嘶吼专访 | 观安信息胡绍勇:20年沉淀,从技术流走向数据安全领导者
2022-5-30 11:45:0 Author: www.4hou.com(查看原文) 阅读量:15 收藏

数据现在已成为新兴的国家生产要素,也是国家基础性和战略性资源,数据安全需求也越发凸显。观安信息作为国内专注于大数据安全技术和泛安全领域发展的信息安全企业,其规划发展顺应国家的发展趋势,主动响应配合国家关于“东数西算”工程的启动工作。

近日,观安信息联合创始人兼CTO胡绍勇接受了嘶吼人物专访,就个人技术发展路线、大数据安全防护建设、人工智能数据安全风险挑战等话题展开深度探讨。

3bd55e38526eca4380032be07ecf95c.jpg

技术派的自我修养

当碰到一些技术难点,胡绍勇和大多数的技术派一样,总有钻研或者极客的一种想法和精神,有时候还是忍不住想自己上去搞一搞。

而他本人的技术成长路线,从2003年进入安全行业开始,与国内网络安全的走势一样,也分为几个阶段。

在2007年之前是传统的网络安全,比如信息安全管理体系标准(ISO27001),再者是攻防渗透,偏网络和主机层面,比如主机安全评估和加固、漏洞扫描等。在2007年底,他参与撰写了人民银行的《互联网系统应用系统建设安全规范》。

之后差不多到2014年左右,可以说基本上是应用安全的天下。他也开始改变重点,不管头部保险类还是运营商的客户,包括接手支付宝的安全项目,提出应用安全评估的方法论。与IBM合作时,与当时的顶级专家、国内的顶尖黑客,一起设计了一个整套应用安全评估的方案。

随着移动安全崭露头角,数据安全也逐步受到企业的关注。胡绍勇作为项目负责人,开始着手数据安全的评估咨询,不仅仅从数据的全生命周期进行调研和评估,而且结合用户的主要业务系统,做了从营业厅操作员、业务办理人员、运营维护人员等多角色日常业务流程结合,从中分析数据泄露或篡改的风险。

经过几年和客户接触包括对国内国际安全市场的了解,比如日本、台湾都已经出台了针对数据安全方面的法案或在安全法案中加入针对数据安全责任相关的条款。胡绍勇认为,数据安全未来一定会是一个大市场。

2015年,安全新技术、新方向层出不穷,进入快速迭代发展期。大数据、人工智能在安全行业开始逐步深入应用。同年,他联合其他创始人在上海创立了观安信息。

在公司成立之初,为了区别传统的安全产品,比如防火墙、入侵检测等,公司将大数据安全分析和数据安全作为公司的两个核心业务方向。

之后他带领技术团队升级打怪,先后成立了“无相”、“尽藏”、“自现”、“无限”实验室,分别定位于安全攻防及数据分析、大数据收集与储存应用、大数据分析与展示应用、安全软件及技术研究。

胡绍勇强调,未来几年是数据安全的拓展期,而数据安全和网络安全会是同等重要的两个拼图。

安全防护建设核心要素

入行将近20年,胡绍勇积极参与行业规范撰写。在整个信息安全体系标准制定的思路上,他表示,不同领域都有不同的侧重建设。

国内标准分为技术、管理、运营三大方面,分别有类似的一些标准。

在技术层面,一是偏传统产品与合规类的一些技术,比如WAF、态势感知;二是5G安全、工业互联网安全、安全仿真、主动防御、数据安全、零信任等等新兴技术领域。

从行业来看,先满足合规,比如网络安全法、数据安全法、等级保护。之后逐渐有一些满足行业要求的新技术新应用的落地标准,比如工信部开始推重要数据的分级分类清单。

至于管理和运营层面,目前金融、运营商等大行业主要侧重在一是新应用、合规等数据安全领域,二是安全运营体系的落地,包括安全事件、资产安全管理、漏洞安全管理等。

在参考Gartner提出的自适应安全以及国外一些安全体系之后,胡绍勇和团队提出了一个“弹性安全防护体系”,强调六个能力:感知力、应变力、防御力、恢复力、协同力、学习力。

从分层模型的交付来看,自底向上包含接入层安全、网络层安全、平台层安全、应用层安全、数据层安全。

从体系建设的角度来看,完善的弹性安全体系结构涉及管理体系、技术体系、运营体系三大层面。

首先要侧重于从管理维度,对网络安全实际工作进行战略指导,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、计划管理、监督实施等内容。

在技术体系上,结合IPDRR的安全理念,构建包含识别、检测、保护、响应、恢复几个维度的安全技术框架。在层层设防的同时,变被动为主动增加攻击难度和攻击成本,最大程度减缓攻击力度和强度,对于攻击的全链路、全流程进行实时监控、实时防御和动态防御相结合,并且能够做到溯源和取证。

现在各个甲方企业也认识到,制定好了制度,有了产品部署和技术支持,就需要不断地运营下去,才能解决检测时发现的预警或事件,形成安全体系的整个闭环结构。

人工智能数据安全风险挑战

由于前几年上海一直在打造人工智能高地,为此胡绍勇也专门组建了做人工智能算法分析的观安技术团队。

在胡绍勇看来,人工智能的数据安全挑战既有传统数据安全问题的普遍共性,更具有人工智能时代的独特烙印,影响领域覆盖用户隐私、公民权益、商业秘密、知识产权、国家安全等各个方面。

基于数据生命周期的视域,人工智能数据安全发展在数据采集、数据处理、数据流动和数据使用阶段,会涉及到过度采集、数据污染、用户隐私、数据偏差与歧视、数据跨境、对抗样本攻击等特定问题。

面对诸多人工智能数据安全挑战,胡绍勇强调,要在整个人工智能动态发展中实现对数据安全的可知可控,确保人工智能数据在采集、标注、处理、存储、流动、共享和场景应用的全生命周期安全,增强人工智能数据安全供给链的连续性和可用性。

在治理路径上,胡绍勇建议,可以分成四步:

首先,要加快完善人工智能数据安全治理的顶层设计和规划,包括要从国家层面、行业机构或协会层面,发布相应的法律法规或者行业标准。

第二,重点聚焦人工智能数据安全的标准体系建设,人工智能数据安全标准因其政策位阶更偏落地,在制定程序上更加便捷、探索试错成本更低。具体而言,标准体系应当包括标准计划、通用标准、行业标准三个层次。

第三,不断提高人工智能企业自身的数据安全能力,企业自身首先要有自己的组织体系,包括管理体系建设、制度规范、技术能力等建设提升整体总综合能力。

第四,打造更全面的人工智能安全能力生态圈,其中包括产品服务、技术研发、测评认证、合规咨询等能力。目前有很多专门做数据采集、数据标签、算法分析服务等企业,实际上已经形成了整个行业供应链。

在技术研发上,重点研究方向包括多方安全计算、联邦学习、区块链、同态加密、零知识证明、基于隐私的机器学习、基于小数据的人工智能算法、数据偏见检测等。

经过几年发展,在胡绍勇和观安核心团队的努力下,观安信息飞速发展。迄今,观安信息已在上海、北京、深圳设立3个“一级总部”,同时受到资本市场的竞相青睐。未来,观安信息也会继续在网络安全产业深潜、扎根,并不断拓展发展脉络,不断深入车联网、工业互联网、人工智能等更新的领域。胡绍勇和观安信息,都将在更多、更广的世界中,前进,前行。

人物简介

胡绍勇,业内资深安全专家、从业近20年,在信息安全体系标准、技术解决方案、产品技术架构各个领域有丰富的实践经验。中国信通院外部网络信息安全专家,中国网络安全产业联盟专家库入库专家,ISG网络安全技能竞赛组委会专家组成员。人民银行、中国移动、国家电网多个安全标准的起草参与者。阿里巴巴、支付宝早期安全体系建设外部顾问。曾获得2017 十佳优秀稀锁(cso),中国网络安全与信息产业“金智奖”2017年度人物杰出成就奖、2019 年吴文俊人工智能科技进步奖、2020 年上海市科学技术奖等,擅长领域包括数据安全、大数据分析、安全标准起草制定等。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/gMBl
如有侵权请联系:admin#unsafe.sh