爱奇艺合规及数据安全治理实践

2020年12月18日，由中国信息通信研究院、中国通信标准化协会、中国互联网协会联合举办的“2020数据资产管理大会”在京召开。在数据安全治理与隐私计算论坛上，爱奇艺信息安全总监王超发表题为“爱奇艺合规及数据安全治理实践”的主题演讲。

以下为部分演讲内容

在信息安全体系建设中，数据安全上承合规监管、隐私保护，下接网络安全、攻防对抗，发挥承上启下的重要作用。面对数据安全治理这一关键环节，爱奇艺在合规及数据安全治理实践中取得了六大重要进展：

一、网络安全

网络安全是数据安全的基础。爱奇艺的业务线有几十个不同类别，所有这些App服务和应用系统都部署在混合云上，最终服务上亿爱奇艺会员。利用云态势安全中心，DDoS检测清洗，黑白盒扫描集群，主机检测，蜜网，情报，混合云策略管理中心等多种自研系统及平台，实现立体多维安全防护。

二、监管合规

作为一家企业，必须监管合规才能正常开展业务。爱奇艺一方面积极配合监管，另一方面也深度贴合国家监管及专项的要求。2020年，爱奇艺安全和法务团队针对专项要求的六大违规方面做了全面解读，并映射成“APP隐私红线基线”，通过GRC平台分发给App业务负责人及接口人，以统一的标准进行评估，快速识别聚合主要风险，跟进响应相关工作，并针对红线基线生成跨业务线横向比较评分表，在不同业务之间展开横向评比。

另外，检测工作除了流程还需结合技术平台的精准检测，爱奇艺为内部的移动安全平台MSEC升级了静态及动态检测点。特别是把确认隐私政策前是否收集个人及设备信息，是否超频次收集信息等问题，都加入到自动化检测逻辑中，极大提高业务整改复核的效率和质量。

三、个人信息安全

数据安全中最核心的是个人信息安全。爱奇艺在人员、制度、流程、平台等多个方面有保障机制。从组织架构角度，隐私及信息安全管理工作组，对上向隐私及信息安全委员会汇报工作，向下通过“隐私红线”对接各业务线，各业务只需要关心隐私红线基线检查是否符合达标。如不符合“隐私红线”，APP发布上线都会受到限制，安全有权一票否决。

四、数据生命周期管理

数据安全离不开整个数据生命周期管理，爱奇艺依照标准的数据安全成熟度模型进行管理。例如敏感信息的收集环节，通过不断迭代的规则和算法对数据库和大数据，进行分级分类及数据资产的定位。爱奇艺对媒资相关系统进行定级评估和全链路收敛，包括媒资文件定级，分级分类，流转监控，平台管控，日志审计等，保证了关键数据不泄漏。

五、安全意识培训和应急演练

安全包括保密性，完整性和可用性。可用性涉及到灾备及安全应急演练，爱奇艺在几十个APP和业务系统中，挑选出最核心的业务，随机将一些服务器关闭宕机，检测是否有可用性故障。此外，还有和安全相关的红蓝演练，DDoS攻防，主机攻防等。数据安全也引入了红蓝对抗思路，对当前策略泄露与否的判定、对可能存在的泄露渠道进行预防等问题，在红蓝对抗或应急演练里不断去积累、验证、发现弱点，再不断提升。

数据安全和人员的安全意识息息相关。任何一个员工包括实习生刚入职必须经过隐私和安全培训，保证整体的安全意识考试全部达标。

六、安全框架

数据安全实践离不开安全框架的支撑，依据法律法规，爱奇艺积极落实公安部、工信部的定级备案，等保测评，同时获得国际权威体系认证。2019年通过了ISO/IEC 27001和29151认证，2020年底通过ISO/IEC 27701认证，不断建设信息安全体系及个人隐私信息管理体系。2020年金融支付业务也获得了支付行业国际标准PCI DSS的认证。通过国际权威认证规范安全合规体系，保障用户支付与信息安全，是爱奇艺保障用户权益，持续赋能业务的重要手段。

数据安全治理是一个需要多维度、多领域共同打造的生态环境。爱奇艺将紧跟国家和行业要求，与全行业共同探索数据安全治理发展。

声明：本文来自大数据技术标准推进委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。