图片来源:视觉中国
数据如今成为各行业企业资产重要的组成部分,无论是国家,还是企业,对于数据的重视程度,越来越高。据国际数据公司(IDC)预测,到2025年中国产生的数据总量将达48.6ZB,占全球的27.8%;对国内生产总值(GDP)增长的贡献率将达年均1.5-1.8个百分点。
各行业企业也逐步意识到了激发数据价值的重要性,都希望通过激发数据价值,寻找新的增长点,实现业务的进一步增长。
数据安全是企业实现数据驱动面临的首要问题
随着企业数据量不断的增加,企业在利用数据驱动业务发展,以及确保自身数据安全方面面临的挑战也越来越多。这其中,数据安全首当其冲。
数据安全可以说是一个“老生常谈”的话题了。随着各行业数字化转型进程的不断推进,数据已经成为企业,乃至国家的重要资产,而在数字技术快速发展的背景下,企业数据安全也面临着越来越严峻的挑战。
国家层面,为了数据能真正作为生产要素被用起来,党的二十大报告明确了数据安全与经济安全、金融安全、网络安全同等的地位,在政府工作报告方面也是连续三年提及,关注度逐年增强。法律法规上有《网络安全法》《数据安全法》《个人信息保护法》三法联动,此外还推出了部分行业数据安全标准的制定与相关政策规划。
数据安全在企业层面,也理应得到更多的重视。据IBM Security 发布的《2023年数据泄露成本报告》中显示,仅数据泄露一项,2023年全球数据泄露的平均成本达到 445 万美元,创该报告有史以来以来最高记录,较过去 3 年均值增长了 15%。
而Ponemon Institute发布的《2022年网络攻击成本报告》中也指出,网络攻击平均每年给企业造成高达2843亿美元的损失,其中包括数据泄露、财务损失、恢复系统和名誉损失等方面的成本。
显然,数据安全已经成为企业在应用数据过程中,需要首要解决的问题。
优刻得相关负责人对钛媒体表示,结合优刻得服务的用户可以总结出,依法合规地获取数据,扩大数据储备,提升研发和生产效率,已经成为企业用户的一大集中诉求。
企业具体需要从三个层面来确保数据安全。在外部,企业主要面临着以网络攻击为代表的安全威胁。黑客可以通过各种手段攻击企业或个人的网络系统,窃娶篡改或删除敏感数据,甚至让整个系统瘫痪。
在内部,企业需要特别关注由于员工操作不当或恶意行为,从而导致敏感信息泄露或者系统受损等问题。根据CSO的调查,42%的企业遭受过内部威胁的攻击。例如,有些企业由于员工数据安全意识不强,或因疏忽等原因,将敏感数据存储在个人云盘中,导致数据被泄露给外部人员,给企业带来巨大损失。
除此之外,随着全球各国对于数据安全和隐私保护的重视程度越来越高,企业,尤其是跨国企业,在部署业务,使用数据的过程中,数据合规问题也日益凸显。
企业在出海的过程中,需要处理大量的用户数据,这些数据包括个人信息、交易信息等敏感信息。然而,由于不同国家和地区的法律法规、文化背景等存在差异,企业很难保证在不同市场的数据安全和隐私保护问题得到有效解决。
对此,亚马逊云科技大中华区产品部总经理陈晓建对钛媒体表示,如何在确保数据安全合规的前提下,最大限度的促进数据的流通和应用,成为当下各大跨国企业亟待解决的“矛盾”,他认为,企业的合规团队需要保证敏感数据能被有效地识别,并将这些数据合理的保护和存储起来,是企业需要首要解决的问题。
数据安全要技术、人员两手抓
综上,当下企业主要面临着企业外部、企业内部,以及安全合规等三方面带来的数据安全“压力”。结合当下企业数据应用趋势,钛媒体认为,企业在进行数据安全布局的时,要从安全技术应用和全员数据安全意识培养两个方面着手。
从人员角度出发,安全职责不仅是一个安全运营部门,也包括开发与运维等部门,共同承担安全责任,要相互配合。无论是开发部门,还是运营部门,在进行工作流程的时候,都需要将数据安全放在首位。
企业需要建立内部安全培训和意识培养机制,加强员工的安全意识和技能培训,让员工了解如何正确处理敏感数据和保护系统安全。同时,企业还可以通过实施内部政策、建立员工使用数据的标准操作流程来提高整体的数据保护水平。
从技术角度出发,在新的数据安全趋势下,显然传统的数据安全技术手段,已经不足以确保企业所面临的诸如API攻击、高级机器人攻击等安全威胁,企业需要一套更灵活、更系统、更专业的保护措施。
对此,亚马逊云科技大中华区安全合规与治理产品总监白帆表示,当下绝大多数企业都选择混合云作为企业数字化的工具,在混合云环境下,企业数据安全相对“薄弱”的环节就成为了黑客们重点攻击的对象,“业务上云后,企业可能有很多的数据‘入口’,但企业可能只会给核心业务的节点购买防火墙。”白帆指出,“没有部署防火墙的节点就成为黑客进攻的‘入口’,黑客可以通过这些‘入口’作为‘跳板’,去攻击其他资源。”
优刻得相关负责人对钛媒体表示,当前,数据的安全流通面临一些新的挑战,他表示,在技术层面,不管是沙箱、安全多方计算,还是联邦计算,它们虽然有自己擅长的业务场景,但都或多或少在技术上还有不太完善的地方。
比如,安全多方计算的性能相对较弱,能够支持的场景相对较少;沙箱计算需要将数据汇总在一起;而联邦计算只能针对人工智能等。
企业在选择安全产品的时候,要“因地制宜”,结合场景,选择切实符合自身需求的安全产品,要有针对性的进行安全产品的布局。
不同的技术,相同的目标
在这个数据已经近乎覆盖了所有行业企业各个环节的时代,企业对数据安全的重视程度,以及对安全产品的布局需要贯穿企业的各个环节。
当下各个云厂商也都不断推出自身的云安全产品,虽然这些产品技术不尽相同,但目标始终只有一个帮助企业在确保数据安全的前提下,更好地激发数据价值。
结合当下企业具体需求,目前比较常见的保障数据安全的技术手段主要有:数据加密、数据备份、访问控制、VPN网络、隐私计算等。
其中,以隐私计算为例,该技术作为保障数据安全流通的有效方式,已逐渐成为促进数据要素跨域流通和应用的核心技术,广泛应用于金融、通信、互联网、政务、医疗、制造、能源等诸多领域。
中国信通院牵头编写的《隐私计算白皮书(2022年)》中指出,近几年来,隐私计算在技术、应用和行业层面上都得到了快速发展,下一步应在性能提升、安全分级、互联互通等方面重点突破。在未来,隐私计算将有助于构建数据流通的基础设施,在保证安全的前提下有效持续释放数据要素价值,促进数字经济高质量发展。
IDC发布的《中国隐私计算平台市场报告》中显示,2022 年,中国隐私计算平台市场以 92.9% 的市场增速实现 1.2 亿美元的市场规模。
《隐私计算行业研究报告》预测,三年后,国内与隐私计算相关的技术服务营收有望达到100~200亿元,并有望撬动千亿元级的数据平台运营收入。
对此,优刻得相关负责人对钛媒体表示,隐私计算是一块市场大蛋糕。目前,涉足这一市场的公司主要分成四大阵营专注做隐私计算的公司、安全公司、云计算公司以及有数据业务的传统企业。
作为最早一批应用隐私计算的云计算公司,UCloud从服务客户存储数据,到满足客户在合法合规环境下,推动流通数据,技术和服务更坚实,技术积累更丰富,代表了云计算厂商从事隐私计算的优势所在。“从产品能力来看,无论是云计算、隐私计算还是多方安全计算、联邦计算,底层都需要数据的大规模存储、分析和计算能力。云服务公司可以将云计算、云存储和人工智能、大数据分析能力等很好地融合在一起,这是其他类型的公司所不具备的。”该名负责人指出。
基于隐私计算等安全技术,UCloud于2017年就推出了推出大数据安全流通平台安全屋,以保障数据在流通过程中“可用不可见”,并于2021年对安全屋进行了升级,形成可信数据沙箱、安全多方计算、联邦学习等三大数据安全流通平台。
无独有偶,亚马逊云科技作为国际云计算巨头,也在隐私计算方面着重布局,陈晓建对钛媒体表示,结合当下用户对隐私计算和多方数据协同的需求,亚马逊云科技推出了Amazon Clean Rooms,让企业在一个私密计算环境中,实现多方数据的匹配、分析和协作,而不需要移动或者暴露原始数据,安全地实现数据分析协作,在数据安全得到最大保护的同时充分在协作方之间开发了数据价值。
百度则是先后推出了通用安全计算架构MesaTEE和开源联邦学习框架PaddleFL。MesaTEE采用了百度安全实验室提出的混合内存安全技术、机密计算技术和可信计算技术,并构建了FaaS通用计算架构。而PaddleFL则基于飞桨开源框架,为联邦学习研究人员提供了基础编程框架,并封装了公开的联邦学习数据集。
蚂蚁集团在2022年7月宣布面向全球开发者正式开源可信隐私计算框架“隐语”,覆盖了几乎所有主流隐私计算技术路线。并于2023年3月,对“隐语”进行了产品升级,开源了SCQL功能。
单是一个隐私计算技术,就“百舸争鸣”,其他安全技术方面亦是如此。不过,这些安全技术及产品虽然不尽相同,但最终目的只有一个为企业数据安全保驾护航。
钛媒体认为,就如同“当下没有一朵云能满足企业所有需求”一样,也“没有一项安全技术能完全确保企业的数据安全”,一方面,企业需要根据不同场景,选择符合场景需求的安全技术和产品;另一方面,企业需要根据技术的演进,以及数据安全威胁趋势的发展不断对安全产品进行迭代。唯有这样,才能让企业在激发数据价值的过程中,迈出坚实的一步。让企业在确保数据安全的前提下,释放数据价值,赋能企业高质量发展。
