3 月9 日，CIS 2021 网络安全创新大会 Spring·春日版开启了线上直播。大会议题精彩纷呈，无论是安全行业年度观察，亦或是网络安全体系建设，还是人工智能世界的奥秘，全部涵盖。

人工智能，大数据、物联网风靡以来，海量的数据处理一直是企业的心头大患，面对大量数据，以往的数据处理方式已难以应对，保障数据安全成为实体难以攻破的“堡垒”。

CIS 2021 网络安全创新大会 Spring·春日版「数据安全与暨数据合规与隐私科技峰会」分论坛邀请民航二所马勇、斗象科技王涛、360政企安全集团杨焱、亚马逊云科技 Troy Cui、平安信托有限责任公司叶兵等知名网络安全专家，与大家深入探讨最新的数据安全保护技术、最佳的运营体系。

民航数据安全防护体系的探索与思考

马勇 民航二所网络安全专家

目前，国内民航旅客数据泄漏情况严峻，具有高价值的旅客信息是泄漏的重灾区，除此之外，历史泄漏数据仍旧被网络犯罪分子利用，民航运营商不仅要防范内部系统数据泄漏，还要时刻“提防”犯罪分子从其他渠道获取旅客信息。

归因民航频发大规模旅客数据泄露事件，新技术的应用免不得要背“半口”黑锅。目前，机场大量使用人脸识别技术、图像识别和人工智能技术。

另外，马勇提出疫情也是民航旅客数据泄漏的诱因之一。疫情反复蔓延，数据传输链条增加，民航系统对数据安全保护能力有待加强。最后，马勇称，民航系统内数据安全法律法规不够完善也是数据泄露原因之一。

针对民航系统数据安全问题，马勇总结了一些影响民航数据安全建设的痛点。

1. 源头很难确认：民航系统一旦发生数据泄露，很难快速、准确锁定源头；

2. 数据链条长：民航系统涉及机场方、飞机运营商等各实体，彼此之间数据共享，很难全部保护；

3. 民航系统错综复杂：机场运营系统庞杂，不同时期的数据系统存在偏差，整体之间很难同时进行改造。

线上分享的最后时段，针对民航系统的数据安全保护，马勇说了一些自己的思考。针对民航系统发生旅客数据泄露事件，缺乏监管，需要加强对民航系统的数据安全监管工作；另外，不同于其他的出行方式，民航其实是一个国际性的生意，飞机出行会涉及到国外的航班，需要国内外同行增强合作。

基于企业业务发展的数据安全体系建设实践

王涛 斗象科技安全专家

针对目前的数据安全状况。王涛提出当前安全漏洞持续增多，过去两年，国家信息安全漏洞库(CNVD)、美国国家漏洞库(NVD)，公共漏洞披露平台(CVE)等漏洞收录平台的收录总数持续增长。不单单是漏洞数量增加，数据泄露也经常发生。

直播期间，王涛还总结了自2015开始，安全建设经历的时代。 细致对比了不同时代安全运营人员对数据安全的认知。

混沌时代：这个阶段，从业者普遍不知攻，不知防，大都以企业内部系统不出现问题为工作目标，以网络策略作为安全工作主题；

救火时代：在这个阶段，内部的运维人员一般是发现问题后，才去处理问题，往往是亡羊补牢，很难起到关键作用，但是，也开始出现了基础防护构建，安全检测也慢慢兴起；

建设时代：合规逐渐开始完善，安全人员渐渐开始按照合规要求展开工作，监管的制度开始逐渐建立，要求内部维护人员学习安全知识。

运营时代：安全运营逐渐体系化，攻防演练频繁举行，运营者开始寻求建设安全体系，以谋求更便捷、安全的运营平台。

最后， 王涛认为，建设稳健的数据安全体系，需要持续加强合规建设，在安全需求方面努力做到安全技术、运营管理一手抓的。如果企业内部管理方向出现了问题，数据安全建设就会出现偏差。数据安全整体的安全体系建设，要求不同运营部门之间相互结合，管理者要从全行业的角度来看，制定大的安全战略。

后互联网时代的数据安全那些事儿

杨焱  360政企安全集团数据安全专家

中国、日本、加拿大、俄罗斯、新加坡、美国、韩国等政府机构相继颁布法律，为本国公民的数据安全保护建立了法理基础。

《个人信息保护法》不仅仅是一个脆弱“花瓶”。杨焱演讲中提到，一些企业因为违反个人信息保护法收到了巨额罚单，其中典型代表亚马逊，在2021年7月因违反欧盟通用数据保护条例面临7.46亿欧元处罚，除此之外，亚马逊还因对个人数据的处理不符合欧盟通用数据保护条例（GDPR），面临7.46 亿欧元（约 57.29 亿元人民币， 8.88 亿美元）的处罚。

国内数据安全法律法规经历了漫长的时间跨度。从八十年代左右启蒙宣传，经历十年后逐渐步入正轨，经过不断修订完善，最终形成了相对完善的数据安全法律体系。

针对《数据安全法》，杨焱逐渐细分，针对不同层级，整理对应的处罚程度。主要分级有责令关联人改正并给予警告；视影响情况责令终止相关业务、停业整顿、吊销营业执照、触及犯罪的，将依法追究刑事责任；约谈有关组织、个人，并要求尽快采取措施进行整改；最后，当造成严重影响时，会针对企业、个人进行罚款。针对侵害个人信息的行为，杨焱女士整理了以下处罚措施。

如何才能进行数据保护？杨焱指出一要管，二要控！

企业方面，需要制定合理的安全管理策略，在安全访问控制、资产管理、风险评估等方面加强建设，至于安全控制措施方面，采用实时监控、多因素验证、ACL访问控制等，有力保障企业数据安全。

个人方面，设置复杂的账户密码；应对钓鱼软件时，保持谨慎；遭受勒索软件攻击时，一定要立刻隔离，若没有及时处理，切记不要备份，以免破坏其他服务器。

日志管理在网络安全领域的实践

Troy Cui  亚马逊云科技大中华区产品部数据分析专家

谈到等保话题时，日志至关重要。行业对数据获取、传输、处理和使用、以及隐私数据的删除，做了具体要求。

线上直播过程中，Troy Cui 指出，日志问题涉及最多的还是等保，等保三级对于日志审计要求主要是以下几个方面：

1. 要求建立安全管理制度包括日志管理制度；

2. 记录计算，网络，应用这类在等保范围内资源的运维操作日志；

3. 针对基础架构和应用的用户行为进行日志记录，执行日志备份；

4. 制定专门的部门或人员对日志，监控，报警事件进行分析，统计，及时发现可疑行为；

5. 确保日志不可修改。

现阶段，关于日志建设存在巨大挑战。Troy Cui 提出，客户需要面临海量数据（数据收集除了来自服务器，还有部分延展到物联网，车联网等，这是一个海量的数据信息，可能到TB级别）。

另外，数据分散也是客户不得不解决的问题，日志来源过于分散，来源于不同的业务系统、技术组件、甚至容器组件、甚至还有应用日志，处理这些海量数据，需要更多的人力资源。除此之外，日志格式也有差别，对日志管理人员的技术能力要求不断提高。

人防+技防”安全体系，强化安全和隐私管理

叶兵 平安信托信息安全团队负责人

全球安全行业形式严峻，黑灰色产业蔓延、网络安全事件频发，国际网络安全危机和数据资产竞争逐渐进入白热化，千亿级网络黑产严重威胁金融安全，个人信息泄露是国内外安全事件频发的重要原因。

面对目前的数据安全现状，叶兵认为金融行业应该构建“技防+人防”生态体系，外防网络威胁攻击，内防隐私数据违规外泄。随着生态体系建设，期待企业严控风险、强化合规，内部管理体系不断加强，采取智能运营，技术平台不断提高，部门之间、企业之间，加固系统，优化体系逐渐形成联动机制。

另外，叶兵指出，企业管控要处理到位，将安全运营和业绩挂钩，充分培养内部员工的安全意识，健全防御体系，争取做到，事中报备，事后审计，增加经验，持续优化。

直播中，“打造数据资产管理平台，建立数据字典和数据集市，统一数据标准”观点引起了热烈讨论。叶兵提出，打造一个软件开发支持平台，从系统规划，需求分析，架构设计，编码开发，安全测试，运维保障，持续检测等层次不断完善。

关于数据安全的思考

众所周知，数据是企业的隐形资产，是决定企业能否平稳运行关键所在，一旦遭受黑客攻击，往往会对企业造成恶劣影响。为了更好保护数据信息，企业应该采取一系列安全防护措施，不断提高其数据安全防护能力，及时进行数据备份和加密，努力构建数据安全防护长城。

除了必要的安全技术保护，企业内部的安全管理和行业联动同样是数据安全保护的重中之重。企业应当不定时对员工进行安全培训，培养员工安全防护意识，打造内部数据安全围墙。行业内应该做好信息共享、技术共享、体系共享，在同一套系统架构下，共同守护数据安全。