聚合智慧角 | 看看他们怎么说

针对弱鸡密码问题，你怎么看？

大咖观点

“这个弱口令话题，是老生常谈的话题。

话题谈了N多年了，可总是“屡教不改”。

这次从俄乌战争事件看，不仅在国内，全世界可能都如此。

战争时期的弱口令问题，更会让人送了命，付出血的教训。甚至可能毁了这个国家和民族。

如何彻底根治弱口令顽疾？

我认为弱口令之所以一直未消灭，核心在于弱口令实在是 “太方便了”。

软件是给人使用的。

而人脑而言，惰性是本能，去记忆复杂口令，本身就是反人类的。

试问，谁愿意去花时间精力去记住那么复杂的口令？

我们传统安全厂商给出的身份认证解决方案，虽然安全有余，但便捷性严重不足。

我们亟需无感知的智能化安全身份认证方案。

在无声无息中解决安全问题。

这个需要我们国内软件产业界上深入反思和共同努力。”

员工观点

👨‍🎓 fit楼的猫：国内隐私计算市场近年来呈现出百花齐放的局面，以百度、阿里、腾讯、华为等为首的巨头IT公司积极布局隐私计算相关产品，一些新型技术创业公司也不断涌入。加上隐私计算与人工智能及区块链紧密程度较高，一些相关企业也在积极布局。目前金融行业对隐私计算的需求尤为旺盛，很多IT公司基于隐私计算推出面向具体金融业务的解决方案，也有不少金融企业自主构建隐私计算解决方案。 从技术路线上来看，目前主流的隐私计算厂商选择的隐私计算技术路线基本为多方安全计算、联邦学习以及可信执行环境技术。这三类技术路径具有较大差异性，在实际业务中通常根据数据情况和业务情况灵活选择。当前各类隐私计算厂商主要致力于底层技术的构建与优化，并在上层布局面向细分领域的相关产品。

我公司在技术路线上与现在主流厂商相比，主要的特点和优势为：

1）重视混型隐私计算方案自动生成，降低规模化数据在高频协作需求下的成本，以此提升数据协作效能；

2）重视隐私计算软件产品的人机交互范式，致力于打造隐私计算的“可插拔、模块化”产品矩阵，提高隐私计算服务数据赋能产业的通用性。

‍👨‍🎓 juhe_wsp：基于当下国家对个人隐私数据的保护和鼓励数据作为生产要素充分流动、发挥更大价值之间的矛盾，国内外已经开始基于隐私计算和联邦学习技术展开技术研发和实际应用。其中隐私计算技术包括同态加密，秘密共享，不经意传输和差分隐私等技术手段实现在没有可信第三方的情境中，数据拥有者在不泄露原始数据的情况下，合作完成数据的计算并得到计算结果；联邦学习通过在现有的分布式机器学习的基础上，在各方建模的过程中基于隐私计算技术对建模的中间参数（模型梯度和参数）进行保护，实现各方在不泄露本地数据源的情况下，利用各方数据进行机器学习模型的建立。在充分利用多方数据强化模型构建的同时，不泄露建模所用数据中的隐私敏感信息，达到保护个人隐私数据的目的。

‍👨‍💻 孙巍：聚合ApiMaster数据综合治理平台，是融合聚合十一年API开发与运营的功力而推出的独门心法，希望将聚合对于API接口的接入、管理、监控、运营能力赋能给其他客户。 帮助企业实现数据能力拓展。

关于API的数据安全，主要需要考虑下列问题：

1. 请求的来源是否合法

2. 请求参数是否被篡改

3. 是否会出现重放攻击

4. 数据是否会被窃取

解决方案，一般来说API的提供方会为每位合法的调用方分配一个唯一ID，来识别和确认调用者身份。采用签名算法，来保证调用方传递参数不被篡改，通过在签名算法中加入时间戳等变量，避免重放攻击；如果是敏感数据传输，往往需要将接口参数加密传输。比如目前在金融行业往往会要求采用国密算法加密。但是签名加密算法往往是有接口提供方自行提供，没有通用方案或技术标准，不同厂商的技术标准甚至是同一厂商不同团队的技术标准都各不相同，为接口的使用带来了很多的开发成本。 慧集集合了聚合多年经验，将各种数据处理、签名规则、加密算法等几十个算子内置在系统中，用户可以通过无代码的方式，通过界面配置就能完成接口的签名适配、加密、解密等功能。既要安全，也要方便。

👧xixi：聚合数据符合《信息安全服务规范》二级服务资质要求，2021年11月获得了CCRC信息安全服务资质认证证书。

👦蓝色骨头：敏感数据识别技术向智能化发展应该是一个趋势。敏感数据识别技术作为数据防泄露、数据分级分类管控和敏感数据加密等数据安全防护技术的基础受到国内外高度重视。一是在传统的关键字识别基础上，相关企业通过引入规则匹配、自然语言处理等技术扩大识别范围，提高识别精度。二是结合聚类分析等机器学习技术，通过大数据的累积训练提升敏感数据识别的智能化程度。我们的慧办产品，应该就可以帮助在企业部署数据安全防泄露工具时发挥价值。

🧒Jasliver：

Q：对聚合在数据安全问题探索方面有哪些新想法？

A： 互联网时代，每一个网民都是这个时代的主体，每分每秒，买个网民的行为都会产生新的互联网数据，但是，其中有很多数据可能是在被误导、被引诱的场景下被获取的。 大部分网民对互联网数据安全的认知可能还处于一个比较浅显的层级，所以，不法的信息/数据获取、信息/数据侵权、信息/数据滥用……还是需要国家的政策、法律来制约。

1.聚合数据，作为数据应用服务专家，有义务、有责任，积极响应政策，并借用新媒体等内容平台，传递数据安全的意义与价值，提升全民对数据安全的敏感性，提升企业管理者对安全生产/运营的重视，激发技术从业者对探索数据安全解决方案的动力；

2.“安全”、“合规”是API客户普遍关心的关键词，那针对这两个关键词，应拓展其内涵，告知市场聚合数据的核心竞争力来源；

3.聚合数据，以“1+3”企业，数字化转型新定位出发，目前已经成为中标政务多项目定制化项目，其中，不免有很多个环节涉及到数据安全处理、数据安全应用等领域（慧集的安全接入、安全开放市场、慧治的数据治理为了数据的安全使用为目标等等），在包装类似案例的时候，更可以从企业/政务内部的业务安全管控（人员权限）、业务流程合规、数据分级&数据安全流动等具体场景，进行内容填充，以从不同的角度来拓展“安全”、“合规”；

4.综合以上，应整合一切可以整合的力量，用一两个简单明了的词来让客户认知聚合的价值。

聚合智慧角
在这里听见数据流动的声音