数安行《基于数据运营安全的个人信息保护》论文荣登国家级期刊
近日,数安行CEO王文宇论文《基于数据运营安全的个人信息保护》在国家期刊《信息安全与通信保密》2021年2月刊正式发表,并入选封面专题「完善个人信息保护体制的顶层设计」,获得科研院所、企事业单位以及行业安全专家等业界同仁的广泛关注。
《信息安全与通信保密》创刊于1979年,是由中华人民共和国工业和信息化部主管、中国电子 科技 集团公司第三十研究所主办的综合指导性学术期刊。伴随近年来我国信息安全与通信保密产业的不断发展,以报道权威公正、信息全面准确而成为目前业界的主导 媒体 ,为科技与产业、销售与市场、厂商与用户之间的信息沟通起到良好作用。
王文宇在论文中详细解读了在数字化转型中,关于个人信息保护的范畴、立法及技术的发展变迁,针对当前个人信息保护的新形势,论文提出基于数据运营安全的个人信息保护的方案,重点阐述方案的核心理念和九大功能模块,方案从数据运营全周期中对个人信息进行保护,既遵循个人信息保护的合规性要求,也适应当前阶段个人信息保护的新诉求。
数据运营安全即DataSecOps,是数安行在国内首先提出的创新防护理念,其核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
该理念的提出,首先在于大数据时代,蕴含着巨大价值的个人数据规模持续快速增长,开放和共享是数据合理有效利用的前提,而个人信息保护又是开放和共享的关键。其次,当业务逐渐由数据驱动,敏感数据因此面临更复杂的暴露、扩散、滥用风险,这些风险环节也会被恶意用户或病毒木马利用,导致更频繁、更隐蔽的恶意泄露和窃取等事件发生,风险已经遍布整个数据运营过程和参与数据运营的所有人员角色。再者,包括传统安全、数据库安全、数据防泄漏(DLP)、终端加密以及UEBA等当下对个人信息保护的主流方式多重在保护结构化数据,在处理非结构化数据方面存在空缺;主要解决数据在单个域内的安全,而没有对不同域之间的数据流动做保护;集中解决数据单个时期的安全问题,缺乏对数据全生命周期的追踪及溯源。
因此,现有个人信息保护方式,不足以应对当前个人信息的保护需要。基于数据运营安全的个人信息保护,通过数据运营安全对结构化、半结构化、非结构化的个人信息流动的保护,涵盖从生产到运维,从产生、采集、存储、使用,共享和销毁全生命周期保护,深入业务逻辑执行针对性防护,同时与业务解耦,达到保护个人信息安全的目标。
方案主要包括以下几个核心:跨业务跨域的遥测数据收集分析;全类型AI个人信息梳理;暗数据与明数据的AI分类梳理标注;个人信息影子及非感知数据的追溯;数据链的全运营周期追溯;分布式AI数据安全风险分析;零信任数据安全;自动化编排安全响应;多源数据统一安全机制。
目前,该方案及核心理念也全面应用于数安行建立的数据运营安全平台产品中,为客户构建全流程的数据自适应访问控制和防护规则体系。数安行将坚持以DataSecOps为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。