同盾科技率先实现全站业务系统敏感数据“可用不可见”

于是/文

“技术团队每周例行两次周会，工程涉及到的27个子项目，前前后后共碰到30多个风险点，在大家的齐心协力下，平均4-5天就能顺利解决掉一个风险点”，同盾科技首席架构师兼技术副总裁、“去标识化改造项目”总负责人董启江回忆。

从2019年11月7日至2020年6月28日，经过八个月的努力，投入上千人日，国内专业智能分析与决策企业同盾科技日前宣布，完成公司数据流转架构整体升级，建立了完整的去标识化体系，从底层架构层面支撑业务数据合规，实现数据流转与存储的“可用不可见”。

“可用不可见”其核心有两层含义：数据的可用性和数据的不可见性。即在充分保护数据和隐私安全的前提下，实现大数据价值的转化和提炼。

事实上，同盾自创立以来，一直坚守数据安全作为公司的生命线，以数据安全为核心，从安全攻防、安全管理、人员内控、安全合规等四个维度投入大量资源打造数据安全体系。同盾制定了一条全员必须遵守、且有安全技术保障的数据安全红线，即云端生产数据禁止未授权下载至本地，从源头彻底控制数据泄露风险。近年来，公司相继获得了ISO 27001信息安全管理体系认证、ISO 27018云环境下个人信息隐私保护国际标准认证、多个国家信息安全等级保护三级认证、通过PCI-DSS全球支付卡行业权威数据安全标准符合性评测，实现数据安全和技术创新的平衡发展。

同盾科技创始人、董事长蒋韬认为，实现数据的开发利用、有序流通，进而实现“数据生产要素化”和商业机会落地，其核心前提正是让数据“可用不可见”，把数据安全和数据利用协调一致。

修炼内功

在大数据、人工智能时代，数据作为基础生产要素其重要性不言而喻。7月3日，我国首部《数据安全法（草案）》（以下简称《草案》）正式发布并公开征求意见，其第一条即开宗明义地明确，数据安全法是为了“保障数据安全，促进数据开发利用”，体现出规范数据安全为推动数字经济发展保驾护航的价值观。在今年中央正式将数据纳入生产要素的大背景下，从国家层面对数据安全进行立法，数据产业元年序幕正式拉开。

蒋韬表示，作为特殊的生产要素，数据的价值需要经过数据的流转、分享和使用来体现，而数据安全是产业健康发展的前提和基本保障。为此，同盾科技把“修炼内功”作为公司的首要目标，把数据安全合规建设作为同盾的重要任务之一。

具体来说，同盾将涉个人信息全部去标识化和脱敏，并将通过战略合作方式，让数据保存在政府认证的金融云平台上，数据的流通和使用受到政府监督，同时，公司研发了统一的去标识化和脱敏的核心技术。用一句话总结，即实现数据的“可用不可见”。

去标识化，实现数据可用不可见的项目操作难度却超乎想象。项目累计改造和迁移各存储介质中涉及的数据超过千亿条。挑战之一就来自于数据的转换：项目中有一个数据转换的环节，将老数据库迁移到新数据库，而在迁移的过程中要保证现有的访问不受到影响，同时现有的系统不能过多负载，再保证在前两者的基础上，数据不能出现任何错误。这无疑是让大象在钢丝起舞。

挑战之二来自于客户服务的正常运行。同盾要保证在转换过程中客户的正常使用，而疫情的爆发为整个工程的推进，增加了一个重要的不稳定因素。疫情最严重期间，在多个城市的技术人员依旧奋战如一，在种种不利因素之下，依然保持着高效率，一个又一个技术节点几乎均按时“交卷”。

“零感知”平滑切换

同盾“去标识化”项目实施改造的过程中，在方案设计、预研、开发、测试、实施的各个环节，对可能影响合作方调用稳定性的风险进行挖掘、提前防范。最终，通过三十多批次的分合作方、分业务、分批次的发布变更，同盾在实现数据“可用不可见”的同时，也实现了数千客户“零感知”平滑切换。

同盾科技首席架构师兼技术副总裁董启江介绍，同盾对所有涉敏感信息的数据全面进行了脱敏化和去标识化，将数据转换成符号，并且在存储上进行了分离处理。“经去标识化处理后，底层存储和系统页面显示的都是一串‘无意义’的符号，这是经过一系列复杂算法和规则的处理，不是传统方式的简单转换，靠外部撞库攻击是无法破解的。”

在系统层面，同盾对外所有云端系统如决策引擎、实时指标、反欺诈等几十个系统都做了去标识化处理。当数据进入到系统流转的时候，任何有机会碰触到数据的人员和系统，看到的皆是“无意义”的符号，让数据滥用和泄露的可能性降为零。去标识化工程“竣工”意味着同盾已对所有敏感数据都进行了全面而彻底的脱敏、去标识和不可逆化，为后续智能分析和价值挖掘，提供一个安全的环境。

同盾科技后续还将在数据安全领域持续加大投入，具有自主知识产权的智邦平台已初露头角，在多家金融机构开始试点。智邦平台将数据转化成信息、模型、认知或知识，再通过联邦的方式实现数据可用，从而保证了不同机构间数据“不流通”的前提下，实现“信用”和“信任”的流通，通过去中心化的方式从根本上解决数据安全和共享的问题。

蒋韬认为，随着国家数据安全法和个人隐私保护法等法律法规的出台，基于数据共享和流通的分析产品和服务，市场空间巨大、前景广阔，这个趋势不可逆。同时，合规建设会成为行业企业发展的根本前提。“虽然企业合规成本会越来越高，但这有利于行业企业的长期发展，好企业会发展壮大。”

大数据安全生态完善作为一个系统工程，技术创新、制度建设、法律法规的创新是缺一不可、相辅相成的，而“可用不可见”无疑是为这个系统工程打下了第一根桩基。

高要求倒逼技术进步

科技进步的历史事实上是一部人类自我解放的历史。工业革命打破了著名的“马尔萨斯陷阱”，解决了“人口增长、资源开发促进经济增长，人口过多又导致资源枯竭增长放缓”的循环，实现了人与财富的同步增长，并推动了人类社会结构和文化的深刻变革。这是科技进步带来的人类解放，科技一开始就带着向善的人文关怀基因。

然而，伴随着技术进步，人类对科技的情感也越来越复杂。人工智能阿尔法狗（AlphaGo）战胜人类围棋冠军，Facebook向英国咨询机构泄露用户数据干预美国总统选举，使人类担忧，法律、文化、社会治理等领域，如何匹配技术的快速发展。

数据技术的发展，初衷是“解放人力”而不是“束缚人力”，且数据保护与技术进步两者并不存在必然冲突，高要求反而能够倒逼更先进的技术出现。被称为“史上最严”的欧盟《通用数据保护条例》（GDPR）对隐私的保护近乎严苛，但同时也促使欧洲本土的AI公司创造出下一代保护隐私的技术，帮助产业与用户之间建立了信任，为行业创造了更大的机会。

对于商业，数据作为市场要素的价值恰恰在于：过去的商业行为获利的基础是信息不对称，未来更多的是让数据发挥价值，知识的叠加让企业的商业决策智能化、更高效。同盾科技做的正是帮助用户挖掘和洞察数据的价值，并且在企业的商业行为中沉淀下来。

编辑：雷洁

查看更多华夏时报文章，参与华夏时报微信互动（微信搜索「华夏时报」或「chinatimes」）