7月4日晚,一则震惊互联网的消息在各媒体平台传播。这则消息是关于"滴滴出行"app的通告,由国家互联网信息办公室颁布,大意是“滴滴出行”App存在严重违法违规收集使用个人信息问题,依据相关法律规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题。不久之前,《网络安全法》以及《个人信息处理法案》的重要补充——《数据安全法》于6月10日颁布。该法案9月1日开始正式实施,作为安全相关的法律,《数据安全法》规范的是数据处理活动中的数据安全,通过保障数据安全,来促进数据的进一步开发和利用,保护个人,组织的合法权益,维护国家主权及安全。数字经济蓬勃发展的今天,《网络安全法》将在其中扮演越来越重要的角色,防范国家数据安全风险,维护国家安全,保障公共利益。在进入正式问题讨论之前,我们先分析一下为什么数据安全会成为当下最重要的安全问题。主要是由于以下两点:
当安全已经成为数字化转型的关键和首先要解决的问题时,数据安全的使用和过程的管理,已经成为了不可回避的话题,我们不妨先从“隐私数据”的保护说起。
为什么要关注隐私数据?
有以下几点原因:
在隐私数据的处理和保护中,国家层面的法律成了不可回避的强制性约束,比如《通用数据保护条例》规定了企业对用户数据的收集、存储、保护等标准,对于自身的数据,也赋予用户更大的权限去处置自己的数据。现在各个行业内出现的巨型企业,本身就是拥有着超量数据的平台,在保护隐私数据方面应该具有更高的安全意识。数据安全和隐私泄露问题频发,促使平台在保护隐私数据安全问题上需要实施有效举措。接下来,我想以数据平台为例简单说明下隐私数据的问题,分享我们在数据安全与隐私安全方面的思考与洞察。
数据平台中的隐私数据问题
应对数据安全的解决思路
解决思路有四个方面:
应对数据安全的技术方案
关于隐私保护相关的技术,除了上述的身份认证和加密存储之外,更重要的是对数据分类分级有所认识,并且,在不同场景下有不同的应用。举个例子,预防数据使用和存储安全的时候,我们需要先对用户身份认证,然后结合进程监控,日志分析以及安全审计策略进行强化。在处理过程中,需要进行可信计算、差分隐私计算与同态加密,访问阻断以及防火墙相关的控制。而在数据安全运维阶段,需要结合不同阶段进行调整。通过事前,事中和事后进行不断的调整。事前主要是漏洞扫描和安全加固,事中主要是从防火墙策略,加密脱敏等角度进行,而事后分析主要是从审计和日志管理来进行。最近比较流行的数据加密和安全多方计算,也是对于过程中信任与协同展开计算。隐私保护中特有的匿名化算法,将成为未来解决的有效方案,它具体根据不同场景和属性来定义方法和策略,将隐私数据中个人信息进行泛化或者屏蔽。第二种,是去标识化,主要是将身份标识直接删除,只保留其他个人信息。还有一种是通过技术手段生成代替原有的身份个体。
总结
在面临隐私保护相关问题时,要从经济、法律和技术三方面入手,建立不断演化的安全攻击和防范体系,技术方面需要强化隐私相关技术的应用,从数据流动的角度,动态审视当前的安全策略。以上是Thoughtworks安全技术与系统研发事业部在数据安全与隐私安全方面的思考与洞察,我们在金融、电商、汽车、医疗等不同行业都曾经与客户一同直面数据与隐私安全问题并探索更符合企业的解决方案。
本文分享自 ThoughtWorks洞见 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!