企业中设计数据安全职位势在必行。事实上,国家法律也提出了要求。杜跃进表示,该职位需要了解法律要求、业务情况、数据安全风险和技术等,根据数据在组织中的生命周期进行梳理,并根据不同数据生命周期阶段的安全需求做出不同的要求对于可能涉及的职位的数据安全能力。因此,数据安全官也将成为企业中必不可少的职位。在杜跃进博士看来,数据安全官相当于“数据风险管理者”。负责统筹数据安全战略目标,协调各部门合力进行制度建设,以提升组织整体数据安全能力,实现保障数据安全的最终目标。在此背景下,数据安全人才的培养成为当前数据安全领域最紧迫的问题。据悉,大数据协同安全技术国家工程实验室联合广泛合作伙伴,充分吸取行业经验,推出注册数据安全官、注册数据安全工程师、DSMM(DataSecurityCapabilityMatureIn此外,杜跃进博士现场宣布,中国计算机学会大数据与计算智能大赛(CCF-BDCI)组委会、大数据协同安全技术国家工程实验室将与360组合作,首次开设“CCF大数据与计算智能大赛大安全专项赛道”数字安全公开赛,围绕数据安全、人工智能安全、工业互联网安全持续开展开放创新活动,大赛将正式8月22日启动,利用众研创新的生态力量发现现实问题,探索最优解决方案,开放数据集,共建大生态,为社会发掘更多优质数据安全人才。事实上,《网络安全法》、《数据安全法》以及即将出台的《个人信息保护法》等法规和标准,都已经对数据安全人员的培养和人员能力提出了明确的要求。《数据安全法》特别指出,重要数据的处理者应明确人员和管理机构落实数据安全保护责任。拥有专业的数据安全管理和技术人才,将成为现代企业不可或缺的重要安全保障。
