大数据时代,数据成为推动经济社会创新发展的关键生产要素,催生出各类全新的产业形态和商业模式,全面激活了人类的创造力和生产力,数据的应用逐步成为现代企业的核心竞争力。在数据流动的过程中存在诸多风险,特别是对于非结构化数据而言,其安全防护面临着前所未有的挑战。数据泄露、篡改、越权访问等问题不断威胁着数据的完整性、机密性及可用性。在人工智能技术迅猛发展的背景下,如何有效保障非结构化数据安全?AI技术又能在其中发挥怎样的作用?
本期牛人访谈,安全牛邀请到保旺达解决方案总经理卢陵鹄,深入探讨非结构化数据安全防护的现状、挑战及AI技术在其中的应用前景,揭示数据安全领域的创新实践与未来发展方向。
卢陵鹄 保旺达解决方案总经理
高级工程师,拥有超过二十年网络安全行业工作经验、12年的安全产品设计和解决方案售前工作经验、10年安全咨询服务销售拓展与交付实施经验,熟知从技术研发到策略制定的各个环节,对数据安全有着独到见解和长期的实践。曾在国内顶尖科技企业担任首席安全官,负责构建并优化企业的数据安全体系。在保旺达任职期间带队参与了数十个国家级重点网络安全项目的设计与评审,已为数十家国内大型知名企业提供智能化数据安全整体解决方案。
安全牛
现在非结构化数据的使用越来越广泛,但诸如AI投毒等问题也让人担忧。您认为非结构化数据的安全防护主要面临哪些挑战?AI技术在其中起什么作用?
卢陵鹄
非结构化数据并非一个标准的技术性概念。我们谈数据安全,核心是数据价值保护,而数据价值很多时候需通过结构化和语义模型体现。目前的主要问题在于大量数据缺乏标准化结构,导致我们难以准确评估其价值,进而造成数据安全保护不到位和价值流失。
具体来说,非结构化数据面临的挑战主要包括以下几点:一是缺乏统一结构和语义模型;二是数据形式复杂多样,图像、音频等需转化为文字并重构结构后,才能评估价值和进行防护;三是数据价值是动态变化的,比如,运营商手机营销方案在发布前后价值差异巨大;四是数据产生动态且快速,来源渠道众多,海量数据不断变化,识别其价值困难;五是缺乏统一的数据价值评估标准。
保旺达从2015年开始从事非结构化数据相关工作。当时我们的堡垒机产品应用在运营商业务场景上,数据从后台提取出来后常以非结构化文件形式流转,容易被泄露。为此我们开发了文档安全中心产品。此后多年,我们一直在帮助用户解决非结构化数据的内容涉密识别、分类分级、脱敏加密等问题。
AI技术的出现给我们带来了很多价值:其一,AI能进行语义分析,帮助我们更好地理解数据价值;其二,AI擅长机器视觉和音频分析,可帮助识别图片、视频、音频等内容,判断数据类型,以及是否合规;其三,在数据内部分发流转过程中,结合AI能更准确地判断业务场景,提供有效的管控策略;其四,AI可用于分析数据安全管控流程,实现流程的自动化和优化。
安全牛
AI非结构化数据防护主要有哪些应用场景?
卢陵鹄
我们的业务除了电信运营外,还涉及保密业务、数字政府项目,以及其他国央企项目。在大型集团内部信息化系统构建中,API接口间数据结构复杂多变,我们需要对数字资产进行发现、识别、分析、重建数据流,判定异常风险行为并进行阻断。在这个过程中,同样面临数据处理复杂、保障业务流畅性、动态调整策略和实现自动化处置等问题,我们也在尝试通过AI技术解决。
比如在运营商营业厅场景中,借助AI,一方面可分析终端界面数据,判断是否访问敏感数据;另一方面结合摄像头进行人员行为识别,当检测到工作人员可能拍摄敏感数据时,可实时进行花屏/黑屏等操作阻断行为,并告警甚至下线账号。再比如,利用AI和大语言模型可更准确高效地识别员工通过图片泄露敏感数据的行为,并对图片中的敏感信息进行脱敏处理。
安全牛
AI技术对非结构化数据安全防护的标准规范有什么影响?
卢陵鹄
从国际到国家再到行业和主要客户,都在积极推动数据安全和AI相关标准的制定。国际标准组织从2022年起致力于人工智能相关国际标准制定,已出台14份相关标准。我国相关部门和机构也有相关要求。
我们公司一直积极参与国标、行标、团标的编写,例如参与中国通信协会关于“机器学习在数据安全技术中的应用”课题,旨在推动形成相关标准。在标准制定过程中,众多企业共同参与,包括联通、电信、保旺达等。
安全牛
AI在非结构化数据防护或分级分类方面有哪些具体的创新点和实际应用案例?
卢陵鹄
在大规模网络域和复杂数据应用场景中,我们从数据识别、分类分级、使用行为判断,到动态管控措施加载,以及流程自动化闭环都有涉及。
由于企业数据不能脱离企业的安全范围,传统超大语言模型在企业场景并不适用。因此,我们坚持在对非结构化数据进行模型训练时,确保企业数据在安全范围内,而不将客户数据进行集中分析。从2022年开始,我们采用较少数据样本和有限算力,通过无监督学习形成自动化样本,结合人工标注,帮助用户在较低算力下实现较高精度的非结构化文件数据识别。
如今,国家大力推广将大语言模型作为基础设施,我们也结合实际,坚持用小样本数据实现自动化应用,保障数据安全。
安全牛
用户在运用AI技术处理非结构化数据时可能存在哪些误区?
卢陵鹄
我们保旺达面对的自身信息化程度较高的行业用户,虽然总体上对AI应用有较高的共识,但仍存在一些误区。
首先,不能将AI当作一刀切的解决方案,例如身份证号识别,正则表达式的效率要比大语言模型更高,在实际应用中应根据结果择优选择,以传统方式为主,AI为辅。
其次,不能认为新技术就是安全的,开源大语言模型和开源软件一样存在安全性问题,可能面临数据窃取风险。
再者,AI模型的可解释性弱,在一些对业务可解释性要求高的场景,如审计,AI分析结果不能直接作为证据,需结合传统手段辅助完成。
最后,AI非常依赖数据,如果数据过于陈旧,即使技术再先进也难以满足业务发展需求,应用AI时需综合考虑其价值、安全性和持续运营。
安全牛
保旺达的解决方案在当前市场处于什么水平?有哪些优劣势?
卢陵鹄
一个解决方案的优劣关键在于客户口碑。从客户反馈和销售额增长来看,我们的数据安全解决方案在业界是实用且值得信赖的,收获众多客户的好评和认可。
在优势方面:一是技术领先性,我们的产品多次在国内创新奖项、案例评选,以及客户集团内部创新赛事中获奖,同时通过参与交流,不断融合他人优点提升竞争力;二是行业适配性强,我们专注于主要行业赛道,在运营商领域深耕多年,凭借大量项目、人才和问题积累,能以最适合行业的视角引入新技术,确保方案的适配性;三是得到市场和客户认可,产品和解决方案在各类评奖中所取得的成绩,证明我们在行业中的价值与地位;四是用户支持,每年新增和扩容的项目情况是对我们方案的最好认可。
从业务量级来看,保旺达2024年数据安全及相关身份安全项目占整体营收规模80%以上。我们是整体解决方案提供商,核心产品是能实现数据安全领域全闭环的管理和运营平台。我们关注对数据流转过程的整体管控,而非单一产品。但是非结构化数据安全防护是其中的重要组成部分。
安全牛
从当前客户端情况来看,AI技术在非结构化数据防护方面对整体解决方案的重要性如何?用户的重视程度如何?
卢陵鹄
从今年趋势看,基于AI创新应用提升业务是主要方向,数据安全领域也不例外,用户希望引入AI能力来解决问题、提升能力。从数据安全领域自身发展来看,国家法律法规和行业监管对数据准确性、完整性、实时性要求越来越高,传统技术已经难以满足,而AI在这三方面能带来明显提升,因此用户迫切希望在数据安全领域引入AI,解决技术短缺、补全业务能力,同时提升效率。
安全牛
您认为接下来AI在非结构化数据安全领域会有怎样的发展?保旺达有怎样的规划?
卢陵鹄
我认为未来半年到一年,AI应用可能会出现更为爆炸性的发展。例如谷歌发布的Agent-to-Agent协议,实现了多个智能体的无缝对接,能在更复杂场景下精准实现管理和业务,充满无限可能。
从公司角度,我们将全力投入:第一,组建专门部门和专业团队跟进AI及大语言模型技术,工作成果直接向公司高层汇报,管理层定期了解进展,让全员知晓AI变化;第二,大力推广人工智能编程,利用大语言模型完成部分编码和前端设计工作,使开发人员更专注重要技术能力实现,提高解决方案交付效率;第三,在内部运维运营侧,结合大语言模型和本地知识库,提升运营人员能力,实现问题快速准确响应,将运营成果转化为平台功能。第四,积极与客户及主管机构合作,参与标准制定和创新应用探索,推广AI创新应用理念,做大数据安全市场。
此外,我们认为AI在细分领域前景广阔。我们将深耕数据安全领域,贴合客户需求和行业趋势,做深做精模型。当前保旺达拥有专门的AI研发团队,要求全员学习AI,用AI替代重复性劳动,战略向AI倾斜,同时在架构和算法中也融入了数据安全行业属性,如合规性、伦理性和数据污染防控等。
在数字化转型加速的今天,数据安全已不再是简单的技术问题,而是关乎企业核心竞争力与国家数字主权的战略议题。卢陵鹄先生的观点尤为值得深思:AI并非万能钥匙,而是需要与传统技术优势互补的工具;数据安全防护不应脱离业务场景,而需深度融入行业特性;技术创新固然重要,但用户口碑与实际价值才是解决方案的终极评判标准。这些洞见超越了技术层面,触及了数据安全治理的本质。
在数据要素时代,安全与创新并非对立面,而是相辅相成的双轮。唯有将安全理念深植于数据全生命周期,才能真正释放数据价值,推动数字经济健康可持续发展。
