“如果大數(shù)據(jù)殺熟、侵犯用戶隱私等數(shù)據(jù)安全問題不能得到控制，數(shù)字經(jīng)濟(jì)的整個(gè)社會秩序便會受到影響。”7月28日，三六零(601360.SH，下稱“360”)集團(tuán)副總裁、首席安全官、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室常務(wù)副主任杜躍進(jìn)博士，在ISC 2021數(shù)據(jù)安全與隱私保護(hù)戰(zhàn)略峰會上作題為《數(shù)據(jù)安全與人才培養(yǎng)》的演講。

 杜躍進(jìn)指出，數(shù)據(jù)安全，是當(dāng)前最恐慌、最混亂的新問題，企業(yè)不能假裝看不見當(dāng)前數(shù)據(jù)被濫用、被誤用等數(shù)據(jù)安全問題。

“在此背景下，數(shù)據(jù)安全專業(yè)人員將成為保障企業(yè)或組織數(shù)據(jù)安全與依法合規(guī)的關(guān)鍵因素。”杜躍進(jìn)表示，每個(gè)企業(yè)都需要數(shù)據(jù)安全官，以提升企業(yè)數(shù)據(jù)安全整體能力，并以達(dá)到保障數(shù)據(jù)安全效果為最終目標(biāo)。 

[[414190]]

（360集團(tuán)副總裁、首席安全官、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室常務(wù)副主任杜躍進(jìn)博士）

大數(shù)據(jù)殺熟也是一種數(shù)據(jù)濫用

“數(shù)據(jù)安全，是當(dāng)前最恐慌、最混亂的新問題。”在杜躍進(jìn)看來，數(shù)據(jù)安全不是傳統(tǒng)數(shù)據(jù)文件保密、數(shù)據(jù)版權(quán)保護(hù)、數(shù)據(jù)庫安全等，更不是大數(shù)據(jù)平臺安全、云計(jì)算安全和傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)安全，而是大數(shù)據(jù)和智能化時(shí)代下，從不同視角關(guān)注的數(shù)據(jù)防竊取/破壞、防濫用和防誤用。

具體來說，數(shù)據(jù)破壞，即黑客潛入其他主體的電腦，對文件加密、竊取或者刪除；數(shù)據(jù)濫用，即別人的個(gè)人隱私或信息在自己手里，自己違背別人的意愿訪問或使用這些信息，危害別人的利益；數(shù)據(jù)誤用，即擁有大數(shù)據(jù)的主體對大數(shù)據(jù)的使用方法不當(dāng)，導(dǎo)致隱私泄露等用戶權(quán)益受損。

杜躍進(jìn)舉例說，如果擁有數(shù)據(jù)的企業(yè)，因?yàn)槟硞€(gè)消費(fèi)者消費(fèi)高，便將同一個(gè)商品漲價(jià)30%售賣給他，便侵犯了消費(fèi)者利益，這就是大數(shù)據(jù)殺熟，其本質(zhì)也是一種數(shù)據(jù)濫用，也在客觀上讓消費(fèi)者遭受了不公平待遇。

“如果企業(yè)等機(jī)構(gòu)不能控制濫用和誤用數(shù)據(jù)等安全風(fēng)險(xiǎn)，用戶就無法放心。普通老百姓都很關(guān)注這件事情，監(jiān)管部門對此也有回應(yīng)，企業(yè)等機(jī)構(gòu)不能假裝沒看見。”杜躍進(jìn)指出。

而從不同視角來看，數(shù)據(jù)安全面臨不同的問題。比如，在電商平臺購物，從個(gè)人視角來看，注冊信息以及購物相關(guān)行為數(shù)據(jù)構(gòu)成消費(fèi)者隱私，從企業(yè)視角來看，涉及企業(yè)利益問題，從監(jiān)管視角來看，一定情況下則涉及國家安全問題。因此，如果大數(shù)據(jù)殺熟、侵犯用戶隱私等數(shù)據(jù)濫用和誤用問題不能得到控制，消費(fèi)者、企業(yè)、監(jiān)管部門相互之間不能放心，數(shù)字經(jīng)濟(jì)的整個(gè)社會秩序便會受到影響。

圍繞真實(shí)場景迭代數(shù)據(jù)安全解決方案

傳統(tǒng)的數(shù)據(jù)安全概念和方案已經(jīng)不適用于數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全，需要新理念和新框架。

杜躍進(jìn)指出，技術(shù)上，要跳出傳統(tǒng)IT安全的限制，從“以系統(tǒng)為中心”，轉(zhuǎn)到“以數(shù)據(jù)為中心”；管理上，要改變原來自上而下的單一模式，從特定行業(yè)的強(qiáng)化“管理”方式，轉(zhuǎn)到面對普遍問題的多方“治理”模式，建立多方參與的數(shù)據(jù)安全治理生態(tài)；機(jī)制上，要調(diào)整只會處罰的一刀切做法，從“處罰一招鮮”，轉(zhuǎn)到有處罰有激勵(lì)有幫助，充分調(diào)動(dòng)積極性。 

“同時(shí)，解決數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全問題不能閉門造車，一定要從產(chǎn)業(yè)中來，到產(chǎn)業(yè)中去，在產(chǎn)業(yè)實(shí)踐中找問題、找方法，并不斷迭代和完善。”杜躍進(jìn)舉例稱，數(shù)字經(jīng)濟(jì)的技術(shù)和業(yè)務(wù)依然在快速發(fā)展變化，不同行業(yè)不同企業(yè)中數(shù)據(jù)是什么形態(tài)、如何應(yīng)用的有很多不同，在這些場景中究竟面臨哪些數(shù)據(jù)安全威脅和風(fēng)險(xiǎn)也在快速變化，黑灰產(chǎn)規(guī)模龐大人數(shù)眾多，對這些內(nèi)容沒有充分了解，就難以找到真正科學(xué)有效的數(shù)據(jù)安全應(yīng)對方案。因此，對數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全問題，亟需各行各業(yè)總結(jié)經(jīng)驗(yàn)，包括亟需將安全公司與攻擊者對抗的經(jīng)驗(yàn)進(jìn)行總結(jié)提煉，并再運(yùn)用到產(chǎn)業(yè)中去。

此外，僅靠安全產(chǎn)業(yè)界現(xiàn)有的力量是遠(yuǎn)遠(yuǎn)不夠的，要開放創(chuàng)新，建立數(shù)據(jù)安全生態(tài)，從而廣泛依靠社會力量共同探索，才能提高數(shù)據(jù)安全水平，提高數(shù)據(jù)安全整體能力。

快速變化和充滿不確定性將伴隨數(shù)字工業(yè)革命時(shí)代，要適應(yīng)這個(gè)特點(diǎn)，應(yīng)遵循場景為王，并保持持續(xù)迭代。“所有的研究都不能停留在理論證明層面，而是要圍繞真實(shí)的場景和問題，依靠真實(shí)的效果評價(jià)進(jìn)行檢驗(yàn)，并且要保持快速迭代和改進(jìn)。”杜躍進(jìn)表示。 

每個(gè)企業(yè)都要有數(shù)據(jù)安全官 

“安全不僅是技術(shù)問題已經(jīng)成為常識，但是對組織和管理的要求卻經(jīng)常被忽略。”杜躍進(jìn)指出，目前很多企業(yè)給出的數(shù)據(jù)安全方案中忽略了組織和管理的部分，并解釋了為什么數(shù)據(jù)安全能力成熟度標(biāo)準(zhǔn)（DSMM）中的能力要素專門增加了“組織建設(shè)”的部分：構(gòu)建能力的要素一般共識是技術(shù)、人員、流程（含資源），但數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全必須“以組織為單位”，組織中的數(shù)據(jù)安全設(shè)計(jì)必須考慮到數(shù)據(jù)安全組織結(jié)構(gòu)的匹配問題，否則就無法保證數(shù)據(jù)安全能力體系的良好實(shí)踐。

數(shù)據(jù)安全問題當(dāng)前最緊迫的問題是人才不足，一個(gè)組織的數(shù)據(jù)安全能力也離不開組織中人員的能力，在企業(yè)內(nèi)設(shè)計(jì)數(shù)據(jù)安全崗位勢在必行，國家法律其實(shí)也提出了要求。杜躍進(jìn)表示，該崗位需要理解法律要求、業(yè)務(wù)情況、數(shù)據(jù)安全風(fēng)險(xiǎn)和技術(shù)等，按照數(shù)據(jù)在組織內(nèi)的生命周期進(jìn)行梳理，并根據(jù)不同的數(shù)據(jù)生命周期階段的安全需求，對可能涉及的崗位的數(shù)據(jù)安全能力作出不同要求。 

因此，數(shù)據(jù)安全官也將成為企業(yè)的必要崗位。在杜躍進(jìn)博士看來，數(shù)據(jù)安全官相當(dāng)于“數(shù)據(jù)風(fēng)險(xiǎn)的治理者”，要負(fù)責(zé)統(tǒng)籌規(guī)劃數(shù)據(jù)安全戰(zhàn)略目標(biāo)，協(xié)調(diào)各部門共同協(xié)作進(jìn)行體系化建設(shè)，以提升組織的數(shù)據(jù)安全整體能力，并以達(dá)到保障數(shù)據(jù)安全效果為最終目標(biāo)。 

在此背景下，數(shù)據(jù)安全人才能力培養(yǎng)成為當(dāng)前數(shù)據(jù)安全領(lǐng)域最緊迫的問題。據(jù)悉，大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室已聯(lián)合廣泛的合作伙伴，充分吸取產(chǎn)業(yè)界的經(jīng)驗(yàn)，推出注冊數(shù)據(jù)安全官、注冊數(shù)據(jù)安全工程師、DSMM（數(shù)據(jù)安全能力成熟度模型）測評師三類人才培訓(xùn)。 

 此外，杜躍進(jìn)博士現(xiàn)場宣布，中國計(jì)算機(jī)學(xué)會大數(shù)據(jù)與計(jì)算智能大賽（CCF-BDCI）組委會、大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室將聯(lián)合360集團(tuán)，首度開設(shè)“CCF大數(shù)據(jù)與計(jì)算智能大賽大安全專題賽道“數(shù)字安全公開賽”，圍繞數(shù)據(jù)安全、人工智能安全、工業(yè)互聯(lián)網(wǎng)安全等方向，持續(xù)開展開放創(chuàng)新活動(dòng)。大賽將于8月22日正式開賽，用眾研眾創(chuàng)的生態(tài)力量，尋找真問題，探尋最優(yōu)解，開放數(shù)據(jù)集，共建大生態(tài)，也為社會發(fā)現(xiàn)更多高質(zhì)量數(shù)據(jù)安全人才。 

實(shí)際上，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和將發(fā)布的《個(gè)人信息保護(hù)法》等法規(guī)標(biāo)準(zhǔn)早已對數(shù)據(jù)安全人才培養(yǎng)、人員能力提出明確要求，尤其是《數(shù)據(jù)安全法》指出，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。擁有專業(yè)的數(shù)據(jù)安全管理和技術(shù)人才，將成為現(xiàn)代企業(yè)不可或缺的重要安全保障。