圖1 超越合規(guī):數(shù)據(jù)安全場(chǎng)景-前沿技術(shù)圖譜
2 前沿技術(shù)+用戶(hù)隱私數(shù)據(jù)安全合規(guī)
在該類(lèi)場(chǎng)景中,企業(yè)需解決用戶(hù)隱私數(shù)據(jù)的采集�����、以及數(shù)據(jù)權(quán)利請(qǐng)求響應(yīng)的合規(guī)性問(wèn)題���,可引入下述創(chuàng)新技術(shù):
1) 差分隱私
技術(shù)原理:差分隱私是一種基于噪聲機(jī)制的隱私保護(hù)技術(shù)�����。在本地差分隱私模式下���,每一個(gè)用戶(hù)終端都會(huì)運(yùn)行一個(gè)差分隱私算法���,每一個(gè)終端采集的數(shù)據(jù)都會(huì)加入噪聲,然后將其上傳給服務(wù)器��;服務(wù)器雖然無(wú)法獲得某一個(gè)用戶(hù)的精確數(shù)據(jù)���,但通過(guò)聚合與轉(zhuǎn)換可以挖掘出用戶(hù)群體的行為趨勢(shì)�����。
合規(guī)遵循:GDPR的 32條和《網(wǎng)絡(luò)安全法》的42條�。
行業(yè)應(yīng)用(代表公司):Google�����、Apple���,其中Apple通過(guò)差分隱私可挖掘到iPhone用戶(hù)使用表情的頻率分布���,但無(wú)法獲得具體某一個(gè)用戶(hù)的確切隱私。
圖2 iPhone差分隱私技術(shù)應(yīng)用[1]
2) 知識(shí)圖譜
技術(shù)原理:知識(shí)圖譜最早用于搜索引擎和社交網(wǎng)絡(luò)��,它簡(jiǎn)單可以看成是一種基于圖的數(shù)據(jù)結(jié)構(gòu)�,由節(jié)點(diǎn)和邊組成,每個(gè)節(jié)點(diǎn)是一個(gè)實(shí)體�����,每條邊是兩條實(shí)體之間的關(guān)系���。由于個(gè)人數(shù)據(jù)治理關(guān)鍵是個(gè)人數(shù)據(jù)實(shí)體識(shí)別���,以及相關(guān)屬性與處理流程的關(guān)聯(lián),引入知識(shí)圖譜技術(shù)成為必然���。通過(guò)知識(shí)圖譜技術(shù)�,可幫助企業(yè)了解所在敏感數(shù)據(jù)的位置�����,是如何被使用的,以及它的合同��、法律和監(jiān)管義務(wù)�����,達(dá)到個(gè)人信息治理與可視化作用�。
合規(guī)遵循:可滿(mǎn)足GDPR的12-22條和《網(wǎng)絡(luò)安全法》的43條。
行業(yè)應(yīng)用(代表公司):RSA 2020創(chuàng)新沙盒冠軍Securit.ai公司��,基于知識(shí)圖譜技術(shù)實(shí)現(xiàn)了個(gè)人數(shù)據(jù)圖譜應(yīng)用����。
圖3 Securiti.ai的個(gè)人數(shù)據(jù)圖譜應(yīng)用[2]
3) 流程自動(dòng)化
技術(shù)原理:用戶(hù)數(shù)據(jù)權(quán)利請(qǐng)求響應(yīng)是歐美等國(guó)外企業(yè)重要的隱私合規(guī)檢查項(xiàng)。流程自動(dòng)化技術(shù)可幫助企業(yè)的數(shù)據(jù)安全運(yùn)營(yíng)團(tuán)隊(duì)從繁瑣重復(fù)的手工處理“請(qǐng)求-響應(yīng)”轉(zhuǎn)為自動(dòng)化處理�,一方面可降低人工的運(yùn)營(yíng)成本,另一方面可減少由于響應(yīng)時(shí)間延誤(GDPR規(guī)定一般為一個(gè)月)帶來(lái)的違規(guī)風(fēng)險(xiǎn)����。
合規(guī)遵循:GDPR的12-22條和《網(wǎng)絡(luò)安全法》的43條。
行業(yè)應(yīng)用(代表公司):Securit.ai���、BigID和OneTrust等����。
3 前沿技術(shù)+企業(yè)內(nèi)部數(shù)據(jù)安全治理
在該類(lèi)場(chǎng)景中,企業(yè)需解決內(nèi)部敏感數(shù)據(jù)治理的安全與合規(guī)問(wèn)題�,可引入下述技術(shù)解決安全與合規(guī)問(wèn)題,可引入下述創(chuàng)新技術(shù):
1) 智能敏感數(shù)據(jù)識(shí)別
技術(shù)原理:傳統(tǒng)基于關(guān)鍵詞���、正則匹配的敏感數(shù)據(jù)識(shí)別方法不夠智能�����,易出現(xiàn)漏檢(尤其是在文檔等數(shù)據(jù))。引入相似度計(jì)算�����、聚類(lèi)�����、監(jiān)督學(xué)習(xí)等智能方法�,提升識(shí)別能力與檢測(cè)效果。
合規(guī)遵循:GDPR的30條和《網(wǎng)絡(luò)安全法》的21條�����。
行業(yè)應(yīng)用(代表公司):Securit.ai�、BigID等��。
2) 數(shù)據(jù)脫敏風(fēng)險(xiǎn)評(píng)估
技術(shù)原理:數(shù)據(jù)脫敏在企業(yè)進(jìn)行廣泛應(yīng)用���,然而不同脫敏方法的安全效果不同。通過(guò)對(duì)脫敏數(shù)據(jù)集的身份標(biāo)識(shí)度和隱私泄露風(fēng)險(xiǎn)進(jìn)行定量地評(píng)估與刻畫(huà)���,實(shí)現(xiàn)風(fēng)險(xiǎn)管理和控制���。
合規(guī)遵循:GDPR的32條和《網(wǎng)絡(luò)安全法》的42條。
行業(yè)應(yīng)用(代表公司):Privacy Analytics��、綠盟科技等�。
圖4 綠盟科技的數(shù)據(jù)脫敏風(fēng)險(xiǎn)評(píng)估應(yīng)用
3) 用戶(hù)實(shí)體行為分析
技術(shù)原理:通過(guò)對(duì)用戶(hù)實(shí)體持續(xù)的畫(huà)像與建模,并建立正常用戶(hù)行為基線(xiàn)�,從海量收集的安全數(shù)據(jù)中發(fā)現(xiàn)數(shù)據(jù)泄露等異常行為。
合規(guī)遵循:GDPR的32條和《網(wǎng)絡(luò)安全法》的42條�。
行業(yè)應(yīng)用(代表公司):Splunk、綠盟科技等�����。
圖5 綠盟科技的UEBA數(shù)據(jù)安全防護(hù)方案
4 前沿技術(shù)+企業(yè)間數(shù)據(jù)共享與計(jì)算
在該類(lèi)場(chǎng)景中���,企業(yè)需解決企業(yè)之間的數(shù)據(jù)安全共享與計(jì)算的安全與合規(guī)問(wèn)題����,可引入下述創(chuàng)新技術(shù):
1) 數(shù)據(jù)匿名
技術(shù)原理:對(duì)個(gè)人信息進(jìn)行泛化和屏蔽等處理,使得對(duì)應(yīng)的個(gè)人信息主體無(wú)法被識(shí)別��,以達(dá)到“匿名”的效果�,包括K-匿名、L-多樣性和T-近似性等技術(shù)�。
合規(guī)遵循:GDPR的前言26段和19條,以及《網(wǎng)絡(luò)安全法》的42條��。
行業(yè)應(yīng)用(代表公司):Immuta��、Privitar�、 Anonos�、綠盟科技等。
圖6 綠盟科技的自適應(yīng)匿名化算法應(yīng)用
2) 同態(tài)加密
技術(shù)原理:明文數(shù)據(jù)經(jīng)過(guò)同態(tài)加密后得到的密文數(shù)據(jù)�,在不解密情況下仍然可執(zhí)行密文數(shù)據(jù)的處理與操作。敏感數(shù)據(jù)在同態(tài)加密與計(jì)算環(huán)節(jié)處于加密狀態(tài)�,實(shí)現(xiàn)了數(shù)據(jù)的計(jì)算,同時(shí)保障了安全性���。
合規(guī)遵循:GDPR的前言5條和32條���,以及《網(wǎng)絡(luò)安全法》的42條�����。
行業(yè)應(yīng)用(代表公司):Duality 等�����。
圖7 Duality的同態(tài)加密平臺(tái)在金融數(shù)據(jù)共享應(yīng)用(圖引自[3])
3) 安全多方計(jì)算
技術(shù)原理:在參與方互不信任的情況下進(jìn)行協(xié)同計(jì)算��,在保證計(jì)算結(jié)果正確性同時(shí)不泄露任何一方輸入的原始數(shù)據(jù)和狀態(tài)數(shù)據(jù)��。
合規(guī)遵循:GDPR的前言5條和32條��,以及《網(wǎng)絡(luò)安全法》的42條����。
行業(yè)應(yīng)用(代表公司):Google�、螞蟻金服等。
4) 聯(lián)邦學(xué)習(xí)
技術(shù)原理:多個(gè)參與方(如企業(yè)�、用戶(hù)移動(dòng)設(shè)備)在不交換原始數(shù)據(jù)情況下,即在隱私保護(hù)前提下�����,實(shí)現(xiàn)聯(lián)合機(jī)器學(xué)習(xí)的建模、訓(xùn)練和模型部署����。
合規(guī)遵循:GDPR的前言5條和32條,以及《網(wǎng)絡(luò)安全法》的42條��。
行業(yè)應(yīng)用(代表公司):Google�、Apple和微眾銀行等。
5 小結(jié)
隨著全球數(shù)據(jù)隱私法規(guī)的密集發(fā)布��,包括歐盟GDPR����,美國(guó)CCPA,國(guó)內(nèi)的《網(wǎng)絡(luò)安全法》��,以及今年發(fā)布的《數(shù)據(jù)安全法(草案)》����、《個(gè)人信息保護(hù)法(草案)》���,合規(guī)性成為了企業(yè)數(shù)據(jù)安全建設(shè)與治理的重要驅(qū)動(dòng)力�。在合規(guī)視角下��,數(shù)據(jù)安全的內(nèi)涵在合規(guī)與業(yè)務(wù)安全雙重需求驅(qū)動(dòng)下不斷外延和擴(kuò)展,數(shù)據(jù)安全的覆蓋的應(yīng)用場(chǎng)景將變得更加多樣化�,給傳統(tǒng)的數(shù)據(jù)安全技術(shù)與方案帶來(lái)了巨大的挑戰(zhàn)。如何實(shí)現(xiàn)破局��?本文簡(jiǎn)要介紹的十種新興的數(shù)據(jù)安全技術(shù)�,可為破局新場(chǎng)景新挑戰(zhàn)帶來(lái)一些思路與啟發(fā)——助力企業(yè)在滿(mǎn)足安全合規(guī)同時(shí)創(chuàng)造更大的數(shù)據(jù)價(jià)值。
為了獲取更多內(nèi)容�����,歡迎關(guān)注綠盟科技公眾號(hào)�,后臺(tái)回復(fù)“數(shù)據(jù)安全報(bào)告”下載《擁抱合規(guī)、超越合規(guī):數(shù)據(jù)安全前沿技術(shù)研究報(bào)告》���。
或點(diǎn)擊以下鏈接下載:
https://mp.weixinbridge.com/mp/wapredirect?url=http%3A%2F%2Fblog.nsfocus.net%2Fwp-content%2Fuploads%2F2020%2F12%2Fdata_security_advanced_technology_research_NSFOCUS_1228.pdf
參考文獻(xiàn)
[1] Differential Privacy, https://www.apple.com/privacy/docs/Differential_Privacy_Overview.
[2] Securiti.ai homepage. https://Securiti.ai/.
[3] ?Duality Homepage.?https://dualitytech.com/.
來(lái)源:上海熱線(xiàn)
