|
天融信科技集团战略咨询中心总经理 王鹏
天融信科技集团战略咨询中心总经理 王鹏
王鹏:再次感谢大家在现在这个时间还坚持到现在,我将为大家介绍我们在数字化转型中最重要的问题就是安全问题。 前面几位领导都提到了,我们在数字化转型,数字化转型包括智慧机场、监管整个体系的建设目的是什么?是提升业务价值,通过数据的挖掘分析和快速的数据利用让效率和效益提升。实际上,安全目的是什么?安全的目的其实是为了保障价值持续地不被破坏、不被泄露。所以在数字化转型中,我们认为安全问题是非常重要而且必须得解决的问题,所以今天我们想给大家探讨一下该怎么去做数字化时代的安全。 前面很多领导已经讲过了,实际上随着技术发展,数字化发展利用了很多基础技术比如云计算技术、物联网技术、大数据技术、人工智能技术、移动互联网等技术,在这些技术之上,我们建立了大量应用,未来实现出行一张脸、物流一张单、通关一次检、运行一张网、监管一平台应用,在这个基础上,我们才能够真正把整体业务整合起来。但实际上随着技术的不断深入和发展,我们发现一个问题,安全在内部依赖关系越来越复杂,也就是这种依赖关系是联动的,网络安全和数据安全的问题越来越深化到整体。怎么理解?原先我们再IT建设时更多提到信息化建设,这几年我们的提法更多是提网络空间安全,网络空间安全既包括了原有的信息化内容,又包括了现在的组织问题、技术问题和人的问题,实际上未来虚拟世界和物理世界的边界将越来越不清晰,这个不清晰会导致未来数字安全或者数字空间安全将会越来越复杂,这个复杂体现在首先作用关系,原先物理世界更多的是通过探测探针去获取数据,这些数据通过分析之后得到我们想得到的深层价值,这些深层价值并不是以直接方式作用于物理世界,是通过其他形式,实际上在数字化时代,这个形势发生了大的逆转。现在我们讲数字孪生或者自动化驾驶或者无人机或者无人驾驶之类,它都是基于数据的,这些数据造成的破坏和影响将会真真实实造成物理世界上的伤害,这种将会成为未来数字时代不得不面临的重要问题。所以安全问题的不断深化,我们在考虑安全时不能单纯地说安全只是一个保障,安全一定会成为未来的一个重点。 在未来,安全该怎么做?我们给出的一个思路就是一定要把安全作为数字化业务的内核之一,当然内核包括数据业务、业务应用,更重要是把安全和它们整合起来、配合起来,所以未来保护数据安全将成为民航业数字化转型的重要基础。而且在数据安全建设中,我们认为当前阶段急需要解决的是重要数据以及个人信息,尤其在民航过程中,大量的个人信息是在不断流转,如何让我们合法合理地流转和利用?这是我们需要探讨的问题。 天融信很多年前就提出了以数据为中心的安全理念,这个安全理念核心本质是什么?首先我们要建立以合规为基础的建设。目前,实际上会面临很多的法律法规比如网络安全法、数据安全法、个人信息保护法,这是目前要解决的合规问题。还有涉及到保密法,也可能涉及到等级保护制度,也可能涉及到关键信息基础设施的条例,目前我国法律法规在快速完善。而且在数据识别方向上,我们应该把敏感数据识别作为未来信息化建设的首要前提。可以看到民航业已经开始有了相关动作,比如在数据治理的规范中已经有了相关数据安全的基本规范,也有数据安全的基本分类分级的方法以及管理基本要求。但是在未来在敏感数据梳理这一块要再进一步细化,后续工作可能更多是如何真正落地。另外,还有一个是数据安全治理问题,数据安全治理是围绕着数据保护过程的,这个过程该怎么走?我们要解决。最终,前面提到那么多的业务场景,这些场景怎么落实数据安全保护的措施?这些都是我们要解决的问题。 今天给大家带来的就是以数据为中心的安全赋能体系。这个赋能体系本身是包括几个大方向,最重要的要有一个安全的监管机制,这个监管不仅仅是上级单位或者监管单位对数据所有单位进行监管,也包括单位内部上下级之间不同部门之间的互相监管和监督,这个机制建立起来之后是促进数据安全真正正常有效发展的过程,这个过程想推进,首先看左边的数据安全治理过程,通过治理过程让需求更明确、数据资产分类分级更准确,而且建立一套检查合规的机制。中间是数据保护体系,保护体系不是单纯靠技术工具,一定是人、技术和操作的有效结合,这个有效结合是怎么来的?一定是把组织关系、人员队伍包括在各个阶段应该采用什么样的措施策略进行整体设计,所以数据安全并不适用于自下而上的应急性的安全建设,它一定是自上而下整体建设的过程。所以在整个体系规划中,今年是“十四五”开局之年也是数据安全的元年,我们建议数据安全建设一定要在这个时期做好整体规划,目前天融信做了很多安全咨询项目,也都是做三年到五年规划的,这个规划目的就是未来该怎么去做。这里还有一个最重要的过程,规划和建设做好之后,我们还有运营的过程,运营是保证这套体系持续改进的方法。所以,运营将是未来几年可能要快速发展的方向,当然目前可能还是要以规划和建设为主。 实际上这里有几个核心问题,我做了简化总结。一是要有决心,决心是要把责任分清楚。数据安全的责任和网络安全差别是很大的,数据安全会大量涉及到业务部门,科技部门在其中起到的作用还是原先的建设和引导作用,但是业务部门在其中参与的程度会越来越多。另外,我们要有恒心。数据安全并不是一年或者经过一次建设就能解决的,它一定是长期的包括国家的法律法规标准包括行业标准也都是在逐步完善,各个单位也是要有明确计划,每年不断地完善数据安全管理体系,这样才能不断形成一个整体。另外,最重要是信息来源也就是技术手段,数据安全问题不同于信息安全,信息安全可能有的是可以靠人工去做一些工作,比如深度测试或者风险简单的评估,但是数据有流动性问题,有不断演化的问题,数据规模也非常大,所以一定要有强有力的数据安全支撑工具提供建设支撑和支点的过程。我们认为最重要的问题是协同问题,所以我们列了八个协同,这也是在建设过程中看到最典型也是最难解决的问题,就是如何和监管部门协同?如何在组织内部协同?如何把管理机制真正有效串成整体?策略、实战、运营、处置、改进要真正打通,所以未来的建设相对是比较复杂但是我们相信一定可以做好。 这里面最重要的几个要素。第一个要素我们认为人才是数据安全建设的基础,人才建设,天融信可以提供完备的人才培训,不仅仅是技术人员,还有业务人员,掌握了明确的知识之后才能真正把数据安全建好。数据安全治理我们认为是推进数据安全能力的必要过程,比如合法正规、权责一致、最小化原则、全程可控、动态控制、可审计,这些原则怎么实现?需要在治理过程中不断落实。而且在整个技术手段方向,目前的整体方向是要把网络安全技术手段和数据安全技术保护体系融合起来,要建立数据全生命周期的全程可控的差异化数据安全保护,这也是支撑未来数字化转型的必要基础。实际上这里有几个关键技术作一下简要分享。第一个关键技术比如如何快速高效地梳理数据资产,通过智能化的数据分类分级工具,通过自动化的发现,人工智能的数据识别包括基于计算模型的评分机制,我们能够提升数据发现和备案可视化的过程。另外怎么设计策略?第二个核心技术就是以安全标签为基础的动态策略控制,基于标签我们把安全控制变得属性化、抽象化,这样它可以把数据安全控制策略变得更加灵活,而且适用于各个环境,这样形成基于技术化的数据安全整体控制策略,这样就解决了网络安全传统的策略不一致或者策略出现漏洞问题。另外要实现基于行为风险度量的全程动态数据安全风险控制,这个控制是以数据行为分析、全口径审计为基础,进行用户的量化分析和自动化危险识别,这样实现整体的风险(管控)能力。另外是以智能化管控平台实现数据安全运营,智能化管控平台是数据建设最终的能力汇总,协同各个业务部门和技术部门。另外就是以智能化的监管平台助力民航的智慧监管,实现数据资产包括重要的比如数据出境、数据交易自动化、流程化上报,也会加快整体效率。最后我们相信未来民航数据安全建设一定是相融共创,也就是以数据创新为基础,协同多方安全角色共建整体的民航业的数据安全数字化转型的基础产业生态,形成未来数据安全的智能化赋能体系。 今天我的分享就到这里,谢谢大家。 |
中国民航报社 版权所有 京ICP备05024158 如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn |