产品人气榜

应对个人信息安全“三大痛点”,百度安全用技术构筑安全的数据保护系统

2018-12-05 16:02:26111人阅读

人工智能时代,数据的广泛可连接、愈发丰富的数据维度及应用场景,在驱动人工智能发展的同时,也为用户个人信息的保护提出了全新的挑战。

2018年11月30日,中国泰尔实验室和电信终端产业协会(TAF)联合举办的“泰尔论坛2018——用户个人信息保护论坛”在京举办,与会发布《智能终端产业个人信息保护白皮书》,白皮书着眼于智能终端产业新的发展阶段,针对终端行业上下游各环节的参与者,阐述个人信息保护安全要求,汇聚了产业界在开展个人信息保护工作中的优秀做法和最佳实践。

百度安全事业部总经理马杰出席本次会议,从技术、管理和行业角度,阐述了百度安全对于当下用户个人信息保护方面的思考和实践。

1.png 

“人工智能等一系列新技术让数据安全的边界不断泛化,拓宽了安全认知的范畴,延长了传统安全的防线。”在马杰看来,用户个人信息保护问题正在成为当下一个相当急迫的议题,企业应高度重视,以制度与技术提供双重保障,全面落实主体责任,同时加强企业间、行业内的协作与共享。

《智能终端产业个人信息保护白皮书》指出,由于在移动终端市场占据绝大部分份额的Android系统碎片化严重等问题,当前移动应用的个人信息保护问题突出——2017年10月至2018年10月,在第三方监测机构所检测的2722万余款应用中,存在资费损耗、妨害滋扰、隐私窃取等侵犯用户权益行为的应用达到299万个,其中窃取敏感信息的应用比例达到11.86%。

从企业业务管理角度来讲,马杰将用户个人信息保护的行业痛点归纳为三项:

首先,“短时间容易,长时间难。”众所周知,一款应用从开发、上线、不断迭代更新,直至退出历史舞台,在代码、功能和权限方面可能有着不少的变动。在应用的整个生命周期中,如何实现对用户个人信息保护项目的长期监控和持续升级,这是个难题。

其次,“做一个容易,做很多难。”很多互联网公司都拥有庞大的产品矩阵,根据功能和受众的不同,其用户活跃度和更新频率存在着较大的差异。面对如此众多的产品,如何做到全方位的监控与管理,同样是个难题。

第三,“管内部容易,管外部难。”如今的互联网是个巨大的生态链,作为以搜索方式收录第三方网站的平台,如何确保用户搜索到的结果,使用到的第三方服务于功能同样达到个人信息保护合规,还是个难题。正所谓“给自己制定规则容易,要求别人很难。”

由此,对于百度安全而言,以技术构建安全的数据保护系统,以开放协作的心态率先加入到全网个人信息生态保护和治理当中,变得至关重要。

事实上,基于在安全领域18年最佳实践的总结与提炼,百度安全长期以来始终致力于通过前沿技术的研发,实现对于安全问题的快速响应与持续对抗。百度安全亦将这个思路沿用到数据安全与个人信息保护层面上,在实现产品化和解决方案的同时,全面开放给生态伙伴。

2018年,百度安全将KARMA系统自适应热修复、MesaLink TLS下一代安全通信库、MesaLock Linux内存安全操作系统、MesaTEE下一代可信安全计算服务、OpenRASP下一代云端安全防护系统、AdvBox对抗样本工具包和HugeGraph大规模图数据库七大技术汇成“七种武器”全面开源,解决云管端以及大数据和算法层面的一系列安全风险问题。在切实保障百度系统内部数据安全与用户隐私的基础上,向生态合作伙伴开放,提供技术支点及包括智能终端在内的完善的产品解决方案。

作为以搜索方式收录第三方网站的平台,净化治理全网违法违规信息、加强居民个人信息保护、打击侵犯用户信息安全违法犯罪行为,是百度在维护网络空间良好生态层面上承担的重要使命。长期以来,百度安全针对涉嫌窃取网民隐私数据的恶意网站及盘踞其上的网络黑产开展重点监控打击工作,2017年全年累计下线“涉嫌窃取用户隐私”恶意网站20.8万个,累计下线“涉嫌窃取用户隐私”网址540万条,同比增幅达到100%。

与此同时,借助在AI和大数据领域的领先技术积累,百度安全配合公安机关在“滤网行动”中侦破国内首例新型侵犯用户个人隐私黑产团伙“手机访客营销”黑产,抓获犯罪嫌疑人数十名。在保护用户个人信息安全的同时,也全方位实现了从警务数据整合治理到分析挖掘,助力智慧公安新业态。

在产学研合作方面,百度安全结合国家科研体系框架开展了大量隐私保护研究工作,参与国家重点研发计划“互联网环境下的隐私保护与追踪取证项目”,保障了整体研发方向的正确性、创新性和权威性,并取得了包括差分隐私(DP)、审计取证、安全多方计算(SMC)在内的多项“产研学用”成果,在推动企业产品的技术进步和先进隐私保护技术的应用落地的同时,也为理论研究提供实地验证环境。

百度的努力也获得了产业界的认可。在论坛现场,百度旗下“简单搜索”APP便获颁中国泰尔实验室“用户个人信息保护最佳实践奖”,为行业树立了标杆。

 2.png“网络安全不是一家企业的事情,我们秉承一个开放的心态,把技术能力开放出来,接受监管部门和用户的监督,大家共建一个生态。”在马杰看来,用户个人信息的保护需要整个政府机构、企业机构、科研院校的通力合作,共同应对这一全新的挑战。 

从下线涉嫌窃取用户隐私网址到治理信息平台中个人信息隐私泄露风险,从预防个人信息被恶意披露到打击窃取用户隐私黑产,百度安全正与合作伙伴们一道,以保护用户个人信息安全为基本,在AI时代构筑起数据保护的防线,为用户提供更好的服务,创造更大的价值。

守护AI的安全,打造安全的AI。