从这套系统开始，每一个向下流转的过程，所有的电话号码都保持加密的状态，即使进入大数据的平台，即使进入了数据分析人员的范畴，你会发现他依旧接触不到明文的数据。

整理 | 李威

“我们很重要的一个目标，就是要实现客户的隐私数据，尤其是电话号码，在整个生产运作环节中是对员工不可见的。”

在7月30日开幕的第五届互联网安全领袖峰会（CSS 2019）上，顺丰集团信息安全与内控处负责人刘新凯讲解了这家拥有500套系统和超过40万员工的快递企业如何建立起一整套系统，在从快递收单到数据分析的过程中保护客户的个人数据隐私。

刘新凯认为，顺丰在数字化升级过程中不但面临着数据集中、互联互通带来的更高的被攻击的风险，而且在企业越来越重视依靠人工智能和大数据技术分析用户行为的当下，如何在数据的顺畅流转中保证安全也对企业提出了更高的要求。

这也印证了腾讯公司云与智慧产业总裁汤道生在致辞中所讲的，产业互联网时代，安全领域表现出的两大新特性：

第一是产业互联网时代安全威胁的突发性更强、破坏性更大。尤其涉及国计民生的产业领域，一旦遭遇网络攻击，可能造成极大的社会影响和经济损失。

第二是安全价值升维，安全不仅能帮助企业“降本”，还能显著“增效”，已成为数字时代企业核心竞争力之一，在金融、零售等领域最为明显。

数字化将贯穿企业研发、生产、流通、服务等全过程，这其中无不涉及安全需求。解决数字化的安全问题，将成为企业全面拥抱产业互联网必须解答的问题。而这往往需要企业从经营战略视角进行统一规划，建立系统性的安全防御机制。

以下为顺丰集团信息安全与内控处负责人刘新凯的演讲全文：

其实在谈到整个产业升级以及数字化的过程中，我相信很多企业同时会在这个过程中遇到相应的挑战，也在寻求不同的相关的解决方案。我希望剩下的25分钟时间里面能够以顺丰为例，把我们发现的挑战以及具体落地和应用的方法跟大家作一些分享，希望能够带来一些启迪和帮助。

我们把整个顺丰数字化发展的历程分成了三个阶段：

第一阶段，2007年以前，最早开始使用不管是OA，还是整个运作过程中数据的上线过程，最早在快递企业中实现了路由数据监控和后台的更新。

第二阶段，2008年—2015年之间是非常大的变革年。这几年的时间，不管是2009年顺丰科技的成立，还是在人、财、物，以及各种系统批量上线的过程中，实现了企业方方面面的数字化。

第三阶段，从2016年到现在，在数字化的基础上更多的是运用大数据、人工智能的过程。将整个运作以及产品更偏向智能化，提高用户的感知以及内部运作的效率，并实现成本的降低。

这些年发展下来，整个科技的人员从0发展到现在超过5000人，可以说整个顺丰在数字化的过程中是跑得非常快的。在这么快的过程中，安全有没有遇到什么挑战？其实我相信像每个企业在思考的问题是一样的，都会遇到非常多的问题。

首先在整个数字化升级的过程中，单纯从数据安全的角度看一看会遇到哪些通用性的风险。

第一，数据的集中。最早做数字化的时候可能有不同的系统，甚至从纸质界开始变成系统、变成OA，包括后来的ERP，其实数据在集中化，有了大数据概念以后，以前分散的数据越来越集中了，集中带来的问题是什么？让我们的数据被批量泄密或者被批量攻击的可能变得更大了。

第二，互联互通。以前都是单机版的或者线下的操作，很多的时候是要物理接触才能够对系统或者数据产生影响。而现在这种互联互通的时代，其实整个安全的防护已经在面对全球的攻击，你不知道是你的竞争对手，还是恶意的团队，还是什么样的情况。你的风险无时无处不在。

第三，大数据的应用。大数据的应用在每个企业都是现在的必选项，不管是客户的画像、商圈的选择还是未来产品的制定，大数据就是整个未来发展决策的重要一环。

但是在大数据分析的过程中，跟安全是不是有些冲突？哪些数据可以分析？哪些数据、哪些人可以用来进行分析？展现或者是分析的力度到底是什么样的？大数据和安全之间如何选择一个有效合理的平衡点？

第四，数据安全的管理。可能最初的时候大家做一个两个、十个八个系统，可以很清楚地说清楚我的数据在哪里？应用谁来管？当你的系统发展成100个、200个，甚至我们的规模已经超过500个系统之后，没有人真的能说清楚各个应用系统之间数据是什么关系。

我的数据如何流转，应该如何保护？当面对这么大的变化的时候，怎么样才能够进行有效的落地，我相信很多这类的问题，各个公司都会遇到。

顺丰还有有两个特点：首先，顺丰员工差不多有40万人，分布在全球50多个国家和地区，尤其在大陆的人员是最多的。同时，因为行业本身的问题，从大家有印象开始，实际上你自己的信息，寄方的信息都是在运作的过程中必然被员工接触到的。

它不像别的行业，这个数据是保密的，可能只有几个人能接触到。当你接触到快递的时候，你会发现客户隐私和整个的运作是息息相关的。面对这种挑战如何解决这种问题？

刚才也提到了大数据上的风险，最后当你想解决这些数据安全带来的问题的时候你会发现，针对结构化的数据如何去保护？业界能够发现的方案或者是能够使用的方案，一是比较匮乏，二是成本可能会很高。当面临这些问题的时候如何选择？

其实我们在众多的安全目标里面，今天就选择了一个跟大家做一个分享。我们很重要的一个目标，就是要实现客户的隐私数据，尤其是电话号码，在整个生产运作环节中是对员工不可见的。

大家可能觉得这个事情很小，但是你想想我们有500套系统超过40万员工，又有行业本身的特点，这件事情如何去做？这件事情想要治本，一定要回到最基础的部分：一是业务，第二就是数据本身。

我们罗列出来的这个流程实际上是一个快递公司非常基本的过程，前面有下单、收件，中间有收派和售后，还有三线的运营过程，我们按照业务流程，以及业务如何改造，系统端如何改造，介绍一下顺丰在落地过程中做的事情。

创新快递单

很多朋友应该非常熟悉这种四连单，这是几年前邮政或者快递行业通常使用的模式，大家所有的信息都是记在这张单上的，寄方信息、你的信息、保价信息、个人签名都在上面。

我们在做最早的数字化的时候是在做什么？按照标准的流程是手写下单，进行相关的扫描，然后有一个非常重要的环节就是要人工录单，把所有快递单的数据要及时录到系统中。相当于白天取完件，马上有业务员把它做批量的扫描，扫描件会给到后面的输单人员，进行数据的传输。

那个年代开始顺丰就已经很关注客户的隐私，怎么保证一张运单不会被任何一个人拿到中间完整的信息，从而做一些欺骗或者是诈骗的行为？这张图上写了很多编号，代表着这张图在扫描之后，当时就在上面可以拆成十块，每一张扫描图自动会被拆成十个部分，十个部分给不同的供应商负责数据的录入，相当于没有任何一家可以看到完整的面单。这是顺丰在纸质面单时代采用的办法。

为了完成这件事情，有300多家供应商、几千人在负责输单。我们跟腾讯合作的第一件事情，就是所有手写的汉字自动化输入、自动化识别。结合OCR的技术，以及顺丰在地图、地址上的能力，基本可以做到手写的地址以及信息识别率达到99%以上，来解决人在中间参与可能接触到数据带来的风险。

然后，顺丰是第一家推出二维码扫码寄件的公司，在这之后电子面单就成了大家现在看到的快递包裹上的主流形式。左图的面单是2017年发布的顺丰的“丰密面单”，做这个事情的目的非常简单，就是在一张能打出来的面单上，收方、寄方通过信号脱敏处理，包括小哥在日常处理过程中，包括客户在处理剩余面单纸的时候，不会出现电话号码的泄密。

发布之后的一年，2018年8月8号就出现了右边的这块业务，如果大家拿出手机在微信里面选顺丰速运的话，会发现其中有一个选项叫“隐址件”。

我们发现很多朋友其实是不希望有人给你寄东西的时候知道你的家庭住址。

通过“隐址件”在寄件的时候寄件人不需要填收件人地址，而是邀请收件人自己填，打出来的面单也不会有相关的地址，相当于收寄双方的业务过程都不会接触到相互的联系方式和地址，保证大家传递过程中个人数据的安全。

服务过程加密

顺丰的业务如果算大概的数，每天有1500万件包裹。这1500万件包裹里面大多数都是通过小哥和客户的沟通来进行下单和处理的，小哥就成为了跟大家日常接触的最频密或者最紧密的伙伴。

我们想做的第一件事情或者落地的第一件事情，就是如何保证小哥跟客户的交流无法接触到电话号码。可能跟有些业务不一样，有些业务是高价值、低频率，选择一些比较简单的虚拟号码很容易实现电话号码的隐藏。

但是对于高频且每一单利润相对比较低的快递业务，能选择通用的虚拟号码吗？我们估算了一下，光虚拟号码的成本要两个多亿，接近三个亿，这还不算电话费。

怎么拿出新的方案解决这个问题？我们选择的是整个操作系统的改造+虚拟号码两种方式二合一的方式。

派单界面左下角会有一个按钮，快递员通过这个按钮呼出的时候是显示第二张图的界面，相当于小哥看到的电话号码中间是有信号加密的，在所有通讯录当中存储的通讯记录中间也是打了“*”，整个过程并不知道客户的电话号码。

同时还有很重要的功能就是每一个业务都是有时效的，（业务）结束之后这个电话号码就联系不了。顺丰会根据业务周期调整整个通讯录能够拨通客户电话的持续时长，进行相关的动态清理。短信也是类似的。

右图是客户可以看到的数据，相当于客户依旧可以看到快递员的电话号码，当你有任何问题的时候依旧可以通过这个电话号码联系到快递员。这是在一线发端或者快递员这一端能够解决的模式。

在谈完大量的快递员之后，我们还有很多二线的人员，类似于仓管和中转场，大家可能不熟悉，但是说起客服大家就不陌生，当他们拨出电话号码或者有客户打进电话的时候是通过CRM或者相关的系统进行自动的关联，而所有的展示界面中间是不需要知道客户电话号码的。

当他拨出去的时候，尤其使用IP电话的时候会发现客户看到的是类似于像右边的95338-85这样的电话号码，95338是顺丰的官方客服电话，这样的号码有比较高的辨识度，二是能够实现所有二线人员在跟前端客户沟通的时候电话号码是相关保密的。

其实在介绍完这个之后还有一个很重要的点，就是所有的三线数据分析人员，这一部分怎么解决？其实他们并不需要电话号码，电话号码对于很多数据分析人员最大的作用是什么？实际上是所有信息的关联或者是唯一的ID标签，他们是要靠这个来进行整个客户之间的关联以及客户画像这样的一些相关的动作，也就意味着我们并不需要真的给他们展现一个相关的电话号码。

所以我们现在选择了一个在顺丰落地很好的模式，就是所有的敏感字段按字段级进行加密，相当于客户的订单刚刚出现的时候，信息刚刚进顺丰在最外端的系统的时候，有关他的电话号码、地址以及相关的敏感数据就已经加密了。

从这套系统开始，每一个向下流转的过程，所有的电话号码都保持加密的状态，即使进入大数据的平台，即使进入了数据分析人员的范畴，你会发现他依旧接触不到明文的数据。数据分析人员是靠着整个密文的唯一ID来进行相关数据分析的。

综合前面这一部分讲的话，其实还是跟整体前端业务有关，如何能让我们的一线、二线以及三线做数据分析的人员在整体的过程当中没有办法或者是根本不需要接触客户的敏感数据。当解决完这些问题之后，其实还有很多老大难的问题，这块会比较偏系统。

遇到的大挑战

当有500个系统以上的时候，你的数据到底在哪里？你关心的系统、你的数据库到底在哪里？它们是从哪里来的？如何流转？最后去了哪里？当你知道这些信息以后如何保护？这些可能就成了每一个安全从业或者是负责人真正内心里面最重要的问题。

我们有时候这么比喻这件事情，有点像管家，当你管了所有的系统和数据的时候总要有一本账，这些数据到底在哪里？账目上是不是清楚的？如何从一个库里面去了另外一个？它们应该如何划转？

就像仓库一样，我们知不知道它的库存是什么样？知不知道如何划拨？这些都不知道怎么管好家底。怎么选择安全有效的安全措施保证你的数据是安全的，这是大家在做了很多外围安全之后应该好好想想的问题，到底知不知道自己在保护什么，它们面临什么样的状态？

我们也寻找相关的解决方案，从差不多去年开始，我们做了一套解决方案来解决相关的问题。

第一个是解决数据资产在哪里的问题。不管是数据资产扫描、敏感数据引擎，还是网络流量探针的方式，我们要发现在整个数据中心不同网端和不同区域之间的资产变化，来确定整个资产的变化，同时当有了这个基础的东西之后才能进行管理。

有了这个东西可能还远远不够，我们真正关心的不是全量资产是什么样的，而是中间真正敏感的数据和敏感的字段到底是如何的。所以在这个基础之上，当知道了资产的整体分布情况之后，我们还要发现所有的敏感数据是如何分布的。

我们在这里面有一个隐私管理的平台，可以通过规则或者是人工智能的方式进行敏感数据的识别，从而进行数据的分类和分级，最后进行相关的可视化，可能讲起来会比较抽象，用两张图给大家分享一下具体的展现方式是什么样的。

左图是有关数据资产，当你分析之后，怎么能够盘点好自己的家底到底是什么样的。右图是现在在做的，不同数据库的表到底有多少字段？哪些字段是敏感的？它们之间是什么样的关系？

你会发现这样一层一层拉下去之后会有非常完整的对于资产以及敏感数据分布的概念。其实这个我们也是有很多惨痛经验的，我们分析自己的敏感数据的时候，差不多也花了接近20个人，差不多干了一周才搞明白自己有什么，都在哪里。

有了这一套东西之后，你可以随时随地了解自己的家底是什么、你关心的数据到底在哪里。这个也只是刚刚开始，为什么？

其实这是一个静态的数据，不管是资产，还是数据分布，其实我们可以查很多东西了解这个数据。还有一件事情是动态变化的，就是它们是如何流转的，接口是如何变化的。你的业务是随时随地变化的，安全怎么能够知道业务是如何变化的，而中间的数据是如何流转的。

我们做了这个之后又做了很重要的功能就整个数据追溯的管理，相当于我们怎么能够通过敏感的字段、敏感的应用来进行相关的数据的发掘。首先在中间部分就是不同的应用，下面是不同的DB，在中间有很多灰色是通互相数据传递的管道。

这个管道是如何进行运作的？管道中间的接口是如何变化的？包含敏感数据是怎么通过A的应用一直传到最后一个应用，中间流转的过程是什么样的？其实是需要一套动态的监控能力来保证这套数据传输的过程中对于安全人员是可视或者是可控的。

做完前两个动作之后做的下一个动作就是有关于数据的流转过程的实时发现和监控的内容，来保证在业务变化的过程中发现接口以及敏感数据是如何传递的。

在做完这几个之后还有一个很重要的点，其实大家也都会做，就是有关数据脱敏。在开发测试、数据、分析、培训，甚至其他的场景，数据脱敏都是其中非常重要的环节。

不管替代也好，屏蔽也好，做唯一的数据的替换也好，还是随机数据也好，数据脱敏为日常应用，尤其是大家所在的IT和科技部门在使用的过程中如何保证数据的安全，就提供了一个最后兜底的解决方案。

至少不会有敏感的数据进入到开发测试环境、上线的环境，甚至备份的系统里面去，来保证整个数据能够有效地进行全流程的安全防护。

所有的需求是来自于不同的业务场景，刚才我们谈到了顺丰的不同业务的点，其实这些点是我们选择方案和制定方案过程中最为重要的部分，同时我们在梳理了整个的安全管理的策略，以及在底层进行安全支撑的内容，比如刚才的资产管理、数据管理、追溯管理等功能来支撑中间的部分，就是数据生命周期的管理。

其实这里面也是按照整个生命周期的过程分成了几个部分，比如采集、传输、存储、访问、使用以及最后的交换共享。通过生命周期的不同步骤，选择自己企业或者组织的管能力来保证这张图能够有一个有效的落地。

同时，强调一个最重要的点，当做完所有的建设以后，还有一个数据安全的运营和监控的能力。因为所有的安全都是动态变化的，没有人真的能够保证自己的安全一定不会出问题，而出问题或者出这样的攻击或者风险可能会成为一种常态。

这就要求企业有合理的安全运营和监控的能力，包括现在的安全成熟度评估、个人隐私的安全评估以及在这个上面相关的SRC或者SOC的建设，就成为了这件事情能够日常运营，并且进行有效防范的很重要的点，来保证整个数据安全的落地。

总结刚才说过的话就是选择自己企业现在面临具体的时机和情况，看自己的业务到底风险点在哪里，根据自己的业务，不管是从业务流程的改造、模式的变化，还是底层数据安全的分析、建设、保护，来实现一个更全面的企业的数据安全的保护，助力经营或者保护整个企业未来发展护航的作用。

我们每次都在谈现在、眼前，其实未来也已经在我们的脚下，跟今天的主题是一样的，产业升级，安全也在升维，我希望整个安全的专家以及从业者能够更多地交流、更多地沟通，把各自的经验进行相关的分享，共同建设一个更加安全、更加美好的安全的未来。

谢谢大家！

?新商业情报NBT原创内容 转载请联系授权