近年來,數字經濟的發展不斷催生出新技術、新產業、新業態、新模式,數據作為一種新的生產要素,已然成為數字經濟的核心。同時,針對數據的攻擊、竊取、劫持、濫用等現象層出不窮,數據安全風險日益嚴峻,給經濟、政治、社會等各領域帶來巨大風險。如何強化數據安全治理能力,建立數據安全治理模式,構建數據治理體系,為數據安全治理營造良好環境,成為當前亟需解決的問題。
作為在數據安全領域深耕二十余載的企業,保旺達立足于客戶本質需求,結合國家數據安全政策要求,以數據主權確權為核心,先后推出了保旺達數據安全治理解決方案、安全大腦綜合解決方案、安全中臺解決方案等,圍繞數據安全監管、數據安全防護、數據安全運營三大模塊構建了完整的數據安全保護鏈條,實現了全流程及全要素的數據安全保護。
近日,江蘇保旺達軟件技術有限公司首席技術官盧偉,圍繞數據安全治理的思路、數據安全治理體系的構建、數據安全治理的困難、數據安全治理未來的常態等方面,與記者展開深入溝通和交流,相關問題和回答展示如下,以饗讀者。
記者:您是如何理解現階段的數據安全的?
盧偉:目前,國家高度重視數據安全,在很多方面給予了規劃和要求。《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》的出臺,明確了數據安全主管機構的監管職責,建立健全數據安全協同治理體系,提高了數據安全的保障能力,讓數據安全有法可依、有章可循,為數字化經濟的安全健康發展提供了有力支撐。隨著社會信息化應用程度不斷加深,技術和應用場景不斷創新,我國加強了對大數據的監管力度,進一步細化了相關法律法規,這是一個動態的發展過程。
雖然現階段仍存在立法不完善、技術創新能力薄弱、國際合作不足、治理乏力等問題,相較于數字化、網絡化階段中的靜態數據安全特征,智能化階段中的數據安全問題更具復雜性、動態性、平衡性和整體性等特點。基于數據呈指數級增長和常態化跨境流通的形勢,數據的流通廣泛分布于國家、企業、社會組織與公民個人之間,基于對傳統治理結構的調整,更為平權化、多元化的治理模式正在崛起。
因此,建立完善、可持續的數據安全治理管控體系是關鍵所在。為避免出現數據安全產品功能分散和數據安全能力“孤島化”的問題,不能一蹴而就地只靠單品來治理。在建立治理體系過程中,一方面,要能覆蓋到用戶現有的治理能力,避免造成投資的浪費;另一方面,在保障合規性的基礎上,還要能滿足其業務發展的需求,這是一個周期性工程,重點是隨著企業用戶訴求及防護重點發生變化,能夠幫助其動態地構建科學合理的數據安全治理體系。
記者:為滿足國家對數據治理的要求,實現數據資產的有效管理,應該采取怎樣的治理思路?
盧偉:從國家法律法規及行業監管要求來看,治理思路會有不同,但本質上是一致的。
第一,要明確治理對象。數據治理是以數據生產要素為對象,包括靜態數據、動態數據、結構化數據及非結構化數據等。需要強調的是,數據治理對象是海量分布在各個系統中的數據,這些源于不同系統的數據往往在數據代碼標準、數據格式、數據標識等方面存在一定的差異,甚至可能存在錯誤的數據。
第二,要明確治理范圍。數據安全治理工作以數據為核心,涉及政府、企業、個人等各類參與主體,覆蓋全生命周期中的各種過程和狀態。治理范圍決定了后續要采取相關的治理措施的力度。范圍既可以說是某些業務系統,例如從前端事務處理系統、后端業務數據庫到終端的數據分析,也可以指某些行業的產品升級、技術創新等。
第三,要明確治理方法和策略。這主要包括管理和技術兩個方面。從管理角度來講,要明確數據治理的相關組織、機構、崗位、人員、職責、規范、流程,從頂層起步進行宏觀路線的規劃和設計,形成一套完整的從梳理到管理再到控制的方法論。這就要求數據安全治理的責任組織牽頭去完善相應的規范和流程,積極主動地籌劃和開展系統化的數據安全治理工作,確保企業或組織能夠有效應對數據時代的各種安全挑戰。從技術角度來講,數據治理涉及發現、防護、運營等多個環節。技術建設為治理保障、組織建設和制度流程的抓手和落地保障。例如,在基于業務場景分析數據全生命周期的風險之后,就會得到相應的安全需求,進而需要數據標簽、數據加密、數據防泄漏、數據脫敏、數據水印、數據備份恢復、數據安全擦除與銷毀等技術手段。
第四,要明確治理覆蓋數據生命周期。這需要對標業務場景,適時開展需求分析和風險評估工作。例如,當運維人員通過類似于堡壘機的安全設備去訪問后臺數據庫時,在這樣的場景下,需要對數據采取什么樣的防護手段;當業務系統之間發生交互時,如果是通過接口、程序或者是機器人完成的,在這種場景下,數據會有什么樣的特點,需要怎樣去防護等。所以要積極探索先進技術在業務場景中的創新應用,提升數據安全的管控能力。
第五,要明確評估效果。前期明確了相關的管理、技術手段等工作,并在此基礎上投入了相關的安全治理策略和工具,那么最后就要對產生的效果,以及是否能夠確切解決業務場景下的痛點和訴求進行評估。
記者:如何建設科學合理的數據安全治理體系?
盧偉:保旺達在數據安全領域擁有十幾年的積累和沉淀,通過長期對大量客戶的咨詢規劃建設需求的總結,發現他們對數據安全治理有著天然的需求。在不斷處理客戶數據所面臨的動態威脅與風險及在入侵環節、入侵方式、入侵目標的不斷演進的場景下,我們總結出自己的數據安全治理理念,幫助企業構建完整合理的數據安全治理體系。
第一,定規范。我們常說的“無規矩不成方圓”,也同樣運用于數據治理領域。先要確定數據治理的基本法則,這也為之后的管理工作提供了非常重要的依據。在定規范的過程中,要把所涉及數據生命周期的業務場景的相關訴求定義清楚,例如,數據資產的基本信息及數據分類的規范、數據分級的規范、數據外發的規范、數據審批的流程、數據訪問的流程等。在定規范的過程中,要切記能夠適應復雜的數據使用場景,并區分風險等級進行精細化規范設計,在對新問題時快速響應,輸出解決方案。
第二,摸家底。在此階段,企業要搞清楚自身有哪些類型的數據、數據在各業務系統和應用上的分布情況、數據量的大小規模和增長速率、數據按照企業規范或行業標準應認定為什么類型與級別、數據在企業內部及外部的共享情況和流動路徑等內容,否則,數據安全治理工作的開展就會找不到頭緒,抓不住重點,難以全面覆蓋重要數據。“家底”摸清以后就可以形成企業的數據資產目錄,基于數據資產目錄可有序、高效地開展數據安全治理工作。
第三,強管控。該階段側重于基于業務流程的數據安全架構,能夠實現用戶審批、數據授權、安全使用、數據審計的全過程管控。在此階段,更多的是體現對工具的依賴性。通過依靠工具來完成數據安全治理階段所需要的策略、能力、方法等。而依賴工具的類型更偏向于類似數據庫脫敏、數據水印、數據加密、數據訪問控制等產品,同時還包括訪問數據的主體,例如賬號、程序等。企業在這個階段需要著重提升防護能力的建設,滿足在不同業務場景下數據防護體系的要求。
第四,重運營。目前,數據安全運營逐漸成為企業數據安全團隊與業務溝通、項目推進及價值輸出(賦能)的窗口,運營能力作為數據安全的核心,數據、模型和工具作為實施手段,該階段重點在于通過運營實現對業務的價值輸出目標。在此階段,通過對風險管控能力把控、真實的業務風險場景提煉、法律法規的遵從性、安全管理與合規團隊聯合推進度等分析和應對,對整個數據安全運營的效果進行評估,給出相應的指導意見。
記者:您認為政企單位在數據安全治理中面臨著哪些困難?
盧偉:作為數字經濟和信息社會的核心資源,數據在不斷流動中產生著巨大的價值。不同類型的數據,其級別和價值均不同,不能等同視之,應根據數據的重要性、價值指數予以區別對待。因此,數據的分級分類是數據安全治理的第一步。事實上,很多企業都不清楚自身到底擁有哪些數據,哪些是敏感數據或重要數據,甚至都不知曉數據存儲在什么位置,這給數據安全治理帶來了諸多難題和挑戰。
第一,數據安全治理體系不規范,甚至缺乏體系治理的意識。很多企業缺乏從決策層到技術層,從管理制度到工具支撐,這種自上而下貫穿整個組織架構的完整鏈條,而且,組織內的各個層級之間未對數據安全治理的目標和宗旨取得共識,也未采取合理和適當的措施,未能以最有效的方式保護信息資源。例如,有的企業在數據量成倍增加的同時,對“如何識別數據”“數據用到哪里去了”“數據最后從哪里給了誰再到哪里去”等基本問題還一臉茫然,也沒有具體的負責人和直接責任人來進行統籌和管理等。
第二,缺乏對數據分類分級的治理能力。實行數據分類分級是保障數據安全的前提,也是數據安全治理過程中極為重要的一環。開展數據安全的第一步就是要識別數據、基于業務特點進行數據的分類和分級,這是后續數據保護策略部署的基礎。常見的數據分類維度包括公民個人維度、公共管理維度、信息傳播維度、組織經營維度、行業領域維度,從國家數據安全角度可將數據分為一般數據、重要數據、核心數據共三個級別。對企業相關管理人員而言,如何判定數據類別和重要程度是一個不小的難題和挑戰。
第三,缺乏相應的治理手段。數據必須要在共享使用中,才能產生更大的價值。因此,對于數據的保護不應該只是靜態的,而要更加注重流動數據的治理。數據流動的安全隱患與數據的可獲取性及可遷移性相關。例如,在與銀行、支付寶、微信等不同系統的接口發生交互時,數據相當于給第三方的系統接口調用了動態化數據,這給管理員帶來了更大的治理難度,因為他不清楚應采取何種手段和方法進行有效的動態數據治理。
第四,缺乏體系化、系統化指導。在企業對數據治理基礎工作告一段落后,多數企事業單位未對數據治理進行體系化指導,不確定下一步治理工作的發力點。缺乏數據治理的體系化建設,必然會導致商業智能價值鏈受阻。因此,政企單位要想在數字化轉型中抓住機遇,數據治理體系建設勢在必行,這是基礎而又關鍵的一環。
記者:未來數據安全治理的常態是怎樣的?
盧偉:宏觀上講,從法律法規到相應的標準規范,再到監管要求,可以看出對數據安全的規范越來越明確,要求也越來越細,創新性的安全廠商也將越來越多。在這種環境下,廠商的研究領域會更加聚焦,技術研究也會愈加深入,相應的投入也就水漲船高,從而衍生出更多高精進的數據安全企業,進而研制出更多更好的產品,提供更加優質的服務。這對現有的數據安全廠商來說,未必不是好事,能讓其深耕賽道,持續發力,在這個領域產生更多的創新成果,助力用戶提升數據安全治理能力。
應用上講,數據處理環節的脫敏技術和數據交換環節的權限管理、安全代理也逐步成熟,數據分類和密鑰管理產品處于高速發展期,數據傳輸環節的產品已經非常成熟,例如,數據防泄漏產品、數據庫脫敏產品等。這些產品更多的是針對數據本體研發的,然而,在數字經濟浪潮化的背景下,隨著業務的復雜度不斷提升,風險及合規視角下的數據安全需要應對更豐富多樣的應用場景,保護的數據對象范疇也不斷外延。
體系上講,數據安全將不再是一個組織內部的事情,而是需要構建一個科學的數據安全治理體系,才能有效地保障數據安全,管控數據安全風險。這摒棄了傳統的單品突破的治理方式,更多地聚焦業務場景和用戶體驗。這就要求廠商把數據安全治理當做周期性工作來做,要不斷投入、不斷改善、持續提升,然后再不斷投入,形成一項有序、動態、可持續發展的系統工程。
記者:在數據安全治理方面,保旺達有哪些積累和沉淀?
盧偉:在數據安全治理的工作中,保旺達不斷深耕賽道,持續進行技術創新,實行安全產品和服務雙驅動戰略。一方面,保旺達成立了自己的研究院,重點對最新、最前沿的技術進行研究,結合我們現有的產品,去幫助用戶解決更復雜業務場景下的安全痛點,或者在復雜的業務模型下,能夠帶來的安全管理價值。在這個過程中,輸出了關于5G、人工智能等新技術的解決方案,而且能夠成熟運用到自身現有的產品組件中去。另一方面,我們還有獨立的網絡空間安全實驗室,根據國際通用的ATT&CK模型,研發出“觀云”“御雷”“探海”“乘風”四大安全模型,對用戶在安全服務的監測、研判、預警、處置等方面提供了很大助力。
依靠實驗室,我們還開展了數據安全評估工作,通過數據安全評估的服務,能夠快速地幫助用戶去建立數據安全相關的風險評估手段,從而快速地找出當前業務系統所存在的風險短板,以及包括有針對性的去提升相應的建設能力需求,在數據安全風險治理方面,為用戶帶來實質性的改變和提升。
保旺達多年來堅持自主可控的信息安全技術研發,構建了完整的數據安全產品體系和網絡安全防護體系,產品獲得國家級保密認證以及入選了國產信息產品名錄。安全產品已廣泛應用于運營商31個省份,護航100萬+終端用戶、網絡設備及物聯網設備的數字安全,每天提供身份鑒別與訪問管理服務超3000萬人次。自主研發的涉密產品信息交換平臺是目前市場上唯一實現內外網數據安全交換的軟件產品,切實解決了涉密單位數據在流轉、分發過程中的安全問題。
此外,保旺達每年投入大量的資金和人力開展與產品國產化相關的研發工作。新產品從設計階段就充分考慮對于國產化軟件特別是操作系統、中間件、數據庫基礎三大件的適配。目前,部分產品已完成了對國產主流操作系統及數據庫的適配。未來,保旺達將進一步強化在研發領域的技術創新能力,堅持以客戶價值為導向,聚焦數據安全方向,打造更多、更優秀、具備產業帶動性的產品和解決方案,為企業數字化轉型保駕護航。
