孙贺
· 奇安信集团战略咨询规划部东北特区总监
引言:2024年9月7日上午,“数据要素·智启未来”主题论坛暨北京瀛和(沈阳)律师事务所揭牌仪式在沈阳市大东区龙之梦大酒店举行。本次会议内容丰富,既有数据要素在成为与土地、劳动力、资本、技术并列的“第五大生产要素”语境下的前瞻研究成果分享,也有从律师事务所角度拓展数据要素法律服务市场的创新范式披露;既有聚焦于市场、业务及法律服务产品的横向合作,也有贯穿于总分所协同共生、价值共享的纵向沟通。
而从行业的层面,我们特别邀请到了奇安信集团战略咨询规划部东北特区总监总监孙贺进行了《数据要素流通安全体系的实践与探索》的专题分享,奇安信一直是中国企业级网络安全市场的领军者,是专注于为政府和企业提供新一代网络安全产品和服务的综合型集团公司。为了让更多律师同仁更深入了解相关行业资讯,会后我们对孙总进行了深入访谈。
Q1
孙总您好,您觉得近年来为什么国家越来越注重数据建设?以及从您的经验来看,您觉得为什么数字化经济的发展必须要由国家来进行统筹规划的?在国际上是否都是这样一种推进模式呢?
为什么国家重视数字化和数字化经济的发展,因为这个跟当前这个科技的发展形势和新的技术的衍生是有关系的。从最早的纸质办公时代,进入到信息化IT时代,再后来是进入到这个数字化时代,这个时代的发展就决定了国家必须要重视数字化和数字化经济的发展。但为什么我在分享时讲到我们下一个阶段叫数字化经济时代,而不单纯是数字化时代,因为数字化时代,我们只是利用了数字技术来做一些信息化办公,但是数字经济是要把数字利用起来进行交易,产生价值,所以数字化时代和数字化经济时代还是有巨大差异的。
为什么数字经济是由国家来统筹呢,这个就像国家的法律法规一样,它是从管理和技术两个两方面来去考虑的,就像法律肯定也是由国家来做顶层设计的,那数字化肯定也是,像“数据安全法”。“个人信息保护法”,首先都要有法律作为依据和准绳来约束,然后才有行业的标准,再有地方性的政策法规,它是至上而下的,那到下的话才有国有企业,民营企业,还有个人去具体参与其中产生经济价值。这个在其他国家也是类似的,像美国也是由美国国家标准与技术研究院(NIST)来统一做这种标准制定的。
Q2
您觉得数字政府和数字经济二者之间的关系是什么?以及您觉得是数字政府的建设会直接带动数字经济的发展,还是数字经济的先行发展来反推数字政府建设的?您认为沈阳目前处在数字政府和数字经济的哪个阶段?
第二个问题和第一个问题其实是有继承性联系的,你这个问题提得很好。
就数字经济和数字政府之间的关系而言,其实无论是哪个行业,它的统筹规划都是由国家顶层部门自上而下去做整体的规划和推动的,而国家的这个顶层设计,以及推动单位通常都是政府机关单位,所以说,像各地的数字化经济和数字信息化的保障,它都是由数据局,或者是由这个大数据中心来去做推动的。那辽宁省有信息中心,有营商管理数据局,政策标准自然也都是由这些部门来制定的。
所以说数字经济肯定是反推政府的,那天我在演讲的时候也谈到,就这个数字化技术的发展,它倒推了政府必须要把数据拿出来,因为如果你不拿出来的话,那就没有数字化。没有数字经济,就根本不可能有数字要素这件事儿,它也不可能激活。因为它的基础就是政务数据要拿出来做整合,才能够服务于我们现在的所有的社会公众。
至于沈阳市目前数字经济处在哪个阶段,其实就我个人的看法来说,我认为沈阳还处于1.0初级阶段,因为它还没有完全将政务数据充分利用起来,而这个根本原因就是政务数据还没有完全做到共享和开放。那如果想进入2.0阶段其实还有很长的一段路要走,那在这个过程中也势必会涌现很多机会和发展机遇。
Q3
您觉得当数据更多数据“活”起来之后,是否会面临更多数据安全的问题?企业是否该采取更稳健的方式来让一点点“活”起来?如何更好地规避当中的各种风险?
我们在全国范围内形成了良好的数据生态合作体系,会根据不同项目的需要来组建具备不同专业领域和核心能力的合作伙伴,围绕数据价值链为企业提供一站式的服务。例如在数据资产入表业务中,我们除了能提供数据确权与合规服务之外,还联合数据管理咨询公司、数据技术公司、数据资产评估公司、会计师事务所组成项目组为企业提供全流程服务,可以说无论在哪个城市,我们都能快速组建好专业的项目团队及时为客户解决问题。
当数据真正流通起来,真正地“活”起来,也就是真正交易起来之后,它的风险首先就是法律风险,其次就是管理跟技术的风险。因为我们现在所做的数据安全,包括网络信息化的安全,它是基于合规,是基于国家的法律和等级保护的。当然此外还有行业的标准,比如银行有金融行业的标准,能源有能源的标准,公安也有公安自己的标准等等。但目前我们行业在做数据安全建设的时候其实还很难达到相应但各种标准,所以如果说我们的业务水平处在1.0阶段,那么安全建设水平还落后于业务发展水平。所以说他连1.0的阶段还达不到。
所以说,未来如果数据真正“活”起来之后,我们首先就要增加安全的投入。目前来看的话,我们国内信息化的安全建设标准,一般占不到信息化的10%,国家要求是10%-15%,但是几乎都是只有5%左右,这种安全投入其实是非常少的。安全投入少的话,那你相应的软件硬件的安全措施就少,自然达不到基础安全防护,所以说。数据要素想盘活,我们这个安全基础必须打得更牢。
Q4
在讲到数据安全时,您谈到应从“严防死守的防御”的静态防御,切换到“动态、适度安全防护“,您觉得为什么需要产生这种变化呢?
这个问题也继承了上一个问题,因为“活”起来就意味着交易起来了,那交易的话,这个交易的主体,包括访问的数据,也就是访问的主体跟客体都变成多维了,不像以前我们现在是单一的。
比如以前是一个人去访问公安的数据,一个人去访问金融的数据,就是非常单一,业务的流向梳理也非常简单,从A到B。从B到C,从C到D这样。但是如果到“活”的时代,就是我们交易的时代的话,那我们就是从A到ABCDEFG,从B到ABCDEFG,它是完全是多维的,那么它的业务链条在整理起来是非常繁琐的,后续可能需要很多人,甚至动用AI技术,动用数据大模型去做他的安全业务梳理,这是非常重要的,如果安全业务流的梳理做不到位的话,我们是没有办法在他交易的过程当中,发现数据流动的风险点的。
这个安全做不到位的话,在后续这个数据的交易过程当中,就容易产生数据的复制,被再次利用等等问题。而这个数据的确权问题又在这里面产生了,所以说它的安全是非常非常复杂的,从目前呢,我们中国的数字安全技术来看的话,我们现在当前很难做到从“严防死守的防御”的静态防御切换到“动态、适度安全防护“,但这一定是未来的一个趋势。
Q5
关于您讲到的“内生安全”的概念,就是把安全能力内置到网络的全链条中,内置到业务系统中,从而实现安全能力的无死角,为及时发现攻击打下基础,可否从技术层面分享一下,该如何这种内生安全的防护机制呢?
内生安全是一种安全的防护理念,这个概念是奇安信在几年前一次大会时提出的理念。内生安全指的是什么呢?它指的是要将运维的人和工具相结合,信息化的业务和安全业务相结合,再将业务的数据和安全的数据三者相结合。从而通过这种数据大模型去分析,将业务和安全结合起来,去考虑安全的问题。
那么现在我们服务的很多甲方客户,他们在做安全的时候,还是以传统的终端安全防护,网络安全防护,还有整体的安全运维,单一的这种点的防护的形式去做安全建设,而内生安全建设是希望把所有的安全领域打通,把数据打通。
那么很多大型企业都会找像“四大”,比如德勤、普华永道、安永这样的公司去做整体的咨询服务,这些大型的国外咨询机构也会给他们去设计整体的企业架构。这企业架构里边儿包含数据、技术、业务、应用。但是呢,它其实缺少了一个安全架构。
而我们在内生安全的理念中,就提到要将企业架构当中的四个架构4A加一个变成5A。5A是什么呢?就是加上安全架构,这样的话就形成了一个业务应用与安全的结合。
Q6
可否结合经验或案例讲一下具体应该如何“防内鬼、防泄露、防攻击、控风险”?
对于“防泄漏,防内鬼,防攻击”这个事情,最基础做法就是将安全的领域基于自己的这个本单位的安全现状严格把它梳理清楚。
我们有终端接入的安全风险,我们有边界的风险,我们有数据防护的风险等等,这样的话,我们做好基础设施建设,例如说终端防护我们怎么建设。我们的数据安全体系怎么建设,我们的边界防护怎么建设,然后我们整体的安全运营和运维的流程如何建设,最重要的就是我刚才提到的安全运维和运营的流程。这个运营和运营的流程就可以把我们所有的工具和人关联起来,这也恰恰就是刚才我提到的内生安全的一个基础理念,要把人和工具结合起来,通过统筹的这种视角去看整个单位的安全建设的情况,去把控一个一家企业的整体安全态势。
你像“防内鬼”的话,通常在企业当中,我们首先第一就是安全意识,个人的安全意识跟教育还有考核是要绑定的。内鬼通常都是个人行为,而个人行为很多时候是你用什么样的安全技术防护都防不住的,他主动想犯罪,谁也控制不了,但是我们客观上可以从技术、制度以及培训上去加强,从而减少他犯错的机会。
像“防泄漏”的话,我们有很多安全的技术,软硬件的技术来解决。比如我们个人要把我们的电脑、U盘、包括光盘这些终端存储设备自己保护好,使用好,增加密码,必要的可以存放在保密柜。然后客观上我们也可以通过数据库的这个节点来做一些数据防泄漏的技术手段,采购一些软件和硬件的产品部署上。
像“防攻击”的话,这个就是我们通过一些外部的硬件设备,包括云上的监测,还有我们刚提到的安全运营,整体的话从网络节点上进行防御,通过安全运营和态势感知这样的平台,我们进行监测和发现和预警。
Q7
如何区分数据类型并根据不同数据类型进行不同维度的安全防护呢?
其实首先我们要做的就是数据的分类分级,其实就是数据的治理工作,对于我们安全企业来说,我们服务我们客户的时候,通常我们会要求他们去建立数据安全体系,而这个第一步就是梳理资产,梳理数据资产。
这个的话是需要人再加上我们的工具,这个市面上有很多自动化的工具,然后就可以梳理跟识别当前的数据资产,它也会自动进行分类跟目录的编辑,这样的话我们数据就分出来了。然后再整理我们的业务流,这也是靠人工跟工具去梳理的。在我们的业务流节点上,去部署我们的安全策略,而这个安全策略它的前提是什么呢?就是你至少应该有像数据库、防火墙,然后像数据防泄漏、数据脱敏等等加密的这些产品,我们才能够用好产品。去服务于我们刚才梳理的业务流跟资产。
Q8
对于律师行业来说,您觉得从法律层面,在数字经济发展的过程当中有哪些环节是律师可以参与并辅助完善的?相比技术层面的合规设计,法律层面合规服务的必要性和关键性体现在哪?
我觉得律师的作用体现在两个环节,第一个环节就是在没有发生安全事件之前,因为我们在为任何一家企业,包括政府去做像网络安全,数据安全,个人信息保护的时候,我们都会在前期进行法律培训,就是邀请专业的法律人士从法律层面去讲解,如果企业或者政府机构安全做得不到位,那么国家各种法律法规是如何进行处罚的,如何界定法律边界的?这是在前期培训的过过程当中,需要给他们去进行一个警示。
那第二呢,就是在事后。就是一旦发生了安全事件的时候,假如说数据的泄露等。之前辽宁省的某一个地级市就出现过这样的事情,这个数据被某外包的第三方工程师上传到了公有云上,导致这个数据被泄露了。那么无论是他主动传出去的,还是数据被他窃取了,这个安全事件都已经发生了,而这个数据又是政府的一个重要数据。那么这个时候就需要有法律界的这个专家来去评判当事人违反的是什么样的法律,应该接受什么样的处罚。那么我认为这就是法律从业者可以在事后能发挥的一个作用。当然也绝不限于这种情况,可能在实践中具体的情况还有很多,这里也无法一一展开,但作为奇安信来讲,我们目前包括未来服务客户的过程中,都有很多需要和法律专业人士进行合作的地方。
最后,是我对于数据要素流通安全体系的一个简单总结。
以上就是我的一些分享,也希望这些内容能够对相关企业以及各位法律从业者有所帮助!
往期推荐
北京瀛和(沈阳)律师事务所
让优质法律服务触手可及
北京瀛和(沈阳)律师事务所位于沈阳市大东区滂江街22号长峰中心30、38层,办公面积3600余平方米,为客户提供卓越的服务,帮助客户追求公平并创造价值,促进法治环境的持续改善是我们的使命。
瀛和沈阳通过数字瀛和开发的KindleLaw数字化法律服务系统,正逐渐向数字化律所方向迈进。我们将法律服务与人工智能、区块链、大数据等技术融合在一起,用科技为法律服务赋能,为客户提供优质服务。
主编:刘小维 排版编辑:王云彤
