✏️ 编者按:
云计算、大数据、人工智能技术的广泛应用含糊了传统网络安全的边界。在数据安全畛域,集体和企业面临哪些挑战?《网络数据安全管理条例》拟落地,对集体和企业将有哪些影响?人工智能技术将为网络安全带来哪些新的解题思路?
作为根底软件提供商,Zilliz 负责底层技术可用性、安全性、完整性方面的保障,在非法合规的前提下挖掘数据价值。Zilliz 研发效力高级经理沈立彬受 InfoQ 邀请解读数字化转型下的数据安全问题,让咱们一起来看看吧:
采访嘉宾 | 沈立彬
作者 | 凌敏
在信息化浪潮下,传统产业数字化转型方兴未艾,网络安全问题也失去了更多关注。随着《网络安全法》《数据安全法》《个人信息保护法》相继颁布并施行,企业如何保障数字化转型平安成为必解课题。
11 月 14 日,国家互联网信息办公室公布对于《网络数据安全管理条例(征求意见稿)》公开征求意见的告诉。告诉指出,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律对于数据安全治理的规定,标准网络数据处理流动,爱护集体、组织在网络空间的合法权益,保护国家平安和公共利益,依据国务院 2021 年立法打算,国家互联网信息办公室会同相干部门钻研起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。意见反馈截止工夫为 2021 年 12 月 13 日
《网络数据安全管理条例(征求意见稿)》(以下简称“征求意见稿”)共蕴含 75 条条例,对包含数据泄露、自动化工具(如爬虫)、大数据杀熟、人脸识别等在内的数据安全问题提出了更明确的参考法规。日前,InfoQ 邀请到 Zilliz 研发效力高级经理沈立彬为咱们解读数字化转型下的数据安全问题。Zilliz 是一家开源根底软件公司,专一于研发非结构化数据库系统,为各种 AI 利用提供数据基础设施。
《网络数据安全管理条例》拟落地,意味着什么?
《网络安全法》《数据安全法》《个人信息保护法》这三大上位法搭建了我国数据合规的次要法律架构,也是我国网络安全与数据合规畛域的基础性法律。如果用软件来进行类比,三大上位法相当于软件架构,承载了软件的整体脉络和大方向,但却不够细化,在执行上短少具体的参照。而《网络数据安全管理条例》的出台则恰好补足了这一点。
首先在执行层面上,《网络数据安全管理条例》中的很多条款都是在具象施行门路,对三大上位法中未明确的数字做了进一步明确要求。比方征求意见稿第十三条中规定,解决一百万人以上个人信息的数据处理者赴国外上市的数据处理者,该当依照国家有关规定,申报网络安全审查;第三十九条规定,数据处理者向境外提供数据该当存留相干日志记录和数据入境审批记录三年以上。
其次,《网络数据安全管理条例》在上位法的根底上做了很多原则上的细化。比方《个人信息保护法》第五条规定,解决个人信息该当遵循非法、正当、必要和诚信准则,不得通过误导、欺诈、胁迫等形式解决个人信息。征求意见稿第十九条就对此做了进一步的明确规定,逐条阐释了非法、正当、必要:
数据处理者解决个人信息,该当具备明确、正当的目标,遵循非法、正当、必要的准则。基于集体批准解决个人信息的,该当满足以下要求:(一)解决的个人信息是提供服务所必须的,或者是履行法律、行政法规规定的任务所必须的;(二)限于实现解决目标最短周期、最低频次,采取对集体权利影响最小的形式;(三)不得因集体回绝提供服务必须的个人信息以外的信息,回绝提供服务或者烦扰集体失常应用服务。
在沈立彬看来,《网络数据安全管理条例》拟落地对集体和企业都将产生深远的影响。
对集体而言,集体根底信息数据能够失去充沛的保障,可能越来越分明地晓得本人的信息为何被采集、哪些信息被采集、被采集的信息如何被应用、信息是否提供给第三方等。在过来,短少相干法律的明确制约,一些公司游走在黑灰产的边缘,以致用户信息被泄露,重大影响用户集体生存和人身财产平安。而随着《网络数据安全管理条例》的落地,这一乱象也将失去相应治理。
对企业而言,既有上位法的根本框架,又有条例的具体指导,企业须要做的就是踊跃学习,根据相干合规要求放慢整改。同时也须要意识到,市场将不再横蛮式增长,资本不能凌驾于数据安全之上,有数据危险的企业肯定会面临微小的监管和处罚压力。
在短期内,企业必定会减少合规建设的投入,包含资金、人力、工夫等老本。然而从长期来看,这些法律法规将疏导我国数据安全体系在将来有一个绝对清晰的演进路线,帮忙企业合规、非法应用数据,同时又能爱护用户的个人利益。
在技术层面上,沈立彬认为一些行业以及细分畛域将迎来新的时机。“数据安全及隐衷爱护处在新的风口上,整个行业将会投入更多的精力和资源来建设。对于加密,明码技术,认证技术、脱敏技术、存储技术等都会有较大的促进作用,同时也带来合规、征询等平安服务产业的倒退。”
构建非结构化数据安全解决方案
以后,随着企业数字化转型过程放慢,新技术和新架构的演进也给企业的数据安全带来更高的要求。沈立彬示意,目前企业在数据安全方面通常面临以下挑战:
- 首先是资源投入的问题。对于一些业务型的中小企业来说,自身技术投入有余,对数据的合规治理会产生较大挑战。
- 其次,对于有能力进行合规革新的企业而言,业务部门的交付速度和根底部门因合规建设带来的提早也是难以和谐的矛盾。
- 再者,一些企业的软件研发人员长期漠视数据安全,进行合规建设之后,会产生一个自认为的“工程师文化”和标准的流程 / 规定之间的矛盾。
另一方面,据 IDC 预测,2018 年到 2025 年之间,寰球产生的数据量将会从 33 ZB 增长到 175 ZB,其中超过 80% 的数据都会是非结构化数据。如果说结构化数据是机器可读的数据,那么非结构化数据就是人类可读的数据,由人类流动所产生,包含图片、视频、语音和文字等。
相比于传统的结构化数据和半结构化数据,非结构化数据数据量宏大(总量大 3 个数量级以上),增长速度更快(每 1KB 结构化数据产生的同时,约有 1GB 非结构化数据产生),并且采集渠道宽泛,数据的解决链路十分长。这些都给非结构化数据的平安防护带来挑战。
数据的平安解决方案是一系列的流程 + 标准 + 技术的综合保障。沈立彬认为,在构建非结构化数据的平安解决方案时,应先着重解决其以后面临的问题。“非结构化数据的解决有一个外围的矛盾点是,数据处理者(业务方)有海量的数据和数据价值开掘的需要,然而这些业务型企业的技术投入往往有余。因而这类企业在构建数据安全解决方案时,须要踊跃引入整个生命周期内不同角色的解决方案来协同工作。”
以数据防泄露为例,一些科技企业在做非结构化数据安全建设时广泛会思考在外部环境上部署 DLP(Data loss prevention) 解决方案,个别会从应用状态下、存储状态下和传输状态下的泄密几个方面来进行爱护。整个链接较长,并且绝对简单。因而,很多数据处理者会抉择采纳根底软件服务商提供的公有部署或者 SaaS 服务的能力,既不须要在根底平安能力建设上大幅投入,又能取得数据安全合规的保障。
“很多硅谷科技公司都是依赖这种模式,比方苹果做手机、电脑,它的技术能力很强,但它在做日志剖析的时候,并不是本人养个一百人或几百人的团队来做这件事件,而是每年花几千万美金去洽购成熟的日志剖析的解决方案。”沈立彬说道。
作为一家 toB 的根底数据软件供应商,沈立彬坦言 Zilliz 身上的责任会更重。“咱们的任何一个小问题都会给咱们的客户带来微小的麻烦,因为这些客户都是企业级客户,每个都可能在服务着成千上万,甚至亿级别的企业和个人用户。”为了能更好地反对上游生态企业在数据合规方面的建设,这也就要求根底软件提供商在产品和技术层面进一步增强合规建设。
AI 为网络安全开拓新的可能性
近年来,AI 技术在越来越多的畛域发挥作用,并为数据安全合规带来了新的解题思路。
有数据显示,仅 2021 年上半年,勒索软件攻打就达到了 3.047 亿次,突破了 2020 年全年的攻打总数(3.046 亿次),同比增长 151%。与之绝对应的是,企业在平安团队上的投入并没有增长 151%。
“在此背景下,AI 正在为网络安全开拓新的可能性。AI 会剖析大量数据以放慢响应工夫,并赋能资源无限的平安团队。”沈立彬介绍道。
AI 会通过数十亿个攻打数据或破绽数据进行训练,应用机器学习和深度学习技术来进步其认知,让机器可能“了解”一直变动的网络安全威逼。通过收集破绽,并应用高级推理,AI 能够辨认威逼之间的关系,例如歹意文件、可疑 IP 地址或内部人员。
“通过利用 AI + 大数据,可能只须要几秒钟,最多几分钟就能够剖析进去,让平安分析师对威逼的响应速度进步几十倍,并为适度缓和的 IT 团队节俭了贵重的工夫来专一于其余要害畛域。”
往年 4 月,英国网络安全初创公司 Darktrace 胜利上市,也证实了网络安全人工智能在检测简单的在线攻打方面颇受欢迎。在国内,也有很多平安厂商踊跃引入 AI 技术,为平安监测能力赋能。
公开信息显示,Ziiliz 开发的面向 AI 非结构化数据处理的开源向量数据库 Milvus 已在 2020 年交由 Linux 基金会旗下的 LF AI & DATA 基金会托管,目前在寰球范畴内有超过 1000 家企业在应用 Milvus 构建下层的 AI 利用。
“Milvus 自身是开源产品,对数据安全方面的一些零碎 (开源或者闭源) 有着天生的低劣的互操作性和兼容性。同时咱们也建设了欠缺的日志、metric 等机制,确保服务的调用和数据的流转都是能够被审计的。”下一步,Zilliz 将公布向量数据库的托管服务 (DBaaS),在帮忙客户大幅减小总体领有老本 TCO(Total Cost of Ownership) 的同时,进一步帮忙数据应用方解决数据安全合规问题。
写在最初
随着企业数字化转型不断深入,沈立彬认为数据安全畛域分工合作是久远的趋势。
根底软件提供商负责底层可用性、安全性、完整性方面的保障,业务方须要洽购相干咨询服务进行定期审计。在合规的前提下,数据能够无效的进行流通,换取更多的价值。而对于开发者而言,在技术技能之外,也须要具备肯定的数据安全合规意识。
Zilliz 以从新定义数据迷信为愿景,致力于打造一家寰球当先的开源技术创新公司,并通过开源和云原生解决方案为企业解锁非结构化数据的暗藏价值。
Zilliz 构建了 Milvus 向量数据库,以放慢下一代数据平台的倒退。Milvus 数据库是 LF AI & Data 基金会的毕业我的项目,可能治理大量非结构化数据集,在新药发现、举荐零碎、聊天机器人等方面具备宽泛的利用。