數(shù)據(jù)安全的核心問題是“動態(tài)監(jiān)管”、“動態(tài)維護(hù)”、“動態(tài)管理”。技術(shù)上的check list是做不了這個事情的,必須是運(yùn)營+管理+評估的體系,才能把數(shù)據(jù)安全運(yùn)行起來,才能看到效果。
數(shù)據(jù)安全治理服務(wù)方案要快速實踐和落地,幫助用戶簡單入門并且快速見到效果,然后慢慢把復(fù)雜的體系建立起來。
數(shù)據(jù)安全治理的核心框架,以【技術(shù)】為底座,強(qiáng)調(diào)對數(shù)據(jù)安全進(jìn)行【管理】和常態(tài)化的【運(yùn)營】,還有我們在《數(shù)據(jù)安全治理白皮書4.0》中提出的【評估】——數(shù)據(jù)安全的本質(zhì)是自評加外評構(gòu)造起來的整體的合規(guī)體系。
數(shù)據(jù)安全治理到什么程度是OK的?不同的行業(yè),不同的階段有一定的區(qū)別,技術(shù)體系、管理體系、評估體系、運(yùn)營體系四方面做好了,基本就完成了初級階段的任務(wù)。
數(shù)據(jù)安全在我們國內(nèi)也并不單單是一個合規(guī)的問題了,而是合法、合規(guī)、合理的新趨勢。
——安華金和副總裁何晉昊
何晉昊,安華金和副總裁兼工程技術(shù)中心總經(jīng)理,擁有15年以上信息安全技術(shù)從業(yè)經(jīng)驗,曾歷任數(shù)據(jù)安全頭部企業(yè)技術(shù)服務(wù)中心總經(jīng)理、副總裁等職務(wù),主要負(fù)責(zé)核心產(chǎn)品研發(fā)、重大項目交付、咨詢服務(wù)和行業(yè)標(biāo)準(zhǔn)制定等工作,對數(shù)據(jù)安全領(lǐng)域有著開闊的市場前瞻思維,技術(shù)服務(wù)及相關(guān)實踐落地經(jīng)驗豐富。
數(shù)據(jù)安全為何火?
國家推動數(shù)據(jù)流通市場態(tài)度堅決
數(shù)說安全 :何總好。當(dāng)下數(shù)據(jù)安全市場非?;?,未來市場空間比較大,安全行業(yè)的投資人也非常看好。您認(rèn)為數(shù)據(jù)安全政策驅(qū)動還是需求驅(qū)動、還是產(chǎn)品技術(shù)驅(qū)動?
何晉昊 :三方面的驅(qū)動都存在,政策和需求主要驅(qū)動的是用戶側(cè),產(chǎn)品技術(shù)主要驅(qū)動的是供給側(cè)。
政策首先是國家戰(zhàn)略層面上的考慮,在數(shù)據(jù)作為生產(chǎn)要素進(jìn)行市場化配置的過程中,政策指導(dǎo)是供給側(cè)改革的一個最重要的支柱。
“數(shù)據(jù)的流通、利用和發(fā)展”被作為一個市場提出,國家要推動這個市場的建設(shè)必須要考慮安全問題,東數(shù)西算、各地在建的數(shù)據(jù)交易市場……在這些背景之下,“數(shù)安法”、“個保法”、“網(wǎng)絡(luò)安全法”三駕馬車陸續(xù)出臺。數(shù)據(jù)安全法為數(shù)據(jù)市場的構(gòu)成搭建了規(guī)則和框架,它是一個非常頂層的法律,網(wǎng)信辦在這基礎(chǔ)上出臺了相關(guān)條例。此后,監(jiān)管單位、評估機(jī)構(gòu)、廠商各自都有要承擔(dān)的責(zé)任。
數(shù)安法和個保法從立法、草案征求意見到實施非??欤瑑H3年的時間,可以見得國家在推動數(shù)據(jù)流通市場的發(fā)展上意志非常堅決, 這就叫大勢所趨。我覺得這是市場很熱,投資人非常看好的一個根本原因。
發(fā)揮數(shù)據(jù)價值已是核心剛需,
數(shù)據(jù)安全需求活躍
何晉昊 :當(dāng)然用戶也非常重視,數(shù)據(jù)的價值在用戶層已經(jīng)達(dá)成共識。
數(shù)據(jù)是一種最為奇特的生產(chǎn)要素,它沒有實體,就是一串比特,一串0101,用戶最先需要知道的是我有哪些數(shù)據(jù)?然后要考慮怎么使用它。數(shù)據(jù)產(chǎn)生的價值越來越大,使安全成為了用戶真正的剛需,想把數(shù)據(jù)真正地用起來,就一定要考慮安全問題。無論是運(yùn)營商、銀行、政府等各行各業(yè),現(xiàn)在對于數(shù)據(jù)安全都是非常重視。
再說技術(shù)。數(shù)據(jù)由人類活動產(chǎn)生的,在虛擬世界里存放,對于數(shù)據(jù)的保護(hù)、承載和使用是一些IT技術(shù)問題,包括數(shù)據(jù)的識別、使用、交換、共享等。
在這些場景和活動上對數(shù)據(jù)提供相應(yīng)的保護(hù)工作,需要很強(qiáng)的技術(shù)門檻和創(chuàng)新能力。比如說做純粹的安全管理系統(tǒng),可能看的是業(yè)務(wù)沉淀,但是數(shù)據(jù)安全場景多、需求多,要不斷創(chuàng)新性的運(yùn)用技術(shù)去解決各種各樣的問題,做好數(shù)據(jù)的發(fā)展和保護(hù)之間的平衡。
從我多年做數(shù)據(jù)安全的經(jīng)驗來講,我對數(shù)據(jù)安全市場的未來一直抱有信心,我也非常喜歡這個賽道,數(shù)據(jù)安全跟傳統(tǒng)網(wǎng)絡(luò)安全是有區(qū)別的,數(shù)據(jù)跟業(yè)務(wù)緊密結(jié)合在一起,應(yīng)該成為用戶基礎(chǔ)和核心的系統(tǒng)——他是一種業(yè)務(wù)系統(tǒng),不是一個純粹的安全管理系統(tǒng)。
數(shù)說安全 :當(dāng)下法律法規(guī)和客戶需求之間的耦合度如何?
何晉昊:在客戶的感受上,前些年(10年前)大概是無法可循無規(guī)可依的狀態(tài),后面又變成了法太多規(guī)太多,這是一個必然的發(fā)展過程。我在通讀完相關(guān)法律法規(guī)之后認(rèn)為要求都是合理的,確實是在解決數(shù)據(jù)發(fā)展中的關(guān)鍵問題。“數(shù)安法”是框架,“個保法”是紅線,“網(wǎng)絡(luò)安全法”是基礎(chǔ)和保障。每個行業(yè)來也有大量行業(yè)級的法規(guī)和條例,這是一個自上而下構(gòu)建的法規(guī)體系。
數(shù)據(jù)安全未來法律法規(guī)建設(shè)體系的特點(diǎn)是,每個行業(yè)有自己真正可以落地的標(biāo)準(zhǔn)和法規(guī)體系,各行業(yè)用戶執(zhí)行對應(yīng)行業(yè)相關(guān)的規(guī)定,這個事情需要長時間的努力去做。在實際落地過程中,我認(rèn)為金融行業(yè)法規(guī)的構(gòu)建落地是比較迅速的。安華金和也參與了很多數(shù)據(jù)安全國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)等規(guī)范的制定。
產(chǎn)品堆疊無療效,
數(shù)據(jù)安全治理怎么解決問題
數(shù)說安全 :何總,近期安華金和發(fā)布了《數(shù)據(jù)安全治理白皮書4.0》,數(shù)據(jù)安全治理的思路與從前的數(shù)據(jù)安全產(chǎn)品堆疊相比有哪些明顯的升級之處?
何晉昊:數(shù)據(jù)安全治理(DSG)是Gartner提出的,安華金和最先開始在國內(nèi)引入,數(shù)據(jù)安全治理不是憑空發(fā)明創(chuàng)造出的, 是數(shù)據(jù)擁有者或數(shù)據(jù)管理者自己發(fā)現(xiàn),光靠堆疊簡單的產(chǎn)品是沒有辦法實現(xiàn)“數(shù)據(jù)的保護(hù)利用”效果。
例如客戶采購了一個數(shù)據(jù)庫的審計設(shè)備,過段時間就會發(fā)現(xiàn)無法持續(xù)下去。為什么?因為數(shù)據(jù)庫里面的一些策略配置根據(jù)業(yè)務(wù)的變化要進(jìn)行不斷調(diào)整,數(shù)據(jù)庫每天都在發(fā)生新的變化,比如一個新上線的業(yè)務(wù)系統(tǒng)就會生成一個新的數(shù)據(jù)庫,有對應(yīng)新的人來使用這個數(shù)據(jù)庫,新使用者和舊使用者的業(yè)務(wù)角色不同,對于數(shù)據(jù)的用法和分類分級機(jī)制也不同……所以如果你把數(shù)據(jù)庫審計當(dāng)成防火墻一樣,只是根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)配上一堆策略是不行的,審計類的設(shè)備要想用好并達(dá)到長期效果,就要不斷去進(jìn)行運(yùn)維和管理。
對于用戶行業(yè)級的主管部門而言也有這個問題,行業(yè)在快速變化,每年各種各樣的分類分級策略的框架和規(guī)則要不斷去檢查和更新,不能按照一個技術(shù)清單式地檢查來做,要持續(xù)進(jìn)行更新和評估。哪怕同樣是銀行的業(yè)務(wù)場景,工商銀行和交通銀行內(nèi)部系統(tǒng)結(jié)構(gòu)就不同,使用人員的業(yè)務(wù)也有區(qū)別,可能是80%和20%的區(qū)別,八成是共性,二成是特色。
同樣監(jiān)管層也面臨這個問題,監(jiān)管不是簡單的評估技術(shù)合規(guī),而是在監(jiān)管“管理合規(guī)”和“運(yùn)營合規(guī)”,而且這個過程是動態(tài)的。
所以無論從用戶使用層、行業(yè)主管層還是監(jiān)管層,數(shù)據(jù)安全這面里的問題都是“動態(tài)監(jiān)管”、“動態(tài)維護(hù)”、“動態(tài)管理”。技術(shù)上的check list做不了這個事情,它必須是運(yùn)營+管理+評估的體系,才能把數(shù)據(jù)安全運(yùn)行起來,才能看到效果。
實際上這就是數(shù)據(jù)安全治理的核心框架,以【技術(shù)】為底座,強(qiáng)調(diào)對數(shù)據(jù)安全進(jìn)行【管理】和常態(tài)化的【運(yùn)營】,還有我們提出的【評估】——數(shù)據(jù)安全的本質(zhì)是自評加外評構(gòu)造起來的整體的合規(guī)體系。
簡單堆疊安全設(shè)備對于用戶來說是很痛苦的,買了一堆設(shè)備,如果不每天維護(hù),沒有統(tǒng)一的管理,并不產(chǎn)生療效。
服務(wù)模塊化,幫用戶找好切入點(diǎn),
快速實踐快速見效
數(shù)說安全 :數(shù)據(jù)安全治理方案定制化的情況會更多嗎?
何晉昊 :在實際工作當(dāng)中我們首先認(rèn)為數(shù)據(jù)安全治理方案是一個比較龐大的系統(tǒng),是一種認(rèn)識論和方法論。在這個基礎(chǔ)上會為用戶去做入門級的簡化,找一個適合客戶的切入點(diǎn),這么一個復(fù)雜的系統(tǒng),實際上需要跟用戶的實際情況結(jié)合到一起,包括預(yù)算問題,時間問題等。
不同的客戶切入點(diǎn)不一樣,但無論從哪個口子入,最終的目標(biāo)都是要完成數(shù)據(jù)安全的治理體系,把數(shù)據(jù)保護(hù)真正的效果做起來。
比如安華金和強(qiáng)調(diào)產(chǎn)品的平臺化,產(chǎn)品之間以數(shù)據(jù)為核心進(jìn)行聯(lián)動,幫助客戶找到一個好的切入點(diǎn),然后通過類似于拼圖的方式,把用戶數(shù)據(jù)安全治理的框架逐漸拼出來。我們的服務(wù)方案強(qiáng)調(diào)快速實踐和快速落地,幫助用戶入門并且快速見到效果,然后慢慢的把復(fù)雜的體系建立起來。
我們把技術(shù)管理、運(yùn)營評估做成模塊化、產(chǎn)品化和標(biāo)準(zhǔn)化的一塊塊拼圖,最終拼成的整體框架。安華金和現(xiàn)在強(qiáng)調(diào)的是由標(biāo)品提供商變成解決方案提供商,這是我們經(jīng)過大量實踐總結(jié)出的最優(yōu)的把數(shù)據(jù)安全治理落地到客戶業(yè)務(wù)中的方式。
數(shù)據(jù)安全治理的核心特點(diǎn):
在變化中實現(xiàn)合規(guī)
數(shù)說安全 :用戶引入了數(shù)據(jù)安全治理之后,是不是就不用擔(dān)心數(shù)據(jù)安全問題了?就可以不用采購其他數(shù)據(jù)安全產(chǎn)品了嗎?
何晉昊 :這個問題從數(shù)據(jù)安全的角度上來看有點(diǎn)絕對。
數(shù)據(jù)安全治理是一個動態(tài)發(fā)展的過程,它對用戶的價值主要體現(xiàn)在幫助用戶在變化中實現(xiàn)合規(guī)。在數(shù)據(jù)安全領(lǐng)域,政策、法律法規(guī)體系正在一個快速建設(shè)的過程中;用戶的業(yè)務(wù)和數(shù)據(jù)的種類和數(shù)量也在快速的變化中;相關(guān)的技術(shù)也是在快速的變化中;唯一不變的就是“變化”,所以數(shù)據(jù)安全治理體系的核心特點(diǎn)就是應(yīng)對變化。
對于用戶來說,一旦走上了數(shù)據(jù)安全治理的道路,就要一直走下去,只要他的單位還在生命周期里,就要去應(yīng)對變化和挑戰(zhàn)。數(shù)據(jù)安全在我們國內(nèi)也并不單單是一個合規(guī)的問題了,而是合法、合規(guī)、合理的新趨勢。所以數(shù)據(jù)安全靠一個東西就想達(dá)到一個上限,我認(rèn)為是不可能的,它一定是越來越深入,越來越復(fù)雜,越來越有意思的一件事兒。
金融、運(yùn)營商、企業(yè)、政府
數(shù)據(jù)安全需求活躍
數(shù)說安全 :哪些行業(yè)的客戶對數(shù)據(jù)安全治理的需求是最強(qiáng)烈的?
何晉昊 :首先一定是金融行業(yè)。金融行業(yè)現(xiàn)在在做的事情是金融科技,其核心強(qiáng)調(diào)的是金融服務(wù)能力的開放與共享,底座其實就是金融數(shù)據(jù)的開放與共享,該行業(yè)用戶對數(shù)據(jù)安全高度重視,而且推動的非???。無論是銀行類客戶,還是非銀客戶,類似券商、基金、保險等,對數(shù)據(jù)安全目前的需求都非常的活躍。
第二就是運(yùn)營商,運(yùn)營商體系也是高度重視數(shù)據(jù)安全的。
第三就是各種各樣的企業(yè),咱們國家企業(yè)的品類太多了,就不一一來盤了,工信部對企業(yè)的數(shù)據(jù)安全管理非常的重視。對于企業(yè)用戶自己來說,數(shù)據(jù)是他自己的生產(chǎn)資料,承載了他的核心價值,是維持競爭力的一個保障,所以企業(yè)客戶也是需求非常強(qiáng)的客戶種類。
上面三個行業(yè)的客戶我認(rèn)為是非常積極和主動地在做數(shù)據(jù)安全,其他行業(yè)目前也是遍地開花的趨勢,實際上目前國內(nèi)的情況是所有行業(yè)都在考慮數(shù)據(jù)安全,包括政府,大家都很重視這個問題。
銀行客戶和企業(yè)客戶,
做數(shù)據(jù)安全有什么明顯不同?
數(shù)說安全 :安華金和平時做的最多的是金融行業(yè)嗎?
何晉昊 :我們主要是金融、企業(yè)、還有政府。
安華金和一直以來堅持技術(shù)創(chuàng)新,我們的產(chǎn)品在很多行業(yè)客戶的數(shù)據(jù)安全建設(shè)工作中都成為了標(biāo)配,大家都非常認(rèn)可這個品牌。金融、企業(yè)是我們做的最多的領(lǐng)域,還有一部分是政府行業(yè)。
數(shù)說安全 :在具體的實踐中,安華金和也做過很多案例了,能否舉例給大家介紹一下不同行業(yè)做數(shù)據(jù)安全的側(cè)重點(diǎn)有什么不同?
<span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box
電力數(shù)據(jù)安全的暴露面與針對性防護(hù)思路
CHIMA 2021 | 安華金和解讀醫(yī)療數(shù)據(jù)安全
直播|科學(xué)城·云推介:新技術(shù)+新產(chǎn)品+新服務(wù)
ISC 2021:安華金和深度參與,共建合作生態(tài)、共謀行業(yè)發(fā)展!
視頻回放 | 安華金和攜手愛數(shù)重磅發(fā)布副本數(shù)據(jù)脫敏方案
半年六榜 | 安華金和入選《2020年中國網(wǎng)絡(luò)安全市場全景圖》
安華金和數(shù)據(jù)庫安全實驗室再次發(fā)現(xiàn)Oracle數(shù)據(jù)庫重大漏洞
安華金和榮獲2020年度中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“優(yōu)秀會員單位”