數(shù)據(jù)安全治理是近期的熱詞��,具備非?��;钴S的市場需求��。安華金和副總裁何晉昊是數(shù)據(jù)安全治理落地方面的專家����,他具備非常豐厚的技術(shù)和實踐經(jīng)驗���,今天我們邀請到了何總����,他慷慨地將數(shù)據(jù)安全治理的一些落地經(jīng)驗,以及各行業(yè)客戶不同實施特點分享給了我們�。
何晉昊,安華金和副總裁兼工程技術(shù)中心總經(jīng)理�,擁有15年以上信息安全技術(shù)從業(yè)經(jīng)驗,曾歷任數(shù)據(jù)安全頭部企業(yè)技術(shù)服務中心總經(jīng)理�、副總裁等職務�,主要負責核心產(chǎn)品研發(fā)、重大項目交付��、咨詢服務和行業(yè)標準制定等工作�,對數(shù)據(jù)安全領域有著開闊的市場前瞻思維,技術(shù)服務及相關(guān)實踐落地經(jīng)驗豐富���。
數(shù)據(jù)安全為何火��?
國家推動數(shù)據(jù)流通市場態(tài)度堅決
數(shù)說安全 :何總好��。當下數(shù)據(jù)安全市場非?�;?���,未來市場空間比較大,安全行業(yè)的投資人也非?��?春?。您認為數(shù)據(jù)安全政策驅(qū)動還是需求驅(qū)動�、還是產(chǎn)品技術(shù)驅(qū)動?
何晉昊 :三方面的驅(qū)動都存在��,政策和需求主要驅(qū)動的是用戶側(cè)�,產(chǎn)品技術(shù)主要驅(qū)動的是供給側(cè)。
政策首先是國家戰(zhàn)略層面上的考慮�����,在數(shù)據(jù)作為生產(chǎn)要素進行市場化配置的過程中��,政策指導是供給側(cè)改革的一個最重要的支柱�����。
“數(shù)據(jù)的流通�、利用和發(fā)展”被作為一個市場提出,國家要推動這個市場的建設必須要考慮安全問題���,東數(shù)西算���、各地在建的數(shù)據(jù)交易市場……在這些背景之下����,“數(shù)安法”���、“個保法”�、“網(wǎng)絡安全法”三駕馬車陸續(xù)出臺����。數(shù)據(jù)安全法為數(shù)據(jù)市場的構(gòu)成搭建了規(guī)則和框架,它是一個非常頂層的法律���,網(wǎng)信辦在這基礎上出臺了相關(guān)條例。此后����,監(jiān)管單位、評估機構(gòu)��、廠商各自都有要承擔的責任�����。
數(shù)安法和個保法從立法、草案征求意見到實施非??欤瑑H3年的時間���,可以見得國家在推動數(shù)據(jù)流通市場的發(fā)展上意志非常堅決�����, 這就叫大勢所趨���。我覺得這是市場很熱,投資人非?�?春玫囊粋€根本原因��。
發(fā)揮數(shù)據(jù)價值已是核心剛需���,
數(shù)據(jù)安全需求活躍
何晉昊 :當然用戶也非常重視����,數(shù)據(jù)的價值在用戶層已經(jīng)達成共識��。
數(shù)據(jù)是一種最為奇特的生產(chǎn)要素��,它沒有實體,就是一串比特���,一串0101���,用戶最先需要知道的是我有哪些數(shù)據(jù)?然后要考慮怎么使用它����。數(shù)據(jù)產(chǎn)生的價值越來越大,使安全成為了用戶真正的剛需���,想把數(shù)據(jù)真正地用起來����,就一定要考慮安全問題����。無論是運營商�����、銀行�����、政府等各行各業(yè),現(xiàn)在對于數(shù)據(jù)安全都是非常重視���。
再說技術(shù)��。數(shù)據(jù)由人類活動產(chǎn)生的�����,在虛擬世界里存放�����,對于數(shù)據(jù)的保護����、承載和使用是一些IT技術(shù)問題���,包括數(shù)據(jù)的識別���、使用、交換�����、共享等。
在這些場景和活動上對數(shù)據(jù)提供相應的保護工作�,需要很強的技術(shù)門檻和創(chuàng)新能力。比如說做純粹的安全管理系統(tǒng)���,可能看的是業(yè)務沉淀�,但是數(shù)據(jù)安全場景多�����、需求多��,要不斷創(chuàng)新性的運用技術(shù)去解決各種各樣的問題���,做好數(shù)據(jù)的發(fā)展和保護之間的平衡���。
從我多年做數(shù)據(jù)安全的經(jīng)驗來講,我對數(shù)據(jù)安全市場的未來一直抱有信心�����,我也非常喜歡這個賽道���,數(shù)據(jù)安全跟傳統(tǒng)網(wǎng)絡安全是有區(qū)別的���,數(shù)據(jù)跟業(yè)務緊密結(jié)合在一起,應該成為用戶基礎和核心的系統(tǒng)——他是一種業(yè)務系統(tǒng)��,不是一個純粹的安全管理系統(tǒng)��。
數(shù)說安全 :當下法律法規(guī)和客戶需求之間的耦合度如何����?
何晉昊:在客戶的感受上,前些年(10年前)大概是無法可循無規(guī)可依的狀態(tài)����,后面又變成了法太多規(guī)太多,這是一個必然的發(fā)展過程�。我在通讀完相關(guān)法律法規(guī)之后認為要求都是合理的,確實是在解決數(shù)據(jù)發(fā)展中的關(guān)鍵問題����。“數(shù)安法”是框架,“個保法”是紅線�,“網(wǎng)絡安全法”是基礎和保障。每個行業(yè)來也有大量行業(yè)級的法規(guī)和條例,這是一個自上而下構(gòu)建的法規(guī)體系��。
數(shù)據(jù)安全未來法律法規(guī)建設體系的特點是���,每個行業(yè)有自己真正可以落地的標準和法規(guī)體系�,各行業(yè)用戶執(zhí)行對應行業(yè)相關(guān)的規(guī)定��,這個事情需要長時間的努力去做����。在實際落地過程中,我認為金融行業(yè)法規(guī)的構(gòu)建落地是比較迅速的�。安華金和也參與了很多數(shù)據(jù)安全國家標準和行業(yè)標準等規(guī)范的制定。
產(chǎn)品堆疊無療效,
數(shù)據(jù)安全治理怎么解決問題
數(shù)說安全 :何總,近期安華金和發(fā)布了《數(shù)據(jù)安全治理白皮書4.0》�,數(shù)據(jù)安全治理的思路與從前的數(shù)據(jù)安全產(chǎn)品堆疊相比有哪些明顯的升級之處���?
何晉昊:數(shù)據(jù)安全治理(DSG)是Gartner提出的�����,安華金和最先開始在國內(nèi)引入����,數(shù)據(jù)安全治理不是憑空發(fā)明創(chuàng)造出的, 是數(shù)據(jù)擁有者或數(shù)據(jù)管理者自己發(fā)現(xiàn)�����,光靠堆疊簡單的產(chǎn)品是沒有辦法實現(xiàn)“數(shù)據(jù)的保護利用”效果�。
例如客戶采購了一個數(shù)據(jù)庫的審計設備��,過段時間就會發(fā)現(xiàn)無法持續(xù)下去���。為什么���?因為數(shù)據(jù)庫里面的一些策略配置根據(jù)業(yè)務的變化要進行不斷調(diào)整,數(shù)據(jù)庫每天都在發(fā)生新的變化�,比如一個新上線的業(yè)務系統(tǒng)就會生成一個新的數(shù)據(jù)庫,有對應新的人來使用這個數(shù)據(jù)庫����,新使用者和舊使用者的業(yè)務角色不同,對于數(shù)據(jù)的用法和分類分級機制也不同……所以如果你把數(shù)據(jù)庫審計當成防火墻一樣���,只是根據(jù)網(wǎng)絡結(jié)構(gòu)配上一堆策略是不行的���,審計類的設備要想用好并達到長期效果,就要不斷去進行運維和管理。
對于用戶行業(yè)級的主管部門而言也有這個問題���,行業(yè)在快速變化����,每年各種各樣的分類分級策略的框架和規(guī)則要不斷去檢查和更新�,不能按照一個技術(shù)清單式地檢查來做,要持續(xù)進行更新和評估�����。哪怕同樣是銀行的業(yè)務場景��,工商銀行和交通銀行內(nèi)部系統(tǒng)結(jié)構(gòu)就不同��,使用人員的業(yè)務也有區(qū)別����,可能是80%和20%的區(qū)別,八成是共性��,二成是特色��。
同樣監(jiān)管層也面臨這個問題��,監(jiān)管不是簡單的評估技術(shù)合規(guī),而是在監(jiān)管“管理合規(guī)”和“運營合規(guī)”�,而且這個過程是動態(tài)的。
所以無論從用戶使用層�、行業(yè)主管層還是監(jiān)管層,數(shù)據(jù)安全這面里的問題都是“動態(tài)監(jiān)管”���、“動態(tài)維護”、“動態(tài)管理”�����。技術(shù)上的check list做不了這個事情���,它必須是運營+管理+評估的體系�,才能把數(shù)據(jù)安全運行起來�,才能看到效果。
實際上這就是數(shù)據(jù)安全治理的核心框架��,以【技術(shù)】為底座�,強調(diào)對數(shù)據(jù)安全進行【管理】和常態(tài)化的【運營】,還有我們提出的【評估】——數(shù)據(jù)安全的本質(zhì)是自評加外評構(gòu)造起來的整體的合規(guī)體系�。
簡單堆疊安全設備對于用戶來說是很痛苦的,買了一堆設備�,如果不每天維護���,沒有統(tǒng)一的管理,并不產(chǎn)生療效����。
服務模塊化,幫用戶找好切入點��,
快速實踐快速見效
數(shù)說安全 :數(shù)據(jù)安全治理方案定制化的情況會更多嗎����?
何晉昊 :在實際工作當中我們首先認為數(shù)據(jù)安全治理方案是一個比較龐大的系統(tǒng),是一種認識論和方法論��。在這個基礎上會為用戶去做入門級的簡化��,找一個適合客戶的切入點�,這么一個復雜的系統(tǒng),實際上需要跟用戶的實際情況結(jié)合到一起�����,包括預算問題��,時間問題等�。
不同的客戶切入點不一樣�����,但無論從哪個口子入�,最終的目標都是要完成數(shù)據(jù)安全的治理體系��,把數(shù)據(jù)保護真正的效果做起來��。
比如安華金和強調(diào)產(chǎn)品的平臺化��,產(chǎn)品之間以數(shù)據(jù)為核心進行聯(lián)動�����,幫助客戶找到一個好的切入點�,然后通過類似于拼圖的方式��,把用戶數(shù)據(jù)安全治理的框架逐漸拼出來���。我們的服務方案強調(diào)快速實踐和快速落地��,幫助用戶入門并且快速見到效果�,然后慢慢的把復雜的體系建立起來�����。
我們把技術(shù)管理、運營評估做成模塊化�����、產(chǎn)品化和標準化的一塊塊拼圖�����,最終拼成的整體框架��。安華金和現(xiàn)在強調(diào)的是由標品提供商變成解決方案提供商�����,這是我們經(jīng)過大量實踐總結(jié)出的最優(yōu)的把數(shù)據(jù)安全治理落地到客戶業(yè)務中的方式�����。
數(shù)據(jù)安全治理的核心特點:
在變化中實現(xiàn)合規(guī)
數(shù)說安全 :用戶引入了數(shù)據(jù)安全治理之后���,是不是就不用擔心數(shù)據(jù)安全問題了�����?就可以不用采購其他數(shù)據(jù)安全產(chǎn)品了嗎�?
何晉昊 :這個問題從數(shù)據(jù)安全的角度上來看有點絕對。
數(shù)據(jù)安全治理是一個動態(tài)發(fā)展的過程�����,它對用戶的價值主要體現(xiàn)在幫助用戶在變化中實現(xiàn)合規(guī)����。在數(shù)據(jù)安全領域,政策�、法律法規(guī)體系正在一個快速建設的過程中;用戶的業(yè)務和數(shù)據(jù)的種類和數(shù)量也在快速的變化中�����;相關(guān)的技術(shù)也是在快速的變化中�;唯一不變的就是“變化”����,所以數(shù)據(jù)安全治理體系的核心特點就是應對變化。
對于用戶來說��,一旦走上了數(shù)據(jù)安全治理的道路���,就要一直走下去��,只要他的單位還在生命周期里��,就要去應對變化和挑戰(zhàn)����。數(shù)據(jù)安全在我們國內(nèi)也并不單單是一個合規(guī)的問題了,而是合法����、合規(guī)、合理的新趨勢�。所以數(shù)據(jù)安全靠一個東西就想達到一個上限,我認為是不可能的����,它一定是越來越深入,越來越復雜����,越來越有意思的一件事兒。
金融�����、運營商、企業(yè)���、政府
數(shù)據(jù)安全需求活躍
數(shù)說安全 :哪些行業(yè)的客戶對數(shù)據(jù)安全治理的需求是最強烈的����?
何晉昊 :首先一定是金融行業(yè)��。金融行業(yè)現(xiàn)在在做的事情是金融科技�,其核心強調(diào)的是金融服務能力的開放與共享,底座其實就是金融數(shù)據(jù)的開放與共享��,該行業(yè)用戶對數(shù)據(jù)安全高度重視���,而且推動的非???���。無論是銀行類客戶����,還是非銀客戶,類似券商、基金�、保險等,對數(shù)據(jù)安全目前的需求都非常的活躍�����。
第二就是運營商��,運營商體系也是高度重視數(shù)據(jù)安全的���。
第三就是各種各樣的企業(yè)�,咱們國家企業(yè)的品類太多了��,就不一一來盤了����,工信部對企業(yè)的數(shù)據(jù)安全管理非常的重視。對于企業(yè)用戶自己來說���,數(shù)據(jù)是他自己的生產(chǎn)資料�,承載了他的核心價值��,是維持競爭力的一個保障�,所以企業(yè)客戶也是需求非常強的客戶種類�����。
上面三個行業(yè)的客戶我認為是非常積極和主動地在做數(shù)據(jù)安全���,其他行業(yè)目前也是遍地開花的趨勢,實際上目前國內(nèi)的情況是所有行業(yè)都在考慮數(shù)據(jù)安全���,包括政府��,大家都很重視這個問題����。
銀行客戶和企業(yè)客戶�����,
做數(shù)據(jù)安全有什么明顯不同���?
數(shù)說安全 :安華金和平時做的最多的是金融行業(yè)嗎�?
何晉昊 :我們主要是金融����、企業(yè)、還有政府�����。
安華金和一直以來堅持技術(shù)創(chuàng)新�,我們的產(chǎn)品在很多行業(yè)客戶的數(shù)據(jù)安全建設工作中都成為了標配,大家都非常認可這個品牌���。金融���、企業(yè)是我們做的最多的領域,還有一部分是政府行業(yè)���。
數(shù)說安全 :在具體的實踐中��,安華金和也做過很多案例了����,能否舉例給大家介紹一下不同行業(yè)做數(shù)據(jù)安全的側(cè)重點有什么不同�����?
<span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box
產(chǎn)品咨詢:4000 258 365 
