ISC2018观察：大数据时代企业发展与个人隐私保护的博弈

一年一度的ISC互联网安全大会如期召开，在第六届互联网安全大会上会有哪些新的安全趋势让信息安全从业者加以关注和把控，值得我们进一步思索。

互联网社会到今天网络安全越来越重要，上升到国家安全、社会安全、企业经营安全等各个层面。正如大会开幕发言中提到的互联网的深度应用改变了我们的网络环境，物理与虚拟的边界正在消融，安全防护成为信息化的核心内容，安全的价值必然回归本源，安全从0开始。

在技术的发展趋势上正如360集团创始人周鸿祎会上提出的需要一个整体作战思维，从技术上就如我们提出了安全大脑的思想，融合大数据、云计算、人工智能、万物互联、移动通信、区块链等技术。

个人信息安全与隐私保护论坛现场

在互联网应用及大数据渗透生活大背景下，个人信息安全及隐私问题日益严重。现在无论是互联网应用的信息采集还是大数据背景下的精准营销，在创造业务机会的同时往往会有个人隐私及信息使用保护方面的风险。

个人隐私及信息安全多年来饱受关注，从最早的斯诺登事件，到徐玉玉事件到今年的Facebook用户信息泄露事件，个人信息的安全从被公众逐渐关注到提高到国家安全的高度。每个国家在个人隐私信息安全的保护方面都逐步走向法制化，出台各自国家的法律法规，如美国的加州法，欧盟的GDPR，我们国家的网络安全法。

作为信息安全从业人员，在个人隐私信息的信息安全角度去谈论这个问题涉及面很广，比如防止数据滥用，可以明显的看出光依靠一方的技术加固和升级已经不能根治这个问题，技术也是要为有效管理服务，要为高效的安全架构服务。

现在的趋势，在目前的企业管理框架中，需要企业的组织架构中设置专门的人员领导机制。比如首席隐私馆，首席数据责任人。这点我们可以看到包括像360、阿里等互联网企业已经开始施行。同时作为互联网企业在保护业务安全的同时，个人隐私信息的防御机制也需要纳入企业信息安全体系。

企业在建立有效个人隐私信息防御的安全架构上要明确包括个人数据采集、传输、存储和使用权利。比如一款你的应用要明确个人隐私信息所需的最小范围，能不传的不传，能不采集的不采，能不存的不存。同时在必须利用和采集的场景要明确的用户自主选择权。

明确好制度后面就要谈到我们技术落地的一个趋势，一个应用在技术起点比如设计和代码开发时就做好程序得加固，程序的分发渠道安全，防止由于你的应用被篡改加入恶意采集信息的可能。还有就是开源代码安全要考虑，在使用开源平台的同时，加固代码本身。包括开源代码托管平台，在GitHub等平台的托管代码导致信息泄露的事件也是目前很大的一个信息泄露渠道。

在传输上敏感信息一定要加密，我们可以看到目前网络上很大一部分应用明文还很常见，这个就为信息的违法采集和利用提供一个很大的渠道。

还有一个层面在于存储上的安全，加密存储和明确数据的访问权限是共识。不过很多企业其实发生的内存储的个人隐私安全数据泄露是从内部泄露。作为企业的安全人员，要从比如防治批量导出，敏感信息的多层关联如不直接提供个人隐私信息来规避。同时建立0信任机制，数据存储和授权访问的审计机制，这需要一个高效统一授权和审计平台。

同时我们讲了很多的业务安全技术加固的方向，但是你会发现业务不听话怎么办，安全人员建议可以使用多种方式来监视，扩大自己的话语权，用人工抓包查，用人工智能大量监听，出现问题找负责人停服，起码也要做到日志分析。

人工智能助力个人隐私安全防护也是后期的一个趋势，这个是防御个人隐私的防守方在技术方向解决攻防不对称的一个理想解决方向。由人工智能加入助力攻防，挖掘个人信息可能泄露的场景及风险，并自动加以防御修复是一个可以期待的方向。

个人隐私数据的防御在企业自身的篱笆扎紧后还有一个是当需要发生外部的数据交互的场景下的场景化安全需求。企业在发生需要个人数据交互的场景时，需要拉出一个统一的数据接口，在数据加护上的原则就是不直接提供原始数据，同时数据的提供通过接口再次脱敏，必要时同时要测试不同脱敏模型下的还原能力，比如利用大数据、人工智能环境下的强大关联分析能力。这种场景我们通常会在很多交互式应用、云环境下遇到。其实在应用场景之外，还会有业务的承载场景的变化，比如现在企业上云的场景形成了业务形态的一个趋势，新的技术的引入往往会导致新的风险，云时代的数据安全，比如跨境存储，比如个人数据云平台的隔离，访问，加密传输存储，数据的销毁和迁移问题往往比传统数据中心的环境各加的不可控，因此云端的个人数据安全防护也逐渐受到控制，我们可以看到在这点上越来越多的技术和法律正在出现，比如icloud的中国数据运营转向国内，等保的云安全扩展要求等。在数据泄露和安全漏洞的响应上主流云厂家现在也在处置上能力和响应时间递进等，这在个人隐私的保护方向上是一个很大的进步趋势。

当然企业并不能保障一个个人隐私数据安全问题和事件都不出现，出现问题的响应，溯源，判定影响，这个体系日趋完整，同时还有一点就在积极应对和反制角度，比如内部安全团队的侦查和审计能力、安全事件发生时的执法接口和相关法律层面的响应等。

最后，其实不论我们讨论多少的技术和安组织架构来解决个人隐私防御的问题，对于企业来说最根本的一点是要有一个正确的价值观，个人隐私数据和企业利益发生冲突时的取舍，这点往往考量一个企业价值观的试金石，这个社会责任应该是每个企业必须要担负的，真正的做到客户优先。

（本文作者：360企业安全技术专家 蒋炳新）

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。