《数据脱敏应用指南报告》发布,标准研制与产业应用同步推进

数据已经成为人民生活中关键的要素之一,推动着时代的变革,而我们经常提及的敏感数据也正是每个人的公民信息的隐私数据。中国在去年5月1日发布了《个人信息规范》,后续在一年中发布了很多征求意见稿。可见,保障公民的个人信息安全,保护敏感数据已经越来越被社会各界所重视。

11月8日,由安全牛主办,杭州美创科技有限公司承办的数据脱敏应用指南发布会成功举办。全国信息安全标准化技术委员会WG5组组长李京春,公安部第三研究所副研究员唐迪,安全牛主编、谷安天下科技有限公司副总裁李少鹏,合众人寿保险股份有限公司信息技术部陈浩,杭州美创科技有限公司谭清华等行业专家,上海观安、安华金和、杭州闪捷等厂商共同就大数据时代下敏感信息的保护和数据脱敏产品与技术等话题进行了探讨和经验分享。

 图 会议现场

全国信息安全标准化技术委员会WG5组长李京春先生为发布会致辞,并对大数据时代敏感信息保护与数据脱敏的重要性和必要性给予了强调与肯定。他在发言中将数据脱敏产品和刚刚提出的“四个坚持”进行结合,谈到数据脱敏这项工作实际上就是保护个人隐私。解决了住宿、交通、游戏等实名制要求增加,同时又不希望这些个人信息被泄露,避免个人隐私被买卖,地下交易的问题,把数据脱敏产品技术、标准提到了很高的高度。

全国信息安全标准化技术委员会WG5组长 李京春

公安部第三研究所副研究员唐迪发表了题为《数据脱敏产品安全技术标准》的演讲。从数据脱敏产品技术背景与市场现状、数据脱敏产品相关标准发展现状以及国家标准研究项目编制状况三个方面进行了分享。他提到自2019年4月,与美创科技合作提交了数据脱敏安全技术要求和测评方法标准的立项,标准研究项目在过去6-8个月,基本上完成了整个研究项目所有立项工作,以及整个过程研究工作,形成了技术标准的草案和研究报告。

数据价值最大化来源于数据的深层次、大范围流通、共享和开放,但是为了国家安全、社会正常秩序,以及人民群众财产安全基本要求,数据最好的方式就是保密,或要在一个范围内进行访问控制,有一个留存的过程,这之间有一定矛盾的,所以数据脱敏产品和技术就是为应对这种矛盾提供的一个解决方案。数据脱敏产品在数据安全方面有非常大的应用前景。

 公安部第三研究所副研究员 唐迪

安全牛主编、谷安天下科技有限公司副总裁李少鹏分享了《网络安全的核心目标之数据安全》,并发布了《数据脱敏应用指南报告》。他认为网络安全本质特征首先是基于或面向网络与信息系统展开的对抗过程。非常典型的特征是伴生(行业化、场景化、碎片化、规模小)和服务。“现在是数据时代,只有数据进行流动、进行共享才能发挥其价值,数字经济、数字化转型核心就是对数据的共享、对数据的流动。”李少鹏表示,数据流动起来,传统的安全防护措施很难保护,所以就需要有各种各样的手段,脱敏就是其中一种。数据脱敏价值在于帮助了共享、帮助了流通,在数据流动的状态下,对数据进行保护以充分发挥数据的价值。在此需求下,安全牛联合美创科技、安华金和、闪捷信息和观安信息四家网络安全厂商,通过对20多个脱敏案例的分析,并结合各大数据提供商的业务需求,给出对脱敏产品的概览、关键技术、案例分析以及未来趋势等综合性客户指南。希望提供数据服务或需要保护敏感数据的客户提供实际的指导帮助,为数据服务中的敏感数据提供有效保护,为企业的数字化服务保驾护航。

 安全牛主编、谷安天下科技有限公司副总裁 李少鹏

合众人寿保险股份有限公司陈浩从甲方公司和用户的角度谈了选择数据脱敏产品的标准。“数据安全既是监管要求,更是企业自身的需要。”数据是金融企业的核心资产。保护客户和自身的敏感数据,就是保护企业的信誉,就是保护企业的安全。作为资深数据库技术人员,他认为数据安全不能仅仅建立在人员的自觉性上。更不能等发生损失之后再依靠法律追溯,而应该在数据源头,就做好防护。而如何在数据同步的过程中,实现敏感数据的隔离与屏蔽是一个非常大的挑战。传统的手工编写脚本脱敏数据面临着许多问题,尤其是开发人员精力有限,无法把那么多系统进行脱敏。相对来讲,数据脱敏产品不仅节约了开发人员的人力成本,操作和执行都更便捷。

 合众人寿保险股份有限公司 陈浩

杭州美创科技有限公司高级产品经理谭清华分享了《隐私数据脱敏技术和应用》。他对数据脱敏两种类型的规则与应用场景进行总结,并分析了数据脱敏体系是如何建立的。

对于数据脱敏总体而言,需要技术原则与管理原则的综合支持。从技术角度,需要满足敏感信息无法被重新获取的有效性、脱敏后能保证数据的真实性、脱敏速度的高效性、以及根据不同场景需求对同一份数据生成不同结果的可配置性;从管理角度来看,在脱敏之前需要对敏感信息进行梳理、在脱敏的过程中进行规范与可控、同时做好审计,确保事后能够追踪溯源。

在对于数据脱敏技术的应用场景方面,谭清华表示,美创科技根据场景的需求,分别使用静态数据脱敏与动态数据脱敏技术:静态数据脱敏一般应用于非生产环境或脱离原生业务系统使用,避免传输状态的数据泄露;动态数据脱敏则用于需要实时脱敏的场景,主要是生产环境,针对不同场景与不同角色权限显示不同数据。根据这些特性,静态数据脱敏主要使用场景在开发/测试、数据分析/挖掘、以及提取/上报环境;动态数据脱敏则用于实时的数据共享交换,并且在运维管理环境中对运维访问的敏感数据进行实时脱敏,另外在应用系统访问、查询时,对敏感信息进行屏蔽、遮盖等呈现方式。

数据脱敏也需要体系进行支撑,组织和机构需要自上而下指导,自下而上推进。在战略上根据国家法律法规以及业务需求和场景制定数据脱敏目标,并进行规划;在体系上建立组织架构、规章制度与管理流程;最后,依靠数据脱敏技术支撑起整个方案。

 杭州美创科技有限公司高级产品经理 谭清华

来自安华金和、上海观安、杭州闪捷等产品专家也进行了脱敏技术分享。

有业界专家点评:本次安全牛主办的、杭州美创科技有限公司承办的数据脱敏应用指南报告发布会是个“创举”:标准、用户、厂商三方齐聚;标准研究与应用指南同步推进,很是难得!