第三届数字安全大会——数据安全分论坛精彩内容

2023-06-20 10:48:31  来源:

摘要:2023年6月17日,第三届数字安全大会在北京隆重召开,本届大会以“风险驱动”为主题,由数世咨询、CIO时代联合主办,新基建创新研究院作为智库支持。大会分为上午主会场和下午三个分会场,本文为大家带来数据安全分论坛精彩内容。
关键词: 数字安全大会 数据安全

图片

2023年6月17日,第三届数字安全大会在北京隆重召开,本届大会以“风险驱动”为主题,由数世咨询、CIO时代联合主办,新基建创新研究院作为智库支持。大会分为上午主会场和下午三个分会场,本文为大家带来数据安全分论坛精彩内容。

\
北京燃气集团信息档案中心主任 王广清

北京燃气集团信息档案中心主任 王广清发表了《企业数据安全体系建设探索》主题演讲,首先从企业数据安全面临的风险展开,第一个来自数据经济和数字价值释放,从数据支撑业务发展、提高运营到数据驱动决策,让决策更智慧,因此需要具备相应的数据安全能力,第二个来自数据安全事件,频发数据泄露、数据勒索、数据非法使用等;第三个来自合规层面,伴随法律法规不断完善,满足合规基础上,企业在数据安全建设跟上步伐;第四个数据流动带来的风险,内外部访问、数据平台等都会带来数据流动,因此要提高数据流程场景下数据安全防护。

数据安全建设思路方面,国内外都有不同架构,不同侧重点。我们强调数据安全和网络安全一样,一定要运营。我们需要建立一个长期的运营架构,从数据资源、安全运营、数据策略运营、安全事件运营、数据安全风险运营做出相关规划。

\
新华三集团安全产品线 安全研发部部长 王其勇

新华三集团安全产品线 安全研发部部长 王其勇发表了《主动安全 智能进化 释放数据价值》主题演讲,AIGC视角下的攻击趋势发生很大变化,具有攻击智能化,隐蔽化难以检测,定向化精准渗透,网络化协同作战,规模化DDoS攻击,因此我们需要构建主动安全体系建设,具有完备的安全规程,能够在风险早期进行解决处理安全风险,具有风险提前预警、威胁分析建模与溯源、情报驱动与智能化分析、主动诱捕与欺骗式防御、安全事件调查取证、安全运维流程自动化等特点。

新华三主动安全理念从1.0走到3.0,基于“1+4+8”的建设思路,实现业务感知零信任、业务安全新中台、业务运营即服务的安全目标,王其勇强调“要做好安全,要看清自己,那么做得好的一定是把暴露面做到最小”。具体实践方面,入口集约化,提升整体安全能力,新华三推出了新一代M9000-X网关,数据管控方面,采用零信任架构,以身份为核心的数据鉴权,融入数据资产生命周期。

\
北京极智安科技有限公司CEO 伊昔

北京极智安科技有限公司CEO 伊昔发表了《AIGC安全方向的研究报告》主题演讲,当下 ChatGPT的突然爆火让人们意识到超级深度大模型的学习能力会越来越强,越来越智能,越智能的技术背后的安全问题越发令人担忧,一旦失控所带来的后果将是颠覆性的,毁灭性的。

AIGC框架下安全风险日益增多,例如前不久研究人员发现LangChain框架中提示词混合python代码的模版函数可以远程执行任意python代码。还有提示注入、越狱攻击等风险,同时AIGC内容安全需要重点关注。对于AIGC数据安全方面,ChatGPT首次遭遇了重大个人数据泄露、三星使用 ChatGPT造成三起机密资料外泄事件,因此需要加强数据安全防护,可以通过隐私计算、动态加密来解决。

\
中电安科咨询规划部副总经理 兰向升

中电安科咨询规划部副总经理 兰向升发表了《基于工业网络安全风险智能化监测预警防护治理》主题演讲,随着工业互联网快速推进,工业设备联网、上云趋势下,工业控制系统网络面临众多安全风险,产生了很多众多周知的安全事件。合规要求加强对风险的监测预警措施,在《关键信息基础设施安全保护要求》有明确要求,工业网络安全需要强化内部行为管控、提升动态监测能力、提升在线防御能力。

中电安科可以“零扰动”识别工业网络安全风险,构建以业务和数据为核心的“可知、可管、可控”纵深安全防护体系;具体实践方面,监测预警侧重点工业协议深度解析、工控协议指令的识别;边界隔离侧通过工控防火墙对工业协议的功能码、点值进行控制实现安全防护;主机防护侧,对移动存储介质U盘等进行信任管控,切断病毒入口;对操作员站进行进程服务白名单管理,有效防止恶意代码运行;集中管控侧,通过工控安全管理平台,对网络安全态势进行多维度的整体监视。

\
数世咨询合伙人/首席战略分析师 靳慧超

数世咨询合伙人/首席战略分析师 靳慧超发表了《数据安全创新观察》主题演讲,如果我们将数字化比作一个人的身体,其中算力基础设施是骨骼,互通的网络是神经,而流动的数据则是血液。数据的生命力就在于其流动性,只有数据流动才能创造价值。数据流动的速度和范围越大,创造的价值也就越高。因此,数据的价值取决于流动性的强弱。

保障流动性数据的安全需要在多个维度进行,数世咨询带来了数据访问安全内的两个创新观察,数世咨询联合霍因科技共同提出安全驱动的数据治理SDDG,通过三个方式实现,湖仓一体化的数据底座、行业数据安全属性分类咨询、数据安全保障能力对接。

另一个是数世咨询联合云智信安共同提出了数据监测与响应DMR,2023年国务院发布《数字中国建设整体布局规划》,要求“增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系”。

数据监测与响应DMR就是为了协助建立并且完善网络数据监测预警和应急处置工作体系,为此数世咨询联合云智信安共同提出了DMR方法,主要是情报驱动、机构监管、用户响应三个部分组成,通过这三方面我们就实现了数据监测与响应。

\
脑动极光CSO 张坤

脑动极光CSO 张坤发表了《健康医疗行业风险下的数据安全》主题演讲,目前企业安全越来越复杂,最让安全人头疼是内外部环境动态变化,安全状态持续保障难,数据与业务紧耦合,组织内部全流程协作拉通困难。在医疗行业,医疗器械22条中,其中9-14条均是数据安全方面要求,当下主要安全风险是黑客攻击和内鬼,因此我们需要关注八个健康医疗场景:

• 场景一:互联互通数据安全
• 场景二:远程医疗数据安全
• 场景三:汇聚中心数据安全
• 场景四:健康传感数据安全
• 场景五:移动应用数据安全
• 场景六:临床研究数据安全
• 场景七:商保对接数据安全
• 场景八:器械维护数据安全

目前,脑动极光数据安全整合方案建设思路,第一基础建设,建立数据安全基础能力;第二机制联动,建立事件快速响应能力,第三,未来加强全面感知数据安全风险。

\
保旺达CTO 康缪建

保旺达CTO 康缪建发表了《基于AI+场景的数据安全管理平台》主题演讲,根据相关政策梳理出数据安全三大关键目标,数据安全防护、数据监管合格、数据安全流通,围绕数据安全关键目标,聚焦企业在数据安全工作方面存在的主要问题,保旺达构建了“合规和安全双驱动”数据安全整体防护体系。

数据安全管理平台业务架构具有四个特点,第一,发现并纳管数据资产,监视数据访问,分析数据安全事件,评估三个月还有安全风险,为数据安全管理提供数据支撑;第二,根据数据资产管理、数据安全事件管理和数据安全处置管理的结果,决策生效数据安全策略;第三,执行具体数据安全策略,调度安全防护能力池生成对应防护能力实例;第四,能力实例对接具体数据资产,执行数据资产安全防护。

基于AI的数据安全场景应用方面,第一个就是数据识别、敏感数据的自动分类;第二个AI场景实践主要包括数据访问异常事件识别,第三个方面是风险评估,采用集成学习堆叠模型,构建多层系统,采用交叉验证、基础学习分类器的输出通过堆栈泛化输入到元分类器,通过LR进行最终决策,进而提升风险评估的准确性。

\
江民科技董事长 郭昌盛

江民科技董事长 郭昌盛发表了《数字化时代网络安全风险探讨和应对》主题演讲,数字转型带来很多的挑战与风险,我们看到资产繁多复杂,风险暴露面扩大,但终端和数据成为最终攻击目标,江民建议做好端点一体化防御,我们看到数字时代加速国产化软硬件替代、网络安全建设更加系统化、以端点安全为基础构建网络安全体系,以端点安全为核心,防护技术不断迭代进化,江民AI人工智能引擎将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止,相比传统引擎具有更快、更强、更轻的特点,在线和离线情况均能够高效预测和预防对终端的已知和未知威胁,代表了国产人工智能杀毒引擎的新高度。

\
数世咨询合伙人/高级分析师 刘宸宇

数世咨询合伙人/高级分析师 刘宸宇分享了《数据安全能力框架与技术体系》,通过数世咨询的数据安全能力图谱,我们可以看到数据安全分为数据贮存安全、数据访问安全、数据开发安全、数据安全服务四大类,数据贮存安全属于“保险箱”防护思维,主要特点是,必选项,合规驱动;基于传统网络安全技术,如加解密;相对受业务变化的影响较小;应用场景较为固定。

数据开放安全,“可用不可见”的安全思维,主要特点是技术驱动,基于机器学习、人工智能等新技术,如联邦学习、同态加密等;理论上可行,但现实中受算力不足的影响较大;应用场景仍然有限。

数据访问安全,“数据流动”中的安全,主要特点是业务场景驱动;基于现有安全技术,与业务场景相结合;主要受影响于安全对业务的理解程度;应用场景多。

数世咨询认为重点领域包括数据访问安全域,就是以终端安全隔离环境为核心,使用端到端的安全架构,帮助机构解决数据生产、访问、传输、使用、共享、流传等场景中的数据安全管控需要采用的数据安全技术。这里的安全域特指满足数据安全管控要求的通路、处理、存储、访问等独立空间区域。

数据访问安全域方法论,以数据访问场景为脉络,建立安全、隔离的数据空间,在该空间中完成数据的访问、传输、共享、删除、追溯等全程管理,以此保护数据资产安全、共享流通以及数据访问的安全。

第二个重点领域是数据治理安全平台,数世咨询认为数据治理大于数据安全,数据安全属于管理范畴,因此应该先做轻量化数据分级,针对数据进行保护,持续迭代。对于数据安全先后顺序,可以参考数世咨询数据安全成熟度阶梯。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。