数据安全的核心问题是“动态监管”、“动态维护”、“动态管理”。技术上的check list是做不了这个事情的,必须是运营+管理+评估的体系,才能把数据安全运行起来,才能看到效果。

数据安全治理服务方案要快速实践和落地,帮助用户简单入门并且快速见到效果,然后慢慢把复杂的体系建立起来。

数据安全治理的核心框架,以【技术】为底座,强调对数据安全进行【管理】和常态化的【运营】,还有我们在《数据安全治理白皮书4.0》中提出的【评估】——数据安全的本质是自评加外评构造起来的整体的合规体系。

数据安全治理到什么程度是OK的?不同的行业,不同的阶段有一定的区别,技术体系、管理体系、评估体系、运营体系四方面做好了,基本就完成了初级阶段的任务。

数据安全在我们国内也并不单单是一个合规的问题了,而是合法、合规、合理的新趋势。

——安华金和副总裁何晋昊

数据安全治理是近期的热词,具备非常活跃的市场需求。安华金和副总裁何晋昊是数据安全治理落地方面的专家,他具备非常丰厚的技术和实践经验,今天我们邀请到了何总,他慷慨地将数据安全治理的一些落地经验,以及各行业客户不同实施特点分享给了我们。

何晋昊,安华金和副总裁兼工程技术中心总经理,拥有15年以上信息安全技术从业经验,曾历任数据安全头部企业技术服务中心总经理、副总裁等职务,主要负责核心产品研发、重大项目交付、咨询服务和行业标准制定等工作,对数据安全领域有着开阔的市场前瞻思维,技术服务及相关实践落地经验丰富。

数据安全为何火?

国家推动数据流通市场态度坚决

 数说安全 :何总好。当下数据安全市场非常火,未来市场空间比较大,安全行业的投资人也非常看好。您认为数据安全政策驱动还是需求驱动、还是产品技术驱动?

 何晋昊 :三方面的驱动都存在,政策和需求主要驱动的是用户侧,产品技术主要驱动的是供给侧。

政策首先是国家战略层面上的考虑,在数据作为生产要素进行市场化配置的过程中,政策指导是供给侧改革的一个最重要的支柱。

“数据的流通、利用和发展”被作为一个市场提出,国家要推动这个市场的建设必须要考虑安全问题,东数西算、各地在建的数据交易市场……在这些背景之下,“数安法”、“个保法”、“网络安全法”三驾马车陆续出台。数据安全法为数据市场的构成搭建了规则和框架,它是一个非常顶层的法律,网信办在这基础上出台了相关条例。此后,监管单位、评估机构、厂商各自都有要承担的责任。

数安法和个保法从立法、草案征求意见到实施非常快,仅3年的时间,可以见得国家在推动数据流通市场的发展上意志非常坚决, 这就叫大势所趋。我觉得这是市场很热,投资人非常看好的一个根本原因。

发挥数据价值已是核心刚需,

数据安全需求活跃

 何晋昊 :当然用户也非常重视,数据的价值在用户层已经达成共识。

数据是一种最为奇特的生产要素,它没有实体,就是一串比特,一串0101,用户最先需要知道的是我有哪些数据?然后要考虑怎么使用它。数据产生的价值越来越大,使安全成为了用户真正的刚需,想把数据真正地用起来,就一定要考虑安全问题。无论是运营商、银行、政府等各行各业,现在对于数据安全都是非常重视。

再说技术。数据由人类活动产生的,在虚拟世界里存放,对于数据的保护、承载和使用是一些IT技术问题,包括数据的识别、使用、交换、共享等。

在这些场景和活动上对数据提供相应的保护工作,需要很强的技术门槛和创新能力。比如说做纯粹的安全管理系统,可能看的是业务沉淀,但是数据安全场景多、需求多,要不断创新性的运用技术去解决各种各样的问题,做好数据的发展和保护之间的平衡。

从我多年做数据安全的经验来讲,我对数据安全市场的未来一直抱有信心,我也非常喜欢这个赛道,数据安全跟传统网络安全是有区别的,数据跟业务紧密结合在一起,应该成为用户基础和核心的系统——他是一种业务系统,不是一个纯粹的安全管理系统。

 数说安全 :当下法律法规和客户需求之间的耦合度如何?

何晋昊:在客户的感受上,前些年(10年前)大概是无法可循无规可依的状态,后面又变成了法太多规太多,这是一个必然的发展过程。我在通读完相关法律法规之后认为要求都是合理的,确实是在解决数据发展中的关键问题。“数安法”是框架,“个保法”是红线,“网络安全法”是基础和保障。每个行业来也有大量行业级的法规和条例,这是一个自上而下构建的法规体系。

数据安全未来法律法规建设体系的特点是,每个行业有自己真正可以落地的标准和法规体系,各行业用户执行对应行业相关的规定,这个事情需要长时间的努力去做。在实际落地过程中,我认为金融行业法规的构建落地是比较迅速的。安华金和也参与了很多数据安全国家标准和行业标准等规范的制定。

产品堆叠无疗效,

数据安全治理怎么解决问题

 数说安全 :何总,近期安华金和发布了《数据安全治理白皮书4.0》,数据安全治理的思路与从前的数据安全产品堆叠相比有哪些明显的升级之处?

何晋昊数据安全治理(DSG)是Gartner提出的,安华金和最先开始在国内引入,数据安全治理不是凭空发明创造出的, 是数据拥有者或数据管理者自己发现,光靠堆叠简单的产品是没有办法实现“数据的保护利用”效果。

例如客户采购了一个数据库的审计设备,过段时间就会发现无法持续下去。为什么?因为数据库里面的一些策略配置根据业务的变化要进行不断调整,数据库每天都在发生新的变化,比如一个新上线的业务系统就会生成一个新的数据库,有对应新的人来使用这个数据库,新使用者和旧使用者的业务角色不同,对于数据的用法和分类分级机制也不同……所以如果你把数据库审计当成防火墙一样,只是根据网络结构配上一堆策略是不行的,审计类的设备要想用好并达到长期效果,就要不断去进行运维和管理。

对于用户行业级的主管部门而言也有这个问题,行业在快速变化,每年各种各样的分类分级策略的框架和规则要不断去检查和更新,不能按照一个技术清单式地检查来做,要持续进行更新和评估。哪怕同样是银行的业务场景,工商银行和交通银行内部系统结构就不同,使用人员的业务也有区别,可能是80%和20%的区别,八成是共性,二成是特色。

同样监管层也面临这个问题,监管不是简单的评估技术合规,而是在监管“管理合规”和“运营合规”,而且这个过程是动态的。

所以无论从用户使用层、行业主管层还是监管层,数据安全这面里的问题都是“动态监管”、“动态维护”、“动态管理”。技术上的check list做不了这个事情,它必须是运营+管理+评估的体系,才能把数据安全运行起来,才能看到效果。

实际上这就是数据安全治理的核心框架,以【技术】为底座,强调对数据安全进行【管理】和常态化的【运营】,还有我们提出的【评估】——数据安全的本质是自评加外评构造起来的整体的合规体系。

简单堆叠安全设备对于用户来说是很痛苦的,买了一堆设备,如果不每天维护,没有统一的管理,并不产生疗效。

服务模块化,帮用户找好切入点,

快速实践快速见效

 数说安全 :数据安全治理方案定制化的情况会更多吗?

 何晋昊 在实际工作当中我们首先认为数据安全治理方案是一个比较庞大的系统,是一种认识论和方法论。在这个基础上会为用户去做入门级的简化,找一个适合客户的切入点,这么一个复杂的系统,实际上需要跟用户的实际情况结合到一起,包括预算问题,时间问题等。

不同的客户切入点不一样,但无论从哪个口子入,最终的目标都是要完成数据安全的治理体系,把数据保护真正的效果做起来。

比如安华金和强调产品的平台化,产品之间以数据为核心进行联动,帮助客户找到一个好的切入点,然后通过类似于拼图的方式,把用户数据安全治理的框架逐渐拼出来。我们的服务方案强调快速实践和快速落地,帮助用户入门并且快速见到效果,然后慢慢的把复杂的体系建立起来。

我们把技术管理、运营评估做成模块化、产品化和标准化的一块块拼图,最终拼成的整体框架。安华金和现在强调的是由标品提供商变成解决方案提供商,这是我们经过大量实践总结出的最优的把数据安全治理落地到客户业务中的方式。

数据安全治理的核心特点:

在变化中实现合规

 数说安全 :用户引入了数据安全治理之后,是不是就不用担心数据安全问题了?就可以不用采购其他数据安全产品了吗?

 何晋昊 这个问题从数据安全的角度上来看有点绝对。

数据安全治理是一个动态发展的过程,它对用户的价值主要体现在帮助用户在变化中实现合规。在数据安全领域,政策、法律法规体系正在一个快速建设的过程中;用户的业务和数据的种类和数量也在快速的变化中;相关的技术也是在快速的变化中;唯一不变的就是“变化”,所以数据安全治理体系的核心特点就是应对变化。

对于用户来说,一旦走上了数据安全治理的道路,就要一直走下去,只要他的单位还在生命周期里,就要去应对变化和挑战。数据安全在我们国内也并不单单是一个合规的问题了,而是合法、合规、合理的新趋势。所以数据安全靠一个东西就想达到一个上限,我认为是不可能的,它一定是越来越深入,越来越复杂,越来越有意思的一件事儿。

金融、运营商、企业、政府

数据安全需求活跃

 数说安全 :哪些行业的客户对数据安全治理的需求是最强烈的?

 何晋昊 首先一定是金融行业。金融行业现在在做的事情是金融科技,其核心强调的是金融服务能力的开放与共享,底座其实就是金融数据的开放与共享,该行业用户对数据安全高度重视,而且推动的非常快。无论是银行类客户,还是非银客户,类似券商、基金、保险等,对数据安全目前的需求都非常的活跃。

第二就是运营商,运营商体系也是高度重视数据安全的。

第三就是各种各样的企业,咱们国家企业的品类太多了,就不一一来盘了,工信部对企业的数据安全管理非常的重视。对于企业用户自己来说,数据是他自己的生产资料,承载了他的核心价值,是维持竞争力的一个保障,所以企业客户也是需求非常强的客户种类。

上面三个行业的客户我认为是非常积极和主动地在做数据安全,其他行业目前也是遍地开花的趋势,实际上目前国内的情况是所有行业都在考虑数据安全,包括政府,大家都很重视这个问题。

银行客户和企业客户,

做数据安全有什么明显不同?

 数说安全 :安华金和平时做的最多的是金融行业吗?

 何晋昊 我们主要是金融、企业、还有政府。

安华金和一直以来坚持技术创新,我们的产品在很多行业客户的数据安全建设工作中都成为了标配,大家都非常认可这个品牌。金融、企业是我们做的最多的领域,还有一部分是政府行业。

 数说安全 :在具体的实践中,安华金和也做过很多案例了,能否举例给大家介绍一下不同行业做数据安全的侧重点有什么不同?

 何晋昊 先以银行客户为例。

首先,除了三法三条例体系之外,银行的行业规范体系比较完整,行业数据安全遵从性比较强,基本都是按照行规来构思的。

第二银行业IT基础和人员素质比较高,银行用户非常清晰自己用数据安全产品要达到什么样的效果。

第三,银行用户实际上对咨询类服务要求很高,一旦开始着手做数据安全的建设,用户希望的是长期的合作和服务,更加注重建立治理体系。所以银行用户更强调规划,强调落地,强调服务,强调治理跟规范的匹配程度,这是银行业做数据安全的特点。

那么我们再看下企业类用户。

其实企业这个维度太宏观了,企业属于一种组织类型,里面分为很多行业。制造业也好,电网也好,互联网也好业务数据是完全不同的。所以企业的问题主要是缺乏明确的行业规范体系,现在工信部也在做,但我觉得这会是一个工作量非常大的工程。

我们在做企业客户的时候强调的就是要想办法帮助企业客户快速见效果,然后一步步做升级。比如企业可以从个人信息入手,这个比较能够形成共识;那么比较大的分类分级可能就不是企业用户优先要处理的问题,但银行客户可能上来就要优先做相应的分类分级。

数据安全治理如何落地?

明确建设目标,找好切入点

 数说安全 :您刚才提到银行业客户对自己数据安全治理目标非常清的,您是否可以给一些想要做数据安全治理的客户描绘一下,数据安全治理要相对治理到一个什么样的程度算是基本治理成功了,他们的目标应该是怎么样的?

 何晋昊 数据安全治理到什么程度OK?不同的行业,不同的阶段有一定的区别,我分阶段来总体来总结一下。

数据安全治理初级阶段目标:

首先,技术体系:核心的管理手段跟技术能力要匹配,不能纸上谈兵。比如你制定了一个管理动作,你的技术体系一定要能支撑住。

第二,评估体系:评估体系要能够自动化,就是通过相应的布置,包括探针、平台等手段,形成自动化的评估体系。

第三,管理体系:管理体系与评估体系之间需要联动,管理体系的制定与更新,要可以根据评估的结果来进行不断地优化。

第四,运营体系:技术体系至少要实现平台化,除了能力化之外,要有一个平台统一地去维护这些能力,依靠这个平台来支撑评估和管理体系。

我觉得这四点做完就可以叫完成了数据安全治理的初级阶段,接下来的中高级阶段实际上就是不断地去加强,去优化和提升它,不断地去做好运营。

实际操作中用户可先把业务分为核心业务、重要业务、一般业务;先从核心业务开始做初级阶段的建设,后续中高级阶段就可以不断地扩张到重要业务和普通业务;或者选择一个网络域先来做,比如生产网络,办公网络或者开发测试网。我觉得数据安全治理体系听起来非常复杂,但选好落地点之后,可以先在一个域里达到我刚才讲的4个目标,4部分再联动起来,可以叫数据安全治理体系的成功落地。

安华金和在数据安全治理方面的优势是什么?

 数说安全 :安华金和在数据安全治理上有什么特点和亮点,有什么差异性可以让客户一下从万花丛中选择到我们。

 何晋昊 第一,安华金和对数据安全的理解是比较深刻和先进的,从我们今年更新的slogan可以看出“让数据使用自由而安全”。这种理解对客户来说很有吸引力,作为供应商,我们带给用户的观点应该首先是相对客观和公允的,数据的价值在于流动,认识统一了之后,后续的行动步骤才能做到有序,否则认知错误后续的东西可能就都偏了。

第二,安华金和具备非常强的产品能力,我们在业界10多年以来一直做数据安全,在数据库应用的领域的产品能力具备绝对优势,刚刚我们也讨论到数据安全治理体系的核心基础就是各种安全能力,所以一定要具备很强的技术和产品能力才可以真正帮助客户做好治理。我们2020和2021连续两年都是Gartner的Market Guide for Data Masking(数据脱敏市场指南)中唯一的中国数据安全企业,今年我们也是入选了Gartner中国数据安全代表厂商名录。这都是研究机构对我们的一些认可。

第三,安华金和非常强调服务精神和实施能力,刚刚也为大家介绍了很多案例,我们的服务能力和动手能力很强,这对做数据安全很重要。客户的数据和业务是紧密耦合的,变化非常快,如果在这个过程中缺乏服务精神和落地能力,很多项目会非常难做。我们有很多大银行客户,会不停根据银行业务的发展和变化更新我们的服务体系,本身银行对供应商服务能力的要求就很高,如果某家企业做了很多银行的客户,理论上就可以判断它的服务能力是很有保障的。我们也有完善的内部培训机制,保障我们能够持续地保持我们的服务能力。

给客户的建议

 数说安全 :您可以给想做数据安全治理的客户一些建议吗?

 何晋昊 结合我们之前发现的用户数据安全落地的难点,我提出几点。

第一,思想共识。用户真的要先想一想什么是数据安全,它跟传统的安全思想是有很大不同的。数据安全的意义和价值是什么?数据安全到底是做什么,解决什么问题?数据安全法其实上来就告诉我们了,数据的发展利用与安全保护叫数据安全。

在和客户交流的过程中,很多问题来源于这点,客户经常问,怎么才能合规?来就让我列个类似的清单。咱们的正本清源,客户意识上得弄明白什么是数据安全,指望让我们上几个设备就把这事儿搞定,我认为这是不可能的。

思想上的转变是需要一个过程的,也不是和用户聊几次就可以了,很多情况下需要在实战的过程中慢慢渗透给客户。

第二,用户要考虑配套的组织机构和编制,数据安全治理需要一个“高级领导”的挂帅,数据安全本身是跨业务的,一定需要整合。我们见到很多案例,做的不错的客户往往都是一把手亲自在推进这个工作,他能把各个业务部门协调起来,我觉得这个也很重要。

第三,也是我特别想跟客户讲的,数据安全这事儿一定要认识到它的长期性和复杂性,它不是能一蹴而就的。我们帮助客户做建设的时候,要做好“建设”和“疗效”之间的平衡,既不可能上来就做成,你也不能说是三年以后才能见成效,那这事儿也是做不成。

第四,数据安全治理体系在技术和结构上的考虑需要慎重,不是说听起来很新,很先进的东西就能好用,不能太激进或者太冒险了,要审慎的选择新技术,考虑到新技术和客户本身技术能力的组合。

先说上面四点,安华金和跟客户的交流非常真诚,我们不吹不黑,明确地告诉客户存在的问题和困难,然后组织一套方法来帮助客户渡过困难。适合用户的路子,才是好路子。

(2022.6.30 数说安全报道)

数据安全
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接