建设数据安全度量体系，提升企业“安全水位”

　　建设数据安全度量体系，提升企业“安全水位”

　　蚂蚁数据安全治理体系

　　以数据为关键要素的数字经济，正在蓬勃发展。越来越多的企业将数据视为重要资产。同时，随之而来的数据安全问题与日俱增。

　　在实践中，国内企业是如何应对数据安全风险的，采取了哪些保障措施和解决方案？

　　1 将数据安全管理要求进行量化

　　近年来，数据的价值凸显，数据安全风险也越来越受到重视。

　　中关村网络安全与信息化产业联盟副理事长刘晓韬指出，近几年，数据勒索事件频发，尤其是数据价值越高的行业，发生越频繁。比如，金融行业拥有大量的个人交易数据、资产数据，价值非常高，就容易发生黑客入侵。他们不仅盗取数据，售卖数据，甚至对其进行重新加密保护，对企业进行勒索，这已经形成了一个黑色产业链。

　　面对现在层出不穷的数据安全风险，多数企业把数据安全摆在了整个信息安全体系中最重要的位置。但是数据安全的要求纷繁复杂，内部员工特别是研发人员在日常工作中由于缺少对数据安全的理解，或者由于无法判定行为准则，在无意中也会产生安全隐患。

　　为了解决这些难题，蚂蚁集团建立了一个数据安全度量体系，在数据安全治理体系下，对治理能力和安全水位进行量化评估与监控，实现数据安全精细化管理，将相关的数据安全管理要求进行量化。

　　蚂蚁集团数据安全总监、蚂蚁安全天堑实验室负责人郭亮表示，一方面，这可以帮助员工理解管理要求，判断自己的行为是否满足当下最新的数据安全管理要求。首先，它将复杂的管理要求，梳理成简洁清晰可规则化表达的安全基线，使内部人员很轻松地理解这些安全基准。

　　其次，为了让员工掌握最新的管理要求，加大了对安全基线的培训、认证及日常的宣导。基于形势变化，每半年会调整需要重点宣导的红线。同时，特别是对研发人员，会组织多次认证考试，以提高从事相关工作的门槛。

　　另一方面，该体系还能更好地衡量内部数据安全效果，及时发现数据安全风险点。比如，在业务需求阶段，安全团队会详细评估并提出各类安全要求，但在业务实施过程中，这些要求是否真正被执行、执行到位就难以判断。这时，该体系就发挥了安全基线的监控和度量作用，实时进行跟踪和监督。并且，业务实施人员，也可以根据该体系，自我进行判断某些行为是否正确，及时发现风险问题并更正。

　　郭亮指出，为了使该体系能发挥最好效果，还成立了专职的审计团队。在有规范制度的前提下，对不遵守安全要求的行为予以追责。追责的主要目的，是让相关人员及团队重视、支持安全工作，一起提升公司的安全水位。

　　2 采用创新技术，解决“理赔难”痛点

　　目前，数据安全治理体系更多是偏向于运营、管理层面的优化，而在数据安全治理实践中，还需要从技术层面防范、杜绝相关风险。

　　因此，相关企业加强了数据安全的技术创新。比如，蚂蚁集团在2019年推出了保护数据安全的摩斯安全计算平台，在数据不泄露、原始数据不出域的前提下运用先进的区块链、安全多方计算、密码学、隐私保护等多重技术，保障高效、安全，为行业提供数据安全解决方案。

　　目前，摩斯安全计算平台已经在更多的业务场景中得到应用，解决了很多数据安全保护的难题。

　　比如，传统的保险理赔过程，商业保险参保人须在就诊后将相关表单、医疗收据、病历等资料收集齐后，提交或上传给保险公司的理赔平台，审核通过后才能获取赔付，整个理赔过程周期长、效率低，并且存在骗赔隐患。

　　因此，许多保险公司希望与医院数据直接打通，建立快速赔付通道。然而，医院方面顾虑医疗数据安全和患者个人隐私泄露，不愿直接开放敏感的医疗数据。

　　而借助蚂蚁集团的摩斯技术，可将安全计算节点分布式部署在医院域和保险公司理赔服务域，由保险公司将理赔模型和理算规则远程部署在医院域的计算节点上。患者就医后发起理赔，医院端的安全计算节点自动利用理赔申请人的原始就医和处方数据进行本地加密计算，得到相应的理赔结果。

　　这样，利用创新的技术形成业务和数据闭环，确保了医疗数据安全以及个人隐私安全，可大幅提高理赔效率和准确性，解决“理赔难”的痛点。