近日,數(shù)安行CEO王文宇論文《基于數(shù)據(jù)運營安全的個人信息保護(hù)》在國家期刊《信息安全與通信保密》2021年2月刊正式發(fā)表,并入選封面專題「完善個人信息保護(hù)體制的頂層設(shè)計」,獲得科研院所、企事業(yè)單位以及行業(yè)安全專家等業(yè)界同仁的廣泛關(guān)注。

《信息安全與通信保密》創(chuàng)刊于1979年,是由中華人民共和國工業(yè)和信息化部主管、中國電子科技集團(tuán)公司第三十研究所主辦的綜合指導(dǎo)性學(xué)術(shù)期刊。伴隨近年來我國信息安全與通信保密產(chǎn)業(yè)的不斷發(fā)展,以報道權(quán)威公正、信息全面準(zhǔn)確而成為目前業(yè)界的主導(dǎo)媒體,為科技與產(chǎn)業(yè)、銷售與市場、廠商與用戶之間的信息溝通起到良好作用。

王文宇在論文中詳細(xì)解讀了在數(shù)字化轉(zhuǎn)型中,關(guān)于個人信息保護(hù)的范疇、立法及技術(shù)的發(fā)展變遷,針對當(dāng)前個人信息保護(hù)的新形勢,論文提出基于數(shù)據(jù)運營安全的個人信息保護(hù)的方案,重點闡述方案的核心理念和九大功能模塊,方案從數(shù)據(jù)運營全周期中對個人信息進(jìn)行保護(hù),既遵循個人信息保護(hù)的合規(guī)性要求,也適應(yīng)當(dāng)前階段個人信息保護(hù)的新訴求。

數(shù)據(jù)運營安全即DataSecOps,是數(shù)安行在國內(nèi)首先提出的創(chuàng)新防護(hù)理念,其核心是在數(shù)據(jù)運營中內(nèi)嵌數(shù)據(jù)安全屬性,解決數(shù)據(jù)運營過程中的數(shù)據(jù)安全問題,以一個產(chǎn)品或平臺的方式運行。其目標(biāo)是在不影響數(shù)據(jù)業(yè)務(wù)流程正常運行的情況下更有效的保護(hù)組織內(nèi)的敏感數(shù)據(jù)資產(chǎn),對敏感數(shù)據(jù)的擴(kuò)散及濫用風(fēng)險進(jìn)行快速響應(yīng),將數(shù)據(jù)安全防護(hù)策略傳遞至參與數(shù)據(jù)運營的所有人員。

該理念的提出,首先在于大數(shù)據(jù)時代,蘊含著巨大價值的個人數(shù)據(jù)規(guī)模持續(xù)快速增長,開放和共享是數(shù)據(jù)合理有效利用的前提,而個人信息保護(hù)又是開放和共享的關(guān)鍵。其次,當(dāng)業(yè)務(wù)逐漸由數(shù)據(jù)驅(qū)動,敏感數(shù)據(jù)因此面臨更復(fù)雜的暴露、擴(kuò)散、濫用風(fēng)險,這些風(fēng)險環(huán)節(jié)也會被惡意用戶或病毒木馬利用,導(dǎo)致更頻繁、更隱蔽的惡意泄露和竊取等事件發(fā)生,風(fēng)險已經(jīng)遍布整個數(shù)據(jù)運營過程和參與數(shù)據(jù)運營的所有人員角色。再者,包括傳統(tǒng)安全、數(shù)據(jù)庫安全、數(shù)據(jù)防泄漏DLP、終端加密以及UEBA等當(dāng)下對個人信息保護(hù)的主流方式多重在保護(hù)結(jié)構(gòu)化數(shù)據(jù),在處理非結(jié)構(gòu)化數(shù)據(jù)方面存在空缺;主要解決數(shù)據(jù)在單個域內(nèi)的安全,而沒有對不同域之間的數(shù)據(jù)流動做保護(hù);集中解決數(shù)據(jù)單個時期的安全問題,缺乏對數(shù)據(jù)全生命周期的追蹤及溯源。

因此,現(xiàn)有個人信息保護(hù)方式,不足以應(yīng)對當(dāng)前個人信息的保護(hù)需要?；跀?shù)據(jù)運營安全的個人信息保護(hù),通過數(shù)據(jù)運營安全對結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化的個人信息流動的保護(hù),涵蓋從生產(chǎn)到運維,從產(chǎn)生、采集、存儲、使用,共享和銷毀全生命周期保護(hù),深入業(yè)務(wù)邏輯執(zhí)行針對性防護(hù),同時與業(yè)務(wù)解耦,達(dá)到保護(hù)個人信息安全的目標(biāo)。

方案主要包括以下幾個核心:跨業(yè)務(wù)跨域的遙測數(shù)據(jù)收集分析;全類型AI個人信息梳理;暗數(shù)據(jù)與明數(shù)據(jù)的AI分類梳理標(biāo)注;個人信息影子及非感知數(shù)據(jù)的追溯;數(shù)據(jù)鏈的全運營周期追溯;分布式AI數(shù)據(jù)安全風(fēng)險分析;零信任數(shù)據(jù)安全;自動化編排安全響應(yīng);多源數(shù)據(jù)統(tǒng)一安全機制。

目前,該方案及核心理念也全面應(yīng)用于數(shù)安行建立的數(shù)據(jù)運營安全平臺產(chǎn)品中,為客戶構(gòu)建全流程的數(shù)據(jù)自適應(yīng)訪問控制和防護(hù)規(guī)則體系。數(shù)安行將堅持以DataSecOps為理念,以AI人工智能技術(shù)為核心驅(qū)動,聚焦數(shù)據(jù)運營安全,助力數(shù)字化轉(zhuǎn)型,致力于讓用戶的數(shù)據(jù)安全地創(chuàng)造價值。