數(shù)據(jù)安全治理是近期的熱詞����,具備非常活躍的市場需求�����。安華金和副總裁何晉昊是數(shù)據(jù)安全治理落地方面的專家���,他具備非常豐厚的技術(shù)和實踐經(jīng)驗��,今天我們邀請到了何總��,他慷慨地將數(shù)據(jù)安全治理的一些落地經(jīng)驗�����,以及各行業(yè)客戶不同實施特點(diǎn)分享給了我們����。
何晉昊,安華金和副總裁兼工程技術(shù)中心總經(jīng)理���,擁有15年以上信息安全技術(shù)從業(yè)經(jīng)驗,曾歷任數(shù)據(jù)安全頭部企業(yè)技術(shù)服務(wù)中心總經(jīng)理���、副總裁等職務(wù)�,主要負(fù)責(zé)核心產(chǎn)品研發(fā)�����、重大項目交付����、咨詢服務(wù)和行業(yè)標(biāo)準(zhǔn)制定等工作,對數(shù)據(jù)安全領(lǐng)域有著開闊的市場前瞻思維���,技術(shù)服務(wù)及相關(guān)實踐落地經(jīng)驗豐富��。
數(shù)據(jù)安全為何火���?
國家推動數(shù)據(jù)流通市場態(tài)度堅決
數(shù)說安全 :何總好�����。當(dāng)下數(shù)據(jù)安全市場非?��;?��,未來市場空間比較大����,安全行業(yè)的投資人也非常看好����。您認(rèn)為數(shù)據(jù)安全政策驅(qū)動還是需求驅(qū)動、還是產(chǎn)品技術(shù)驅(qū)動���?
何晉昊 :三方面的驅(qū)動都存在�,政策和需求主要驅(qū)動的是用戶側(cè)���,產(chǎn)品技術(shù)主要驅(qū)動的是供給側(cè)�。
政策首先是國家戰(zhàn)略層面上的考慮�,在數(shù)據(jù)作為生產(chǎn)要素進(jìn)行市場化配置的過程中�,政策指導(dǎo)是供給側(cè)改革的一個最重要的支柱�。
“數(shù)據(jù)的流通、利用和發(fā)展”被作為一個市場提出�,國家要推動這個市場的建設(shè)必須要考慮安全問題,東數(shù)西算��、各地在建的數(shù)據(jù)交易市場……在這些背景之下�,“數(shù)安法”、“個保法”�����、“網(wǎng)絡(luò)安全法”三駕馬車陸續(xù)出臺�����。數(shù)據(jù)安全法為數(shù)據(jù)市場的構(gòu)成搭建了規(guī)則和框架���,它是一個非常頂層的法律,網(wǎng)信辦在這基礎(chǔ)上出臺了相關(guān)條例�。此后,監(jiān)管單位���、評估機(jī)構(gòu)�、廠商各自都有要承擔(dān)的責(zé)任。
數(shù)安法和個保法從立法��、草案征求意見到實施非?���?欤瑑H3年的時間����,可以見得國家在推動數(shù)據(jù)流通市場的發(fā)展上意志非常堅決, 這就叫大勢所趨�����。我覺得這是市場很熱����,投資人非常看好的一個根本原因����。
發(fā)揮數(shù)據(jù)價值已是核心剛需,
數(shù)據(jù)安全需求活躍
何晉昊 :當(dāng)然用戶也非常重視��,數(shù)據(jù)的價值在用戶層已經(jīng)達(dá)成共識。
數(shù)據(jù)是一種最為奇特的生產(chǎn)要素�����,它沒有實體�����,就是一串比特��,一串0101���,用戶最先需要知道的是我有哪些數(shù)據(jù)�����?然后要考慮怎么使用它。數(shù)據(jù)產(chǎn)生的價值越來越大���,使安全成為了用戶真正的剛需���,想把數(shù)據(jù)真正地用起來,就一定要考慮安全問題��。無論是運(yùn)營商�����、銀行、政府等各行各業(yè)���,現(xiàn)在對于數(shù)據(jù)安全都是非常重視����。
再說技術(shù)����。數(shù)據(jù)由人類活動產(chǎn)生的,在虛擬世界里存放�,對于數(shù)據(jù)的保護(hù)、承載和使用是一些IT技術(shù)問題�����,包括數(shù)據(jù)的識別�、使用、交換�����、共享等。
在這些場景和活動上對數(shù)據(jù)提供相應(yīng)的保護(hù)工作��,需要很強(qiáng)的技術(shù)門檻和創(chuàng)新能力��。比如說做純粹的安全管理系統(tǒng)����,可能看的是業(yè)務(wù)沉淀,但是數(shù)據(jù)安全場景多����、需求多,要不斷創(chuàng)新性的運(yùn)用技術(shù)去解決各種各樣的問題���,做好數(shù)據(jù)的發(fā)展和保護(hù)之間的平衡����。
從我多年做數(shù)據(jù)安全的經(jīng)驗來講�,我對數(shù)據(jù)安全市場的未來一直抱有信心�,我也非常喜歡這個賽道,數(shù)據(jù)安全跟傳統(tǒng)網(wǎng)絡(luò)安全是有區(qū)別的�,數(shù)據(jù)跟業(yè)務(wù)緊密結(jié)合在一起,應(yīng)該成為用戶基礎(chǔ)和核心的系統(tǒng)——他是一種業(yè)務(wù)系統(tǒng)��,不是一個純粹的安全管理系統(tǒng)。
數(shù)說安全 :當(dāng)下法律法規(guī)和客戶需求之間的耦合度如何����?
何晉昊:在客戶的感受上,前些年(10年前)大概是無法可循無規(guī)可依的狀態(tài)���,后面又變成了法太多規(guī)太多���,這是一個必然的發(fā)展過程。我在通讀完相關(guān)法律法規(guī)之后認(rèn)為要求都是合理的�����,確實是在解決數(shù)據(jù)發(fā)展中的關(guān)鍵問題����。“數(shù)安法”是框架,“個保法”是紅線���,“網(wǎng)絡(luò)安全法”是基礎(chǔ)和保障�����。每個行業(yè)來也有大量行業(yè)級的法規(guī)和條例����,這是一個自上而下構(gòu)建的法規(guī)體系。
數(shù)據(jù)安全未來法律法規(guī)建設(shè)體系的特點(diǎn)是�����,每個行業(yè)有自己真正可以落地的標(biāo)準(zhǔn)和法規(guī)體系����,各行業(yè)用戶執(zhí)行對應(yīng)行業(yè)相關(guān)的規(guī)定,這個事情需要長時間的努力去做�����。在實際落地過程中���,我認(rèn)為金融行業(yè)法規(guī)的構(gòu)建落地是比較迅速的��。安華金和也參與了很多數(shù)據(jù)安全國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)等規(guī)范的制定��。
產(chǎn)品堆疊無療效�����,
數(shù)據(jù)安全治理怎么解決問題
數(shù)說安全 :何總�����,近期安華金和發(fā)布了《數(shù)據(jù)安全治理白皮書4.0》�����,數(shù)據(jù)安全治理的思路與從前的數(shù)據(jù)安全產(chǎn)品堆疊相比有哪些明顯的升級之處�?
何晉昊:數(shù)據(jù)安全治理(DSG)是Gartner提出的���,安華金和最先開始在國內(nèi)引入����,數(shù)據(jù)安全治理不是憑空發(fā)明創(chuàng)造出的���, 是數(shù)據(jù)擁有者或數(shù)據(jù)管理者自己發(fā)現(xiàn)��,光靠堆疊簡單的產(chǎn)品是沒有辦法實現(xiàn)“數(shù)據(jù)的保護(hù)利用”效果���。
例如客戶采購了一個數(shù)據(jù)庫的審計設(shè)備,過段時間就會發(fā)現(xiàn)無法持續(xù)下去�����。為什么?因為數(shù)據(jù)庫里面的一些策略配置根據(jù)業(yè)務(wù)的變化要進(jìn)行不斷調(diào)整���,數(shù)據(jù)庫每天都在發(fā)生新的變化�����,比如一個新上線的業(yè)務(wù)系統(tǒng)就會生成一個新的數(shù)據(jù)庫���,有對應(yīng)新的人來使用這個數(shù)據(jù)庫,新使用者和舊使用者的業(yè)務(wù)角色不同����,對于數(shù)據(jù)的用法和分類分級機(jī)制也不同……所以如果你把數(shù)據(jù)庫審計當(dāng)成防火墻一樣,只是根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)配上一堆策略是不行的���,審計類的設(shè)備要想用好并達(dá)到長期效果����,就要不斷去進(jìn)行運(yùn)維和管理�����。
對于用戶行業(yè)級的主管部門而言也有這個問題���,行業(yè)在快速變化���,每年各種各樣的分類分級策略的框架和規(guī)則要不斷去檢查和更新,不能按照一個技術(shù)清單式地檢查來做��,要持續(xù)進(jìn)行更新和評估���。哪怕同樣是銀行的業(yè)務(wù)場景���,工商銀行和交通銀行內(nèi)部系統(tǒng)結(jié)構(gòu)就不同,使用人員的業(yè)務(wù)也有區(qū)別��,可能是80%和20%的區(qū)別�����,八成是共性����,二成是特色。
同樣監(jiān)管層也面臨這個問題��,監(jiān)管不是簡單的評估技術(shù)合規(guī)�����,而是在監(jiān)管“管理合規(guī)”和“運(yùn)營合規(guī)”,而且這個過程是動態(tài)的����。
所以無論從用戶使用層、行業(yè)主管層還是監(jiān)管層��,數(shù)據(jù)安全這面里的問題都是“動態(tài)監(jiān)管”�、“動態(tài)維護(hù)”、“動態(tài)管理”����。技術(shù)上的check list做不了這個事情,它必須是運(yùn)營+管理+評估的體系���,才能把數(shù)據(jù)安全運(yùn)行起來��,才能看到效果����。
實際上這就是數(shù)據(jù)安全治理的核心框架��,以【技術(shù)】為底座,強(qiáng)調(diào)對數(shù)據(jù)安全進(jìn)行【管理】和常態(tài)化的【運(yùn)營】����,還有我們提出的【評估】——數(shù)據(jù)安全的本質(zhì)是自評加外評構(gòu)造起來的整體的合規(guī)體系。
簡單堆疊安全設(shè)備對于用戶來說是很痛苦的����,買了一堆設(shè)備�����,如果不每天維護(hù)���,沒有統(tǒng)一的管理���,并不產(chǎn)生療效。
服務(wù)模塊化���,幫用戶找好切入點(diǎn)�,
快速實踐快速見效
數(shù)說安全 :數(shù)據(jù)安全治理方案定制化的情況會更多嗎���?
何晉昊 :在實際工作當(dāng)中我們首先認(rèn)為數(shù)據(jù)安全治理方案是一個比較龐大的系統(tǒng)�����,是一種認(rèn)識論和方法論�。在這個基礎(chǔ)上會為用戶去做入門級的簡化,找一個適合客戶的切入點(diǎn)����,這么一個復(fù)雜的系統(tǒng),實際上需要跟用戶的實際情況結(jié)合到一起�����,包括預(yù)算問題���,時間問題等�����。
不同的客戶切入點(diǎn)不一樣��,但無論從哪個口子入����,最終的目標(biāo)都是要完成數(shù)據(jù)安全的治理體系��,把數(shù)據(jù)保護(hù)真正的效果做起來。
比如安華金和強(qiáng)調(diào)產(chǎn)品的平臺化���,產(chǎn)品之間以數(shù)據(jù)為核心進(jìn)行聯(lián)動����,幫助客戶找到一個好的切入點(diǎn)����,然后通過類似于拼圖的方式,把用戶數(shù)據(jù)安全治理的框架逐漸拼出來���。我們的服務(wù)方案強(qiáng)調(diào)快速實踐和快速落地,幫助用戶入門并且快速見到效果���,然后慢慢的把復(fù)雜的體系建立起來��。
我們把技術(shù)管理���、運(yùn)營評估做成模塊化、產(chǎn)品化和標(biāo)準(zhǔn)化的一塊塊拼圖��,最終拼成的整體框架��。安華金和現(xiàn)在強(qiáng)調(diào)的是由標(biāo)品提供商變成解決方案提供商,這是我們經(jīng)過大量實踐總結(jié)出的最優(yōu)的把數(shù)據(jù)安全治理落地到客戶業(yè)務(wù)中的方式�。
數(shù)據(jù)安全治理的核心特點(diǎn):
在變化中實現(xiàn)合規(guī)
數(shù)說安全 :用戶引入了數(shù)據(jù)安全治理之后,是不是就不用擔(dān)心數(shù)據(jù)安全問題了���?就可以不用采購其他數(shù)據(jù)安全產(chǎn)品了嗎����?
何晉昊 :這個問題從數(shù)據(jù)安全的角度上來看有點(diǎn)絕對�����。
數(shù)據(jù)安全治理是一個動態(tài)發(fā)展的過程�,它對用戶的價值主要體現(xiàn)在幫助用戶在變化中實現(xiàn)合規(guī)。在數(shù)據(jù)安全領(lǐng)域��,政策��、法律法規(guī)體系正在一個快速建設(shè)的過程中�;用戶的業(yè)務(wù)和數(shù)據(jù)的種類和數(shù)量也在快速的變化中;相關(guān)的技術(shù)也是在快速的變化中����;唯一不變的就是“變化”,所以數(shù)據(jù)安全治理體系的核心特點(diǎn)就是應(yīng)對變化�。
對于用戶來說���,一旦走上了數(shù)據(jù)安全治理的道路,就要一直走下去�����,只要他的單位還在生命周期里�,就要去應(yīng)對變化和挑戰(zhàn)。數(shù)據(jù)安全在我們國內(nèi)也并不單單是一個合規(guī)的問題了���,而是合法��、合規(guī)����、合理的新趨勢�。所以數(shù)據(jù)安全靠一個東西就想達(dá)到一個上限��,我認(rèn)為是不可能的��,它一定是越來越深入��,越來越復(fù)雜�����,越來越有意思的一件事兒。
金融�����、運(yùn)營商�����、企業(yè)�、政府
數(shù)據(jù)安全需求活躍
數(shù)說安全 :哪些行業(yè)的客戶對數(shù)據(jù)安全治理的需求是最強(qiáng)烈的?
何晉昊 :首先一定是金融行業(yè)���。金融行業(yè)現(xiàn)在在做的事情是金融科技�,其核心強(qiáng)調(diào)的是金融服務(wù)能力的開放與共享�,底座其實就是金融數(shù)據(jù)的開放與共享,該行業(yè)用戶對數(shù)據(jù)安全高度重視�����,而且推動的非?��??。無論是銀行類客戶,還是非銀客戶�,類似券商、基金�、保險等,對數(shù)據(jù)安全目前的需求都非常的活躍�。
第二就是運(yùn)營商,運(yùn)營商體系也是高度重視數(shù)據(jù)安全的���。
第三就是各種各樣的企業(yè)�,咱們國家企業(yè)的品類太多了�����,就不一一來盤了�,工信部對企業(yè)的數(shù)據(jù)安全管理非常的重視。對于企業(yè)用戶自己來說��,數(shù)據(jù)是他自己的生產(chǎn)資料�����,承載了他的核心價值�,是維持競爭力的一個保障�,所以企業(yè)客戶也是需求非常強(qiáng)的客戶種類����。
上面三個行業(yè)的客戶我認(rèn)為是非常積極和主動地在做數(shù)據(jù)安全��,其他行業(yè)目前也是遍地開花的趨勢�,實際上目前國內(nèi)的情況是所有行業(yè)都在考慮數(shù)據(jù)安全,包括政府�����,大家都很重視這個問題��。
銀行客戶和企業(yè)客戶���,
做數(shù)據(jù)安全有什么明顯不同���?
數(shù)說安全 :安華金和平時做的最多的是金融行業(yè)嗎?
何晉昊 :我們主要是金融�����、企業(yè)��、還有政府���。
安華金和一直以來堅持技術(shù)創(chuàng)新���,我們的產(chǎn)品在很多行業(yè)客戶的數(shù)據(jù)安全建設(shè)工作中都成為了標(biāo)配���,大家都非常認(rèn)可這個品牌。金融����、企業(yè)是我們做的最多的領(lǐng)域,還有一部分是政府行業(yè)��。
數(shù)說安全 :在具體的實踐中�����,安華金和也做過很多案例了����,能否舉例給大家介紹一下不同行業(yè)做數(shù)據(jù)安全的側(cè)重點(diǎn)有什么不同?
<span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box
產(chǎn)品咨詢:4000 258 365 
