网络安全和数据安全是事关国家安全和发展、事关人们工作生活的重大战略 问题。随着《国家安全法》、《网络安全法》、《密码法》、《民法典》、《数据安全法》、 《个人信息保护法》“五法一典”出台,网络安全、数据安全和个人信息保护由“或 有或无”变成“刚需”。数据处理者必须按照要求,接受和通过国家相关部门和 机构的审查和测评,不然存在违法运营的风险。
数字经济能够产生高附加值的重要原因之一是数据资源的共享。由于个人信 息蕴含了巨大的商业价值,如个性化广告推荐、千人千面营销、个性化推送等个 性化商业行为都需要详细的个人隐私数据。新颁布的《个人信息保护法》已经明 确,未经授权采集和使用个人信息严重违反个人信息保护法。因此,如何在保证 符合《个人信息保护法》的前提下实现数据高效共享,是个人信息处理者面临的 巨大挑战。
数据跨境流动的价值与风险越来越凸显,数据跨境流动风险与隐忧主要集 中于数据的传输、存储和使用三个环节,由于所在国政策和法律的差异甚至冲 突,存在数据滥用、敏感信息泄露的风险,甚至影响国家安全。拥有重要数据和一百万以上个人信息的数据处理者,在出境前需要通过国家网信部门组织的数据出 境安全评估, 对数据处理者提出了严格要求, 需要从技术层面创新来满足相关要求。
数据交易中心、移动智能终端承载大量重要业务数据和用户个人信息,但数 据资产没有进行全生命周期跟踪,存在安全漏洞。近年来针对 IDC 的攻击日趋 增加,侵犯数据安全的恶意应用、木马等日益增多,对用户隐私和资产安全构成 极大隐患。
在传统企业架构下,各类数据在一张大网内,数据的流入和流出通过固定的 采集 / 输出渠道,呈现安全边界固定、数字资产量少、业务复杂度低的特点,依 靠网关侧的流量采集再加上人工手动梳理基本可完成数据治理。但是在云计算模 式下,数据的产生、流通和应用变得空前密集。数据像血液一样流转在业务的每 个环节中, 数据链路触及范围更广, 动态性更强, 在数据收集、存储、使用、加工、 传输、销毁等全生命周期都存在着攻击和数据泄露的危险。特别是在数字经济时 代, 数据附带的价值日益凸显, 成为了攻击者重要攻击目标, 风险形式日益严重。
集成电路工艺、计算机体系结构、云计算等技术的快速发展,大大提升了系 统的计算能力和存储规模,而且使得业务实时弹性扩缩,但是带来了系统边界模 糊、引入更多未知漏洞、大量用户数据隔离困难,给安全防护工作带来了巨大挑 战。在数据资产海量化、使用方式多样化、共享与流动刚需化、数字业务复杂化 的情况下,要满足数据有效使用的同时保证数据使用的安全性与合法,将会大幅 提升网络和数据安全防护的复杂度,亟需采用新技术来应对挑战。
传统的边界安全或者外挂式安全已经很难满足复杂性爆炸场景下的安全保障 工作的需要。原生安全以内建安全、主动防御、整体防御为主要特点,已经成为 业界应对挑战的共识。但是大型数字化业务在实践原生安全时,容易落入一个两难困境:原生安全推动业务和安全深入耦合,导致业务和安全经常性冲突。比如, 在安全治理时, 安全团队设计的关键安全增强组件, 可能因为业务需求变更回滚, 导致安全增强组件前功尽弃。业务和安全深度耦合在漏洞应急修复的时候更加力 不从心,表现在:安全团队需要小时级的应急响应,而业务团队由于功能、性能 和稳定性测试要求无法满足小时级的应急要求。安全与业务深度耦合导致的“绑 脚走路”困境显然不是安全未来的出路。