2023年5月13日,2022(第二届)超级CSO年度评选颁奖盛典在上海举行,来自全国各地近200位来宾、业界专家、企业代表、合作伙伴以及CSO/CISO共同出席。本次盛典得到了包括中国网络安全审查技术与认证中心(CCRC)、大数据协同安全技术国家工程研究中心、国家信息中心《信息安全研究》杂志社、中国管理科学学会应急与安全管理专委会等在内多家机构的大力支持。
组委会经过认真审慎的资格认定和专家评审,选出18位优秀CSO,作为2022(第二届)超级CSO年度评选的提名奖获得者,即TOP18。天空卫士获得伙伴提名奖。天空卫士华东区技术总监冯文秀出席本次盛典,就“人工智能与数据安全”进行了议题分享,在“CSO眼中的数据安全”圆桌讨论中精彩发言!
主题演讲:人工智能与数据安全
冯文秀表示:人工智能的加速发展,一方面其为数据安全带来了新的风险,另一方面,人工智能也助力了数据安全发展。天空卫士数据安全治理自动化体系包含了数据分类分级自动化、数据安全处理自动化、数据行为分析智能化、数据脱敏全面化、API传输内容分析细粒化、管理编程可视化、一把手数据安全管理“一支笔”。其人工智能的人员数据安全评估可做到异常行为检测、精准威胁行为模式预测、对已知的风险模式的检测。
内部威胁防护方案通过人工智能技术,全方位、立体化对企业内部人员的数据安全风险进行全面评估,可以准确实现对人员的异常行为检测、精准威胁行为模式预测、对已知的风险模式的检测,极大提高了数据安全风险评估的准确性,提升数据安全运维效率,降低数据安全体系运维的成本。
对人工智能引入的安全风险管控,天空卫士通过UCWI统一内容安全审查平台可以准确、及时的对提交给人工智能应用的内容进行敏感性内容分析,提供审计、保护(阻断)建议、事件详情报告、集中事件和日志审计。将人工智能使用的数据安全风险在事前完成预测、在事中进行审计、阻断、在事后提供日志审计,可以快速的完成对数据安全风险的定位和溯源。
圆桌论坛:内容、挑战、措施
对CSO来讲
到底怎么看数据安全?
有何心得体会?
又有怎样的痛点疑点和槽点?
带着这些问题,本届评选活动特邀某集团信息安全副总裁王彬、某券商信息安全负责人蒋琼、上汽集团乘用车分公司信息安全经理冯斯恩、天空卫士华东区技术总监冯文秀、安言咨询总经理董永乐,以圆桌论坛的形式展开了深度的讨论。
01、数据安全
需要关注哪些内容?
冯文秀表示,在数字化转型的整体形势下,每天的数据量非常大,而数据只有在流转的过程中才能为业务带来价值,因此我们首先要知道所保护的对象和所要投入的重点在哪里。数据安全首先要做好数据的分类分级和数据全生命周期的分析。
安全人员在做好数据安全的同时不能去妨碍业务,或者影响其他员工办公的习惯,我们要在保障业务的前提下,用现有的数据安全技术使数据流通更顺畅,让业务发展更好,这样才能做到所谓的数据安全初心。
从厂商的角度来看,当下数据安全的技术方案非常多,为了保证数据在流通的过程中,既不泄露也不影响业务,许多新技术一一出现,比如同态加密,其既保证了原始数据不参与流通,又保证了业务的实现。
02、AI的加速发展给数据安全
带来了哪些新的挑战?
冯文秀:今年3月份三星公司因为ChatGPT发生了三起重大数据泄露事件,这就是AI可能带来的数据安全问题。ChatGPT是一种生成式的人工智能,其还涉及到数据跨境、数据交易、数据流转等等,所以我们既要使用好生成式的人工智能来提高我们的效率,也要在使用时把数据安全的风险降到最低。
降低风险会涉及到两个方面。其一,是生成式人工智能本身所带来的风险,比如open AI公司自身就发生过数据泄露,ChatGPT用户的信息流出;其二,在使用AI的过程中会遇到的风险,比如三星公司。因此,我们要对ChatGPT的输入信息做好严格的审计和管控。
数据跨境、数据流通方面,我们还要关注到数据的扩散,因为数据在交易和流转时,通过扩散也很容易引入新的数据安全风险。
03、在现今的形势中,企业于数据安全
和个人信息保护方面有什么相关
的举措?
冯文秀:从安全工具落地的角度来讲,主要是两点。
首先,要保障隐私的不扩散、正确的使用和业务的流畅,除了DLP外,如今比较前沿的安全工具,比如同态加密、联邦计算、隐私计算等,这些都是为了保障隐私数据在使用和流转过程中的安全性。
其次,发现数据安全风险时,要及时的响应和处置,同时对数据溯源要有较高的要求。数据溯源可以让我们快速的定位和推导风险,以此加快响应速度。
从安全运营的角度来讲,数字化改革时代,所有的业务都是日新月异、不停变化的。新业务的发展意味着新数据的产生,新数据的产生意味着需要新的保护手段对其进行防护,如果不能及时响应业务的数字化转型,到时就会出现更多的安全风险。
未来,天空卫士将持续聚焦数据安全领域,加速SASE产品的研发,将产品SaaS服务化,以便更好的服务于中小企业客户,更好地保护国内客户的数据资产。