首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >报告发布|十种前沿数据安全技术,聚焦企业合规痛点

报告发布|十种前沿数据安全技术,聚焦企业合规痛点

作者头像
绿盟科技研究通讯
发布于 2021-01-12 03:01:51
发布于 2021-01-12 03:01:51
1.8K0
举报

2020年7月和10月,我国陆续发布两部重磅级的法规草案——《数据安全法(草案)》和《个人信息保护法(草案)》。欧盟于2018 年实施《通用数据保护条例》(GDPR),美国于2020 年实施《加州消费者隐私法案》(CCPA),日本于2020年6月通过修订版《个人信息保护法》。随着全球数据安全法规监管的不断强化,合规性问题不得不纳入企业数据安全建设考虑范围。然而,法规对企业更高的安全要求,这给传统的数据安全防护技术与措施带来了前所未有的挑战。

在此背景下,绿盟科技近日发布《拥抱合规、超越合规:数据安全前沿技术研究报告》。在报告中,选取业界最为前沿与创新的十种数据安全技术,对其技术原理与应用进行全面的梳理与分析,包括处于学术前沿的差分隐私、同态加密、数据匿名;行业内炙手可热的安全多方计算、联邦学习等。这些新兴技术,为企业的数据安全建设带来新的思路与方案——助力其在满足业务需求的同时解决合规的痛点与难点。

一、简介

数据安全建设离不开具体的业务场景,数据安全技术需要从应用场景出发。根据企业的业务系统与应用、以及数据分布范围的不同,我们将数据安全建设分为三类场景:

  1. 用户隐私数据安全合规
  2. 企业内部数据安全治理;
  3. 企业间数据共享与计算。

如图1所示,上述三大类场景根据具体业务与功能的不同,可进一步细分一些子场景。各个子场景不仅有自身内部安全需求,也有相应的合规性要求,具体可对应到欧盟GDPR条款,以及我国已实施的《网络安全法》的数据安全相关条款。后续三个章节将从三类场景以及子场景的应用需求与合规挑战出发,研究与分析如何基于前沿技术,实现超越合规,解决安全痛点。

图1 超越合规:数据安全场景-前沿技术图谱

二、前沿技术+用户隐私数据安全合规

在该类场景中,企业需解决用户隐私数据的采集、以及数据权利请求响应的合规性问题,可引入下述创新技术:

  • 差分隐私

技术原理:差分隐私是一种基于噪声机制的隐私保护技术。在本地差分隐私模式下,每一个用户终端都会运行一个差分隐私算法,每一个终端采集的数据都会加入噪声,然后将其上传给服务器;服务器虽然无法获得某一个用户的精确数据,但通过聚合与转换可以挖掘出用户群体的行为趋势。

合规遵循:GDPR的32条和《网络安全法》的42条。

行业应用(代表公司):Google、Apple,其中Apple通过差分隐私可挖掘到iPhone用户使用表情的频率分布,但无法获得具体某一个用户的确切隐私。

图2 iPhone差分隐私技术应用[1]

  • 知识图谱

技术原理:知识图谱最早用于搜索引擎和社交网络,它简单可以看成是一种基于图的数据结构,由节点和边组成,每个节点是一个实体,每条边是两条实体之间的关系。由于个人数据治理关键是个人数据实体识别,以及相关属性与处理流程的关联,引入知识图谱技术成为必然。通过知识图谱技术,可帮助企业了解所在敏感数据的位置,是如何被使用的,以及它的合同、法律和监管义务,达到个人信息治理与可视化作用。

合规遵循:可满足GDPR的12-22条和《网络安全法》的43条。

行业应用(代表公司):RSA2020创新沙盒冠军Securit.ai公司,基于知识图谱技术实现了个人数据图谱应用。

图3 Securiti.ai的个人数据图谱应用[2]

  • 流程自动化

技术原理:用户数据权利请求响应是欧美等国外企业重要的隐私合规检查项。流程自动化技术可帮助企业的数据安全运营团队从繁琐重复的手工处理“请求-响应”转为自动化处理,一方面可降低人工的运营成本,另一方面可减少由于响应时间延误(GDPR规定一般为一个月)带来的违规风险。

合规遵循:GDPR的12-22条和《网络安全法》的43条。

行业应用(代表公司):Securit.ai、BigID和OneTrust等。

三、前沿技术+企业内部数据安全治理

在该类场景中,企业需解决内部敏感数据治理的安全与合规问题,可引入下述技术解决安全与合规问题,可引入下述创新技术:

  • 智能敏感数据识别

技术原理:传统基于关键词、正则匹配的敏感数据识别方法不够智能,易出现漏检(尤其是在文档等数据)。引入相似度计算、聚类、监督学习等智能方法,提升识别能力与检测效果。

合规遵循:GDPR的30条和《网络安全法》的21条。

行业应用(代表公司):Securit.ai、BigID等。

  • 数据脱敏风险评估

技术原理:数据脱敏在企业进行广泛应用,然而不同脱敏方法的安全效果不同。通过对脱敏数据集的身份标识度和隐私泄露风险进行定量地评估与刻画,实现风险管理和控制。

合规遵循:GDPR的32条和《网络安全法》的42条。

行业应用(代表公司):PrivacyAnalytics、绿盟科技等。

图4 绿盟科技的数据脱敏风险评估应用

  • 用户实体行为分析

技术原理:通过对用户实体持续的画像与建模,并建立正常用户行为基线,从海量收集的安全数据中发现数据泄露等异常行为。

合规遵循:GDPR的32条和《网络安全法》的42条。

行业应用(代表公司):Splunk、绿盟科技等。

图5 绿盟科技的UEBA数据安全防护方案

四、前沿技术+企业间数据共享与计算

在该类场景中,企业需解决企业之间的数据安全共享与计算的安全与合规问题,可引入下述创新技术:

  • 数据匿名

技术原理:对个人信息进行泛化和屏蔽等处理,使得对应的个人信息主体无法被识别,以达到“匿名”的效果,包括K-匿名、L-多样性和T-近似性等技术。

合规遵循:GDPR的前言26段和19条,以及《网络安全法》的42条。

行业应用(代表公司):Immuta、Privitar、Anonos、绿盟科技等。

图6绿盟科技的自适应匿名化算法应用

  • 同态加密

技术原理:明文数据经过同态加密后得到的密文数据,在不解密情况下仍然可执行密文数据的处理与操作。敏感数据在同态加密与计算环节处于加密状态,实现了数据的计算,同时保障了安全性。

合规遵循:GDPR的前言5条和32条,以及《网络安全法》的42条。

行业应用(代表公司):Duality等。

图7 Duality的同态加密平台在金融数据共享应用(图引自[3])

  • 安全多方计算

技术原理:在参与方互不信任的情况下进行协同计算,在保证计算结果正确性同时不泄露任何一方输入的原始数据和状态数据。

合规遵循:GDPR的前言5条和32条,以及《网络安全法》的42条。

行业应用(代表公司):Google、蚂蚁金服等。

  • 联邦学习

技术原理:多个参与方(如企业、用户移动设备)在不交换原始数据情况下,即在隐私保护前提下,实现联合机器学习的建模、训练和模型部署。

合规遵循:GDPR的前言5条和32条,以及《网络安全法》的42条。

行业应用(代表公司):Google、Apple和微众银行等。

五、小结

随着全球数据隐私法规的密集发布,包括欧盟GDPR,美国CCPA,国内的《网络安全法》,以及今年发布的《数据安全法(草案)》、《个人信息保护法(草案)》,合规性成为了企业数据安全建设与治理的重要驱动力。在合规视角下,数据安全的内涵在合规与业务安全双重需求驱动下不断外延和扩展,数据安全的覆盖的应用场景将变得更加多样化,给传统的数据安全技术与方案带来了巨大的挑战。如何实现破局?本文简要介绍的十种新兴的数据安全技术,可为破局新场景新挑战带来一些思路与启发——助力企业在满足安全合规同时创造更大的数据价值。

参考文献

[1]Differential Privacy, https://www.apple.com/privacy/docs/Differential_Privacy_Overview.

[2] Securiti.ai homepage. https://Securiti.ai/.

[3] Duality Homepage. https://dualitytech.com/.

关于天枢实验室

天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。

内容编辑:天枢实验室 陈磊 责任编辑:王星凯

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技研究通讯 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
透过隐私合规,看数据安全技术发展趋势
近年来,全球掀起个人信息与隐私的立法热潮。欧盟2018实施GDPR,美国2020年实施CCPA,两部法规均对企业处理用户的数据提出更严、更具体的约束和要求;最近十月份,我国对外公布《个人信息保护法(草案)》,它全面和具体地规定了企业保护个人信息安全的各项义务,同时指出违反法规最高可面临5000万或一年度营业额5%的巨额罚款。
绿盟科技研究通讯
2020/11/30
2.1K0
《个人信息保护法》之技术赋能企业合规建设解读
2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式表决通过《中华人民共和国个人信息保护法》(下面简称《个人信息保护法》)。自2020年10月以来,《个人信息保护法》历经三次审议与修订,并即将于11月1日正式实施。其中,终稿与二审稿相比,有一些删改和完善,具体可参考文章《附下载:《个人信息保护法》终稿与草案的二审稿修订对比》。
绿盟科技研究通讯
2021/09/06
9950
RSA 创新沙盒盘点| Securiti.ai——解决隐私合规痛点的一站式自动化方案
2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。在RSAC官方宣布入选今年创新沙盒十强初创公司中,前面已经为大家介绍过了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY、BluBracket、Vulcan Cyber八家厂商,今天为大家介绍的是:Securiti.ai。
绿盟科技研究通讯
2020/02/25
1.3K0
RSA 创新沙盒盘点| Securiti.ai——解决隐私合规痛点的一站式自动化方案
《网络安全2022:守望高质量》报告之数据安全热点事件与趋势解读
近日,绿盟科技发布《网络安全2022:守望高质量》报告,报告集合了绿盟科技在区域威胁、漏洞态势、恶意软件、数据安全、物联网安全、工业互联网安全和5G安全等方向的网络安全观察。其中,数据安全是国内外讨论的热点话题,2021年有太多数据安全事件值得回顾和盘点,如大规模泄露与国内源代码泄露、《数据安全法》和《个人信息保护法》双双实施、国内数据安全执法“重拳出击”、“隐私增强计算”技术发展迅速。本文基于报告数据安全观察相关章节,从国内外数据泄露、数据安全监管及数据安全技术三个维度进行解读。
绿盟科技研究通讯
2022/04/14
1.5K0
《网络安全2022:守望高质量》报告之数据安全热点事件与趋势解读
数据安全系列文章(一):聚焦法律法规,洞察数据安全内涵
根据联合国贸易发展组织(UNCTAD)统计 ,全球77%的国家(共194个国家)完成了数据数据安全和隐私立法或者已经提出法律草案。其中包括欧盟、美国、中国、俄罗斯和印度和澳大利亚、加拿大和日本等绝大数国家。随着数字化转型的不断推进与深入,数据安全与隐私问题越来越严峻,现代化的数据安全与隐私保护立法已成为全球趋势。
绿盟科技研究通讯
2024/04/24
5600
数据安全系列文章(一):聚焦法律法规,洞察数据安全内涵
RSA 创新沙盒盘点| Satori —合规、快速、高效的隐私保护解决方案
Satori Cyber[1]由创始人Eldad Chai和Yoav Cohen于2019年成立,同年获得525万美元的种子轮融资。其中联合创始人兼CEO Eldad Chai曾是Imperva[2]的产品管理高级副总裁和高级执行团队成员;Yoav Cohen是Satori Cyber的联合创始人兼CTO,曾是Imperva的产品开发高级副总裁。公司致力于通过数据分类、审计、策略等技术与手段满足数据安全与隐私合规需求。
绿盟科技研究通讯
2021/06/10
1.2K0
RSA 创新沙盒盘点| Satori —合规、快速、高效的隐私保护解决方案
数据匿名化:隐私合规下,企业打开数据主动权的正确方式?
随着欧盟GDPR、美国CCPA,以及我国《网络安全法》等法规的实施与监管,隐私合规与数据安全治理成为企业当前亟需解决的一大安全任务。具体来说,企业通过技术与管理措施,如何在不影响或少影响原有业务流程的同时去满足合规性?其中,数据匿名化作为一种重要的技术手段,在满足数据统计分析的同时可有效地降低个体隐私泄露风险。且有趣的是,近年来研究发现它具有天然的合规遵循优势。GDPR等法规对赋予用户更多的隐私数据控制权,反过来削减企业的数据控制权与主动权。那么,匿名化技术是否可以帮助企业重新打开数据主动权和控制权这个局面?带着这个疑问,本文将从合规背景、技术算法以及应用与产品三个方面对该技术进行介绍。
绿盟科技研究通讯
2020/10/27
3.2K0
数据匿名化:隐私合规下,企业打开数据主动权的正确方式?
腾讯云发布数据安全解决方案数盾,解决三大新痛点
欧盟的《一般数据保护条例》(即 “GDPR”)于2018年5月25日正式生效。有报道称:这一保护条例被称为“史上最严数据保护条例”。 迅猛发展的云计算、AI 技术在推动企业发展的同时,集中化的数据暴露在了恶意攻击、黑客渗透等风险之中,近几年发生多起全球知名公司数据泄露事件,这背后也映射出新时代背景下数据安全的全新发展态势。 5月24日,腾讯云数据安全专家研究员彭思翔博士在2018腾讯“云+未来”峰会安全分论坛上指出,合规要求、隐私威胁、量子计算将是当下数据安全面临的三大挑战,亟需全新的思维和格局来应对这场变
腾讯云安全
2018/06/07
3K0
从技术角度解读等保2.0对数据安全的要求
我国2017年实施的《网络安全法》明确指出“国家实行网络安全等级保护制度”(第21条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”(第31条)。在最近发布的《数据安全法(草案)》二审稿中,与亮点之一相比一审稿增加了等保制度的衔接。等级保护2.0标准体系涉及众多标准,同时对数据安全、个人信息保护有若干的规定要求。本文中以等保2.0三个标准,即《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T25070-2019),摘录对数据安全、个人信息保护相关要求,同时对其进行技术层面的解读,以供参考。
绿盟科技研究通讯
2021/05/11
2.2K0
数据安全技术和市场之我见
数据安全,从本质上来说,几乎是所有安全产品的终极防护目标。从广义来讲,大部分攻击行为,都和数据有关。例如“勒索病毒”,它最初是利用系统漏洞攻入,找到硬盘上的重要数据并加密,最终目是收取“解密费”。从这个角度看,不论是网络安全产品,还是数据安全产品,最终目标都是为了保护用户的数据安全。 数据安全是如此重要,然而却又如此复杂。因为技术的复杂性,以及和业务结合的复杂性,过去十几年一直没有占据安全市场的主要比例。这种情况现在发生了一些改变,或者说迎来了契机——从国内外近年来数据安全事件频发的形势、数据作为生产要素的
FB客服
2023/03/30
3420
数据安全技术和市场之我见
Securiti.ai 为何成为2020 RSAC创新沙盒冠军得主?
总体而言,今年Securiti.ai夺冠是情理之中:于大势而言,数据安全、个人信息、敏感数据的识别、防护是国内外最重要的合规性要求,市场空间可期;于技术而言,通过技术手段对个人数据识别,使用People Data Graph构建面向人的知识图谱,为后续的分析提供模型支撑,通过聊天机器人实现智能化的交互;于方案而言,针对客户的数据安全难以落地的痛点,提供了整套解决方案,构建个人数据链接,实现消费者数据权利请求-响应的流程自动化处理,生成合规性审查报告,分析第三方风险。前年GDPR的发布引发了数据安全的关注,如果说BigID那次夺冠很大程度上是因为GDPR的颁布“蹭热点”,这两年已经有很多起违反GDPR罚款的案例,可以说这次Securiti.ai发布的产品和解决方案更加接地气,也更加全面,能够满足企业的数据安全合规性要求,本次夺冠更让人心服口服。
绿盟科技研究通讯
2020/02/26
6440
浙江大学求是讲席教授任奎:隐私计算的前沿进展
作者 | 维克多 编辑 | 青暮 2021年12月17日,浙江大学求是讲席教授、ACM Fellow、IEEE Fellow、浙江大学网络空间安全学院院长、计算机科学与技术学院副院长任奎在CNCC 2021 “迎接数字化转型的安全挑战”论坛中做了《隐私计算:向实用化迈进》的报告。 在报告中,任奎围绕数据脱敏、差分隐私、安全多方计算三个方向,讨论了隐私计算的前沿进展,提出不同技术可以在数据全生命周期的不同阶段发挥作用。 以下是演讲全文,AI科技评论做了不改变原意的删改和整理: 今天分享浙江大学网络安全学院在隐
AI科技评论
2022/03/03
1.3K0
数据安全合规这门必修课,企业不再缺席
数据作为新型生产要素,占据着国家战略资源地位。然而,层出不穷的数据泄露事件也给数字化转型中的企业带来巨大风险和巨额损失的可能性。
科技云报道
2023/09/28
2940
数据安全合规这门必修课,企业不再缺席
RSA创新沙盒盘点 |Cape Privacy——基于加密机器学习的多方数据协作与隐私保护方案
RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
绿盟科技研究通讯
2021/06/10
9590
RSA创新沙盒盘点 |Cape Privacy——基于加密机器学习的多方数据协作与隐私保护方案
新规施行,企业如何跟上车联网数据安全合规时代?
由五部门发布的《汽车数据安全管理若干规定(试行)》今天起正式施行。这是继数据安全法出台之后,汽车行业数据安全规定的率先推动施行,其重要程度可见一斑。
腾讯安全
2021/10/09
7430
新规施行,企业如何跟上车联网数据安全合规时代?
智能网联汽车行业数据合规解决方案(上)
随着车联网及人工智能技术的日益成熟及商业化,智能网联汽车(IntelligentConnectedVehicle,简称“ICV”)应运而生。智能网联汽车兼具智能与联网的特性,通过V2X(VehicletoEverything)通信技术实现了车辆与车辆、人、道路交通设施、云之间的成熟交互。智能网联汽车不仅能进行数据交互和信息共享,优化驾驶路径并降低交通事故发生的风险,还能实现通过传感设备进行自动驾驶等功能,提供个性化的用户体验,引发对未来驾驶方式的展望。
用户10816666
2023/11/17
7040
数据泄露事件频发,“数据安全”创业机会何在?
随着线上化、数字化、智能化的发展,万物互联时代的逐步到来,数据体量正在快速增长。而无论是个人隐私数据,还是企业数据,都承载着巨大的价值,数据泄露事件已成为安全领域最大的威胁之一。安全产品的价值和其保护资产的价值永远成正比关系。面对数据安全这一蓝海市场,未来伴随着法律法规的健全,我们相信一定会诞生巨大的创新和创业机会。
晨山资本
2020/07/02
8400
数据泄露事件频发,“数据安全”创业机会何在?
腾讯安全发布《数据安全解决方案白皮书》
大数据已被视为国家基础性战略资源,各行各业的大数据应用正迅猛发展,但随之而来的数据安全问题也日益加剧,有时甚至限制了大数据应用的发展。基于此,无论是国家机关还是企事业单位,都在加紧数据安全体系的建设,甚至项目立项时就需要完成数据安全的设计。
腾讯安全
2020/06/18
8.3K3
腾讯安全发布《数据安全解决方案白皮书》
数据脱敏的风险量化评估方案
当前社会信息化高速发展,网络信息共享加速互通,数据呈现出规模大、流传快、类型多以及价值密度低的特点。人们可以很容易地对各类数据实现采集、发布、存储与分析,然而一旦带有敏感信息的数据被攻击者获取将会造成个人隐私的严重泄漏;所以在发布数据前,必须通过适当的隐私保护手段来隐藏敏感信息,从而达到能够发布和分析同时又保障隐私信息安全性的目的。
绿盟科技研究通讯
2021/09/06
2.7K0
RSAC 2020创新沙盒冠军正式揭晓!SECURITI.ai解决隐私合规问题
美国当地时间2月24日(北京时间2月25日),备受瞩目的全球盛会RSA 2020在旧金山正式开幕。在当天下午,这个被称为“网络安全风向标”的创新沙盒环节正式揭晓此次决赛冠军——SECURITI.ai,凭借在隐私保护与合规领域的技术创新和突破从十家初创企业中脱颖而出,拔得头筹,荣膺“RSAC 2020最具创新初创企业”。
FB客服
2020/02/27
7370
RSAC 2020创新沙盒冠军正式揭晓!SECURITI.ai解决隐私合规问题
推荐阅读
相关推荐
透过隐私合规,看数据安全技术发展趋势
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档