GDPR來襲,其懲罰之嚴厲幾乎成為最吸睛的一個點���。不過���,大部分國內企業(yè)都大可不必心慌慌����,我們仔細研究GDPR所覆蓋的企業(yè)���、組織�、機構等對象會發(fā)現,這個史上最嚴法案���,其實和大多數中國企業(yè)都沒啥關系�����。
衡量GDPR和組織是否有關的首要原則——只要組織搜集和處理歐盟成員國的用戶的信息�����,就需要遵守GDPR�����。
實際上�����,國內的大多數企業(yè)并不會涉及�,因此��,先把國內的信息安全領域的法律法規(guī)消化好,比較重要�����。至于那些會受到GDPR影響的企業(yè)���,也大可不必如臨大敵����,因為像安華金和這樣的專業(yè)數據安全廠商�����,已經開始梳理法案條款����,投入相應的產品開發(fā),提出可供借鑒的應對建議和專業(yè)的解決方案�����。
在第二屆中國數據安全治理高峰論壇期間��,安華金和CTO楊海峰接受媒體獨家專訪�����,針對歐盟“一般數據保護條例”(GDPR)做出思路清晰的分析,并結合安華金和數據安全全線產品�����,以及基于方案積累所提出的“數據安全治理”框架��,提供了部分應對思路����。
一�、迎接GDPR時代,做好戰(zhàn)略布局
記者:
安華金和在數據安全領域已經耕耘多年����,能否請您談一談歐盟發(fā)布的“一般數據保護條例”(GDPR)和國內對數據安全法律法規(guī)或技術體系規(guī)范上有何不同?安華金和在數據安全領域有哪些戰(zhàn)略布局和計劃�����?
楊海峰:
安華金和是在2010年左右涉及數據安全��,在那個年代我們國內對數據安全領域起步比國外稍晚���,起步時間并不長�����,因為那個時候像傳統(tǒng)的數據庫廠商Oracle也才開始涉及數據安全這塊����,從那個時代之后,國外傳統(tǒng)的數據庫廠商逐步開始涉及數據安全��,這個時間要比國內早幾年��,像美國的數據庫廠商����,大多采用的是以色列技術,很多新的技術都是從以色列開始的�����,那么美國的廠商通過收購等手段獲得數據安全方面的領先技術���,數據安全概念的提出到應用大概在8-10年之間�。從數據安全的前沿技術來看�����,國外一直領先,從數據庫安全到大數據安全��,以及現在的云上數據安全�,這些方面美國比我們國內要先進很多,但是另一方面我們比歐洲的一些廠商要領先一些���。尤其GDPR法案出臺以后����,安華金和也有計劃去到歐洲開辟新興市場����,我們面對主要的競爭對手還是以美國公司為主����。
在國內做數據安全的廠商現在也有幾家,除了大家熟悉的幾個大型互聯網企業(yè)已經開始數據安全這項業(yè)務以外����,隨著數據資產的重要性以及云技術的發(fā)展,數據集中和數據價值不斷展現�����,數據安全越來越得到大家的關注,很多大企業(yè)也進入到數據安全這個業(yè)務領域�,與安華金和也會產生一定的競爭,但同時也催生了很多合作機會��,例如安華金和與阿里的合作�����,也是由于他們已經關注到這塊領域�。
安華金和隨著多年積累,從前期���、中期����、后期這三個圍度已經形成一套完整的數據安全產品線��,后續(xù)的產品線整合已經開始實施�����,包括這次峰會我們重點推的數據安全治理DSG理念,就是要把以前單一的產品��,融合成一套完整的從梳理到保護以及最后的態(tài)勢感知的數據安全解決方案提供給用戶����,這是我們目前的一個主要業(yè)務方向。單一產品解決不了的問題采取多維角度����,融合多個產品一起去解決用戶的數據安全問題。另一方面�����,隨著云技術的發(fā)展���,也會在云的場景下,包括和阿里云�����、騰迅云��、華為云等國內云平臺的廠商���,把我們的產品變得云化�����。
所謂云化����,不是簡單把產品變成適配云環(huán)境的一個產品,而是把產品的核心技術和云上的核心技術整合在一起��,就相當于一個土生土長的云下的數據安全產品�����,但這也面臨很多技術架構的重構和一些概念上的重新調整���,要適合云的環(huán)境�,適合云的多用戶的角度��,包括一些安全的SAAS化�,包括數據庫的審計、數據的脫敏���、數據庫防火墻……隨著與阿里云的深度合作����,我們會把它做成SAAS化的數據安全產品提供給用戶,這樣的好處就是成本會大幅降低�,覆蓋面會更大,中小用戶因此不用花很多錢��,就可以享用開箱即用的數據安全能力���,這是我們近期規(guī)劃����,也就是未來一兩年要做的事情�。
記者:
安華金和數據安全業(yè)務重點在哪幾個行業(yè)應用更多一些,特點是什么���?
楊海峰:
從行業(yè)的角度來說�,有數據的地方����,就有數據安全需求��,但是從重點行業(yè)和領域方面�����,一是金融,包括銀行��、證券�����、保險這三個重點領域���;二是能源�,主要是電力��、石油這兩個方向���;還有一個是社保和公積金這幾大塊的IT建設是做的比較早����,也相對先進�,其復雜度比較高,因此對數據安全的需求也非常高�。另外,還有一個新的領域�����,就是教育,每年教育的數據泄漏事件比較嚴肅�,像去年的徐玉玉事件,在社會上造成非常大的影響�����,目前教育領域對數據安全的需求關注度非常高�����,安華金華也在為教育行業(yè)提供完整的數據安全解決方案���,同時參與到方案的建設和規(guī)范編制以及后續(xù)培訓的工作中�。
二����、借鑒該借鑒的,分辨與國情不符的
記者:
GDPR從16年出臺�,我們從他們的法律里面得到哪些借鑒,與中國國情有哪些不太適用的地方����?
楊海峰:
GDPR法案最早是從歐洲的一個數據保護法案演變過來,專門針對個人隱私制定����,整個法案的要求非常高,因為這種高標準的要求���,不得不讓人思考新的技術和新的解決方案以滿足法案的要求��。通過對這個法案的理解���,結合我們國內產品未來的發(fā)展方向,能夠看到很多新的挑戰(zhàn)����。因此,我們會和Gartner去溝通���,吸收它對這個法案的理解����,反過來促進我們在產品特性和技術上往GDPR的要求上靠攏�����,這對我們做產品確實有一定的影響。GDPR對國內的一些標準和法律也產生了較大的影響�,包括現在我國的網絡安全法律,也能看到一些GDPR的影子�����,像“個人信息保護法草案”�,這里面的很多要求和GDPR存在很多關聯性,但是具體到實施和監(jiān)管�,以及對法案的解讀上還是會存在一定差異,畢竟國情不一樣��,那么在法案的實施和細節(jié)的解釋上也會有一定差異���。
三�����、數據安全治理框架下個人敏感信息保護思路
記者:
這兩年國內個人信息泄漏情況非常嚴重����,安華金和除了在云平臺以外�,其它業(yè)務方面有沒有規(guī)劃?
楊海峰:
我們會在重點行業(yè)和領域專門針對數據的分類分級和個人敏感信息的保護�,給客戶提供安全治理咨詢�。很多用戶會面臨個人隱私數據保護的需求���,甚至業(yè)務內重要的核心數據也需要進行防護,但目前面對的問題是���,用戶有可能都不清楚這些數據在哪�,甚至不知道這些系統(tǒng)中數據訪問的情況如何�,需要怎么樣去保護它,整體呈現不清晰的狀態(tài)��。那么����,我們就要幫助用戶進行梳理、評估�、咨詢,幫用戶理清整個數據的架構以及隱私數據在哪�����,使用情況是什么樣的�����,做到對自己數據狀況的深度了解,再為用戶提供一套重要數據的保護方案和措施����,同時加上配套的培訓、規(guī)范的制定����、組織架構的建議,從組織��、規(guī)范�、技術支撐、數據梳理�����、咨詢幾個方面幫助用戶把數據安全做好�。
記者:
安華金和產品線是如何劃分的?
楊海峰:
目前從最前端的數據庫漏掃���,到中間的數據庫防護層�,數據庫加密���、防火墻�����,數據庫的安全運維����;到再下一層��,數據梳理�����、數據庫的審計�、脫敏,包括現在正在做的數據庫水印����,新的產品會逐步加入進來,比如數據安全態(tài)勢感知產品���。態(tài)勢感知產品實際上是多個產品的整合�����,基于審計�����、數據梳理這兩個產品����,把數據拿出來,供態(tài)勢感知做數據分析��,然后對用戶使用數據的行為進行分析���,產生用戶行為分析的結果���,繼而將結果展現給用戶,使用戶明確現在數據使用狀況如何��,從而形成一個完整閉環(huán)的過程��。最終使用戶的數據安全建設達到理想結果�。
產品咨詢:4000 258 365 
