圖1 超越合規(guī):數(shù)據(jù)安全場景-前沿技術圖譜
2 前沿技術+用戶隱私數(shù)據(jù)安全合規(guī)
在該類場景中�����,企業(yè)需解決用戶隱私數(shù)據(jù)的采集�����、以及數(shù)據(jù)權利請求響應的合規(guī)性問題���,可引入下述創(chuàng)新技術:
1) 差分隱私
技術原理:差分隱私是一種基于噪聲機制的隱私保護技術�����。在本地差分隱私模式下����,每一個用戶終端都會運行一個差分隱私算法,每一個終端采集的數(shù)據(jù)都會加入噪聲�,然后將其上傳給服務器;服務器雖然無法獲得某一個用戶的精確數(shù)據(jù)�,但通過聚合與轉(zhuǎn)換可以挖掘出用戶群體的行為趨勢。
合規(guī)遵循:GDPR的 32條和《網(wǎng)絡安全法》的42條�。
行業(yè)應用(代表公司):Google、Apple���,其中Apple通過差分隱私可挖掘到iPhone用戶使用表情的頻率分布�����,但無法獲得具體某一個用戶的確切隱私。
圖2 iPhone差分隱私技術應用[1]
2) 知識圖譜
技術原理:知識圖譜最早用于搜索引擎和社交網(wǎng)絡�,它簡單可以看成是一種基于圖的數(shù)據(jù)結(jié)構,由節(jié)點和邊組成�����,每個節(jié)點是一個實體,每條邊是兩條實體之間的關系���。由于個人數(shù)據(jù)治理關鍵是個人數(shù)據(jù)實體識別�����,以及相關屬性與處理流程的關聯(lián)�����,引入知識圖譜技術成為必然��。通過知識圖譜技術�����,可幫助企業(yè)了解所在敏感數(shù)據(jù)的位置����,是如何被使用的��,以及它的合同、法律和監(jiān)管義務���,達到個人信息治理與可視化作用���。
合規(guī)遵循:可滿足GDPR的12-22條和《網(wǎng)絡安全法》的43條。
行業(yè)應用(代表公司):RSA 2020創(chuàng)新沙盒冠軍Securit.ai公司����,基于知識圖譜技術實現(xiàn)了個人數(shù)據(jù)圖譜應用。
圖3 Securiti.ai的個人數(shù)據(jù)圖譜應用[2]
3) 流程自動化
技術原理:用戶數(shù)據(jù)權利請求響應是歐美等國外企業(yè)重要的隱私合規(guī)檢查項���。流程自動化技術可幫助企業(yè)的數(shù)據(jù)安全運營團隊從繁瑣重復的手工處理“請求-響應”轉(zhuǎn)為自動化處理����,一方面可降低人工的運營成本�,另一方面可減少由于響應時間延誤(GDPR規(guī)定一般為一個月)帶來的違規(guī)風險。
合規(guī)遵循:GDPR的12-22條和《網(wǎng)絡安全法》的43條�。
行業(yè)應用(代表公司):Securit.ai、BigID和OneTrust等�。
3 前沿技術+企業(yè)內(nèi)部數(shù)據(jù)安全治理
在該類場景中,企業(yè)需解決內(nèi)部敏感數(shù)據(jù)治理的安全與合規(guī)問題�����,可引入下述技術解決安全與合規(guī)問題��,可引入下述創(chuàng)新技術:
1) 智能敏感數(shù)據(jù)識別
技術原理:傳統(tǒng)基于關鍵詞�、正則匹配的敏感數(shù)據(jù)識別方法不夠智能,易出現(xiàn)漏檢(尤其是在文檔等數(shù)據(jù))��。引入相似度計算�����、聚類����、監(jiān)督學習等智能方法,提升識別能力與檢測效果�。
合規(guī)遵循:GDPR的30條和《網(wǎng)絡安全法》的21條。
行業(yè)應用(代表公司):Securit.ai����、BigID等。
2) 數(shù)據(jù)脫敏風險評估
技術原理:數(shù)據(jù)脫敏在企業(yè)進行廣泛應用����,然而不同脫敏方法的安全效果不同。通過對脫敏數(shù)據(jù)集的身份標識度和隱私泄露風險進行定量地評估與刻畫��,實現(xiàn)風險管理和控制。
合規(guī)遵循:GDPR的32條和《網(wǎng)絡安全法》的42條��。
行業(yè)應用(代表公司):Privacy Analytics��、綠盟科技等�����。
圖4 綠盟科技的數(shù)據(jù)脫敏風險評估應用
3) 用戶實體行為分析
技術原理:通過對用戶實體持續(xù)的畫像與建模��,并建立正常用戶行為基線��,從海量收集的安全數(shù)據(jù)中發(fā)現(xiàn)數(shù)據(jù)泄露等異常行為�����。
合規(guī)遵循:GDPR的32條和《網(wǎng)絡安全法》的42條����。
行業(yè)應用(代表公司):Splunk、綠盟科技等���。
圖5 綠盟科技的UEBA數(shù)據(jù)安全防護方案
4 前沿技術+企業(yè)間數(shù)據(jù)共享與計算
在該類場景中���,企業(yè)需解決企業(yè)之間的數(shù)據(jù)安全共享與計算的安全與合規(guī)問題�,可引入下述創(chuàng)新技術:
1) 數(shù)據(jù)匿名
技術原理:對個人信息進行泛化和屏蔽等處理��,使得對應的個人信息主體無法被識別�,以達到“匿名”的效果�����,包括K-匿名��、L-多樣性和T-近似性等技術�����。
合規(guī)遵循:GDPR的前言26段和19條����,以及《網(wǎng)絡安全法》的42條。
行業(yè)應用(代表公司):Immuta����、Privitar、 Anonos�����、綠盟科技等。
圖6 綠盟科技的自適應匿名化算法應用
2) 同態(tài)加密
技術原理:明文數(shù)據(jù)經(jīng)過同態(tài)加密后得到的密文數(shù)據(jù)����,在不解密情況下仍然可執(zhí)行密文數(shù)據(jù)的處理與操作。敏感數(shù)據(jù)在同態(tài)加密與計算環(huán)節(jié)處于加密狀態(tài)����,實現(xiàn)了數(shù)據(jù)的計算,同時保障了安全性���。
合規(guī)遵循:GDPR的前言5條和32條�,以及《網(wǎng)絡安全法》的42條��。
行業(yè)應用(代表公司):Duality 等�����。
圖7 Duality的同態(tài)加密平臺在金融數(shù)據(jù)共享應用(圖引自[3])
3) 安全多方計算
技術原理:在參與方互不信任的情況下進行協(xié)同計算�,在保證計算結(jié)果正確性同時不泄露任何一方輸入的原始數(shù)據(jù)和狀態(tài)數(shù)據(jù)。
合規(guī)遵循:GDPR的前言5條和32條���,以及《網(wǎng)絡安全法》的42條�����。
行業(yè)應用(代表公司):Google���、螞蟻金服等���。
4) 聯(lián)邦學習
技術原理:多個參與方(如企業(yè)、用戶移動設備)在不交換原始數(shù)據(jù)情況下����,即在隱私保護前提下����,實現(xiàn)聯(lián)合機器學習的建模、訓練和模型部署���。
合規(guī)遵循:GDPR的前言5條和32條�����,以及《網(wǎng)絡安全法》的42條��。
行業(yè)應用(代表公司):Google��、Apple和微眾銀行等����。
5 小結(jié)
隨著全球數(shù)據(jù)隱私法規(guī)的密集發(fā)布,包括歐盟GDPR�,美國CCPA,國內(nèi)的《網(wǎng)絡安全法》�,以及今年發(fā)布的《數(shù)據(jù)安全法(草案)》、《個人信息保護法(草案)》���,合規(guī)性成為了企業(yè)數(shù)據(jù)安全建設與治理的重要驅(qū)動力��。在合規(guī)視角下����,數(shù)據(jù)安全的內(nèi)涵在合規(guī)與業(yè)務安全雙重需求驅(qū)動下不斷外延和擴展����,數(shù)據(jù)安全的覆蓋的應用場景將變得更加多樣化,給傳統(tǒng)的數(shù)據(jù)安全技術與方案帶來了巨大的挑戰(zhàn)����。如何實現(xiàn)破局?本文簡要介紹的十種新興的數(shù)據(jù)安全技術����,可為破局新場景新挑戰(zhàn)帶來一些思路與啟發(fā)——助力企業(yè)在滿足安全合規(guī)同時創(chuàng)造更大的數(shù)據(jù)價值����。
為了獲取更多內(nèi)容���,歡迎關注綠盟科技公眾號���,后臺回復“數(shù)據(jù)安全報告”下載《擁抱合規(guī)、超越合規(guī):數(shù)據(jù)安全前沿技術研究報告》�����。
或點擊以下鏈接下載:
https://mp.weixinbridge.com/mp/wapredirect?url=http%3A%2F%2Fblog.nsfocus.net%2Fwp-content%2Fuploads%2F2020%2F12%2Fdata_security_advanced_technology_research_NSFOCUS_1228.pdf
參考文獻
[1] Differential Privacy, https://www.apple.com/privacy/docs/Differential_Privacy_Overview.
[2] Securiti.ai homepage. https://Securiti.ai/.
[3] ?Duality Homepage.?https://dualitytech.com/.
來源:上海熱線
