BAT用什么來保證我們的信息安全？

向治霖

信息泄露事件頻發1、徐玉玉被電信詐騙案2016年8月，山東高考錄取新生徐玉玉遭遇“發放助學金”的電信詐騙，被騙9900元后心臟驟停死亡。詐騙實施者被控詐騙罪、侵犯公民個人信息罪。詐騙實施環節包括一名黑客，侵犯并出售信息。團伙通過網絡購買學生信息和公民購房信息，精準詐騙。此次事件引起輿論對信息黑產的前所未有的關注。2、58同城全國簡歷遭泄露2017年3月底，媒體爆出58同城簡歷數據在淘寶有售，“要多少有多少，全國同步實時更新”，一條信息0.3元。此事是因58同城招聘網站對簡歷數據的防護存在漏洞，只需700元一套的爬蟲軟件，即可采集全國430多個城市，以及464個職業的簡歷數據。3、360水滴直播2017年12月，自媒體文章《一位92年女生致周鴻祎：別再盯著我們看了》，質疑360旗下的直播平臺水滴直播將商家的公共空間視頻公開播放，安裝了360智能攝像機的商家等地，其場景被傳到網絡平臺，而被侵犯的顧客行人對此并不知情。輿論升級后，水滴直播稱，12月20日起將永久停止運營。4、Facebook數據泄露事件2018年3月，Facebook公司被曝陷入“史上最大數據外泄事件”。Facebook生態的公司之一劍橋分析，分析利用在Facebook上獲得的5000萬用戶的個人資料數據，在美國總統選舉期間針對這些人進行定向宣傳。此事件讓公眾開始關注到在精準推銷、詐騙外，數據的更多應用價值和泄露后的危害。5、黑客入侵快遞公司后臺竊取信息兜售2018年5月，江蘇省淮安市警方成功偵破一起公安部督辦的黑客非法入侵快遞公司后臺竊取客戶信息1億條牟利案件，13名嫌疑人通過黑客手段登錄快遞公司后臺竊取信息數據，再通過QQ群、微信等兜售，買家多為從事“三無”產品銷售的網絡經銷公司。

現在是數據業務化（DT）的時代。對此嗅覺最靈敏的那撥人決定了它首先被運作在商業用途。

以通訊社交應用為例，若干張通訊錄清單足夠顯示一個人的社交范圍。在其中，用戶打開聊天頁面的頻率、聊天時間長短，互動次數，這些可量化的數據可以勾勒出用戶在社交中遠近親疏的人脈結構。即，信息數據化。

國內BAT三大巨頭的主營業務，分別對準搜索、交易、社交數據。這些數據反映出一個人的行為習慣、偏好、消費能力等信息。而高速迭代的硬件和分布式架構，提供了存儲、運算這些數據的支持。人在數據時代，很難有不為人知的信息了。

信息和海量數據的齊齊泄露不止關系隱私權，更關系到人身安全、財產安全。畢竟，網絡上向來有一個幽靈般的黑色產業鏈。

大數據時代需要守護，也需要規訓和正確指導。它長大后的樣子，也將深刻改變我們和我們所處的社會的面目。

數據，價值如新型石油

“上一次工業革命完成的是數據的高效收集整理，也就是信息化。那么下一次革命就是對信息潛在價值的發現和利用，也就是知識和經驗的利用?！鄙虾Ｄ晨萍脊靖呒壦惴▽＜?、算法經理周洋這樣說。

發現數據的價值，是IT時代發展中偶然的必然。信息安全專家、墨云科技創始人劉兵說，從90年代，互聯網互聯互通，事實上剛開始的互聯網公司很簡單，如通訊軟件即方便交流，電商即方便購物，后來數據流猛增造就了BAT等公司，數據一集中，就變得有價值了。

把價值變現，成了互聯網公司發掘數據價值的驅動力。

周洋說，AI算法有一個最基本的定理叫pac理論，即近似學習，它需要更多的數據總量，和更多維度的數據。越多，學習的信息量和信息價值就會越大。

“沒有任何一家互聯網公司擁有的數據是齊全的，包括BAT，也只有很少的、少量維度的數據，它們都有進一步挖掘和合作數據的需求，畢竟目前大數據才剛開始發展，還早呢?！敝苎笳f，數據天然具有可復制性，而在數據層面進行合作，在多種維度如社交、交易、旅游出行特點等數據齊聚下，就可以更準確地刻畫一個人的行為及其特點，“合作商會得到更準確的價值，那么這種價值大家就形成共享”。

到現在，數據的價值遠不止用于精確營銷。周洋說，數據里面有很多的潛在價值，可以改進公司的生產、產品或策略，達到更優。因為以前的數學建模都是考慮幾個因果關系的量，然后建模，但是出來的結果有偏差，因為忽略和假設了很多。而大數據分析的方式是，建模的時候完全從數據驅動的方式，不考慮數據的物理意義，那么數據就包括因果關系，關聯關系等，然后得出的結論再去解釋物理意義。

“比如，大數據技術可以分析，在學校打水的多少可以估計一個人的成績等。兩者不是因果關系，而是關聯關系，傳統的數學建模是不容易想到的?！?/p>

找關聯，不問因果。從前囿于可操作性而被忽略的海量數據的價值被發掘，最先感應并廣泛應用的便在商業上。新的價值被發掘不斷，規?？捎^，新型的商業服務依托于此，比你更了解你。因此，數據被喻作一種“新型石油”。

新型石油的攻占，不免早期的原始性“掠奪”。在這一利益驅動上，互聯網公司傾向獲取用戶盡可能多的信息和數據，在不斷推陳出新、和被用戶隨手點擊同意的協議上做“一攬子買賣”。其次，互聯網公司之間的數據合作，以及互聯網公司內部處理數據，或者與第三方數據公司分析數據，多次利用，至今仍是一塊“單面鏡” —用戶并不知情。

互聯網公司之間的數據合作，以及互聯網公司內部處理數據，或者與第三方數據公司分析數據，多次利用，至今仍是一塊“單面鏡”—用戶并不知情。

另一方面，互聯網頭部企業傾向建立“生態圈”，一種種新的應用場景不斷推出新的產品?！坝袝r并不是它真的想做這個生意，它的目的是為了掌握數據”，周洋說，掌握了數據的端口就掌握了一切的需求點，在數據層面上做什么都可以。從社交、搜索、交易數據到衣食住行、金融理財的端口，“你完全就是一個透明人，哪還有什么秘密可言呢”。

攻防，消散的烏云

安全防護，是企業被倒逼著上的。

信息泄露，大數據時代之前早已有之。

信息買賣流入平臺，曾經出現在交易平臺上。一般的信息1元一條，高凈值的100元乃至更高，流入各類人手中，流入買房買車、貸款的業務上。這是數據應用的“初變形”。

互聯網商業公司做起來的邏輯是，要流量，流量多了就要變現，再要有數據能變現，要大數據，沒了。“沒安全什么事”，劉兵說，直到后來的數據泄露，造成用戶因擔憂而離開，用戶少了，才必須安上安全防護，“所以說安全是被逼著上的”。這造成互聯網創業的一個“怪圈”，都是公司增長增長增長，成功了甚至上市了，再回頭搞安全。

重視流量和變現，同時一個應用場景的多家爭奪，趨利本性和商業模式使得安全缺位。劉兵笑道，他做了十幾年的安全行業，在2017年5月開始創業后，對此有了更深的感受和理解。從早到晚，時間被安排得沒有空檔，有一份錢就想用到運營上、拓展上。“公司必須這么做，落后就死了，這時候安全很難顧上”。

2010年5月，一個名叫烏云網的網站上線。其創始人方小頓是知名白帽黑客，從百度安全的核心層離職出來創業。烏云網是一個漏洞平臺，到2016年有了一萬多名注冊白帽黑客，他們通過攻擊互聯網企業的應用網站系統，得到漏洞后提交到烏云網上，涉事企業修復后，一般會以各種形式獎勵相關白帽黑客。若涉事企業沒有對漏洞進行修復處理，烏云網會公開漏洞。

烏云網的業務模式，從一開始就飽受爭議，有贊賞也有詰難。核心原因在于，烏云網白帽黑客的攻擊測試，是個人行為，沒有經過企業的授權。而且，未經修復的漏洞，其和其企業會被網上公示，這被看作侵犯了運營主體的合法權益。

烏云網，被看作是一群理想主義者的“嘗試”。方小頓曾說，互聯網企業的安全意識，關系到用戶個人信息權益的得失，“都在討論互聯網企業的合法權益，那么用戶的信息隱私、安全和知情權呢？”

烏云網停擺后，從事安全建設的白帽黑客有3個去向，有的不做了，有的成立了各類安全機構，還有一些技術牛人被挖到各大企業的安全應急中心（src）。

到現在，安全服務市場主要由甲方的安全部門和src，以及第三方的安全服務公司的格局構成。

src讓白帽黑客有了正式的渠道去做安全，過去行走在“紅線”的行業得到了規范。前烏云網合伙人、現眾安科技創始人楊蔚說，這條紅線，更多指的是，千萬不要受到金錢的誘惑，主動犯罪，被動犯罪，提供黑客工具等，而迷失自我，誤入歧途。

重視流量和變現，同時一個應用場景的多家爭奪，趨利本性和商業模式使得安全缺位。

但各大巨頭src的建立和壯大，帶來的負面影響也是顯而易見的。一方面，大多技術牛人被巨頭們挖走，巨頭們集合了安全運營和安全建設，形成閉環。另一方面，第三方安全市場的建立，既受到巨頭們高薪的誘惑，容易失去中堅力量，而且巨頭們的“自給自足”，也減少了相應的需求。

大視野下，互聯網巨頭們高薪養安全，而其他互聯網頭部企業和中微企業，仍然存在安全意識薄弱和動力不足。劉兵說，在互聯網行業中，互聯網金融、理財相關企業的業務直接掛鉤于錢，安全意識足夠。而到面向普通場景的應用，則動力不足，“真的為了安全去做檢測，和為了合規而做檢測，兩種檢測的程度、次數都是不一樣的”。

楊蔚甚至感嘆，信息安全也許是個偽命題?！盎ヂ摼W企業甚至傳統企業，數據的丟失往往影響個人，對企業的影響相對較小，很少有企業因為安全事件遭遇滅頂之災的，最多是一部分的財產損失，損失的風險相對可控?！?h3>轉型，甲方的痛點

進入DT時代，數據成為新的能源用于更多應用場景，數據價值廣泛挖掘的噴薄之勢欲出。這對所有使用數據的公司提出更高的安全要求，而非相反。

信息的攻防如木桶原理。楊蔚說，攻擊者往往只需要通過一個點就可以完成一系列的攻擊；但是從防御的角度考慮，而需要做的是面的問題?！艾F在擁有海量數據資產的產品、企業比較多，而這些企業需要承擔的安全責任也更加艱巨。背后潛伏的數據威脅是比較恐怖的，一旦被竊取，后果不堪設想。”

“當數據的價值被發現，大家就在拼命的獲取和匯聚數據，然后讓數據加工流通到相關的業務系統當中去，包括跨組織以及生態體系的數據共享和交易，形成了復雜的數據流動關系，這種數據流動本身就帶來了新的數據流動和使用風險，包括引起的數據業務過程的風險，并隨數據的流動貫穿企業的所有系統”，方興說，這可能是企業組織面對的最重要的數據風險。

方興曾經在阿里巴巴集團從事安全工作，現在在數據安全領域創業。他說，數據的流動風險需要一套技術的體系去控制和管理它。最明顯的例子是Facebook。Facebook公司把數據給生態去用，但在使用中，基于性格測試獲得的數據，流到了劍橋再用于競選的分析。這是典型的數據用途的用途變更風險。

而要做到規避數據流動的風險，則需為IT時代對數據流動安全性管理能力缺乏“補課”。方興說，比如現在的數據庫實際上只有表級權限，權限非常粗放，但從數據屬性來說，可能不同屬性的列不同的安全屬性，甚至不同的行也有不同的安全屬性如來源、時效等，比如一個跨國企業匯集了不同國家的相同結構的數據到一個數據表里，怎么能區分出這些來自不同國家的數據并使用不同國家的數據管理規定來管理數據，因為每個國家對數據管理的要求是不一樣的，如美國分部負責數據分析員工碰觸到中國用戶的數據，可能就會算一次數據的出境。

大數據行業下，數據流向更多應用場景，價值挖掘的噴薄之勢欲出。這對互聯網公司運營者提出更高的安全要求，而非相反。

同時大量數據的匯集、流動和使用，但是我們在數據流動使用的應用層、數據匯集和分析的大數據平臺的安全基本上是一片空白，這是用戶最擔憂的信息泄露的隱患所在?！昂芏嗟钠髽I上BI（數據分析和挖掘）都是用外包的方式在做，因為BI的人員也很奇缺。那這些外包到底拿什么數據，它的操作合不合規，現在基本上是裸奔，就沒有任何的防范的或者是可審計的東西。生態、合作伙伴、內部應用的業務人員如何獲取和使用數據，也缺乏監控和審計的手段。”方興說。

在方興看來，以前在IT時代很多數據的很多風險和數據主體權利保護可能只是企業的意愿問題，但是發展到DT時代，數據復雜的流動，導致保護數據安全，控制數據流動風險、守護個人隱私則變成了一個企業的能力問題。

方興在阿里巴巴的幾年里，一直從事安全，“與黑產作斗爭”。他發現，其實大量的數據風險都來自于企業內部。比如說，企業的離職員工，可能會帶走大量的數據。最基層的人員如生態里的電商客服，流動性高工資低，但天天在接觸這些數據，他們很容易被黑灰產收買。數據流動起來后，數據成為了生產資源，對數據資源的訪問權限分配是按生產需要來分配而非基于可信來分配的?！昂芏嗟臅r候，數據安全問題不是一個攻防對抗的問題，對數據安全，它更多包含了也包含了數據自身的風險管理和治理的問題。”而隨著歐洲GDPR法案的頒布，中國也在對數據安全進行標準規范的進程中，數據的流動性風險管理還涉及到企業運營的合規問題。這些，是很多掌握了大量個人數據的互聯網公司的安全業務痛點。

未來希望完成數據業務化轉型的企業需要具備這樣一種能力：識別敏感數據的來源去向授權用途，敏感數據流動的血緣的關系，對數據分類分級，并且能進行細粒度的權限配置和管理對數據的變更進行風險的控制。能夠發現數據流動當中的安全的策略有沒有不一致的地方，追蹤數據在流動使用當中，用戶授權與數據用途是否一致。

DT時代的來臨，讓每個企業獲得了新的發展能源，而與數據流動的風險與用戶的主體權利和隱私保護的痛點益發突出，“將來不具備數據流動風險管理能力保證數據安全的公司，很難實現數據的業務化轉型，通過數據的力量獲得的競爭優勢做強做大的”，方興說。