《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 高端訪談|保旺達盧偉:構建全鏈路數據安全治理體系

高端訪談|保旺達盧偉:構建全鏈路數據安全治理體系

2022-03-19
來源:信息安全與通信保密雜志社
關鍵詞: 全鏈路 數據安全

  近年來,數字經濟的發(fā)展不斷催生出新技術、新產業(yè),、新業(yè)態(tài)、新模式,,數據作為一種新的生產要素,已然成為數字經濟的核心,。同時,,針對數據的攻擊、竊取,、劫持,、濫用等現(xiàn)象層出不窮,數據安全風險日益嚴峻,,給經濟,、政治、社會等各領域帶來巨大風險,。如何強化數據安全治理能力,,建立數據安全治理模式,構建數據治理體系,為數據安全治理營造良好環(huán)境,,成為當前亟需解決的問題,。

  作為在數據安全領域深耕二十余載的企業(yè),保旺達立足于客戶本質需求,,結合國家數據安全政策要求,,以數據主權確權為核心,先后推出了保旺達數據安全治理解決方案,、安全大腦綜合解決方案,、安全中臺解決方案等,,圍繞數據安全監(jiān)管,、數據安全防護、數據安全運營三大模塊構建了完整的數據安全保護鏈條,,實現(xiàn)了全流程及全要素的數據安全保護,。

  近日,江蘇保旺達軟件技術有限公司首席技術官盧偉,,圍繞數據安全治理的思路,、數據安全治理體系的構建、數據安全治理的困難,、數據安全治理未來的常態(tài)等方面,,與記者展開深入溝通和交流,相關問題和回答展示如下,,以饗讀者,。

  記者:您是如何理解現(xiàn)階段的數據安全的?

  盧偉:目前,,國家高度重視數據安全,,在很多方面給予了規(guī)劃和要求?!吨腥A人民共和國數據安全法》《中華人民共和國個人信息保護法》的出臺,,明確了數據安全主管機構的監(jiān)管職責,建立健全數據安全協(xié)同治理體系,,提高了數據安全的保障能力,,讓數據安全有法可依、有章可循,,為數字化經濟的安全健康發(fā)展提供了有力支撐,。隨著社會信息化應用程度不斷加深,技術和應用場景不斷創(chuàng)新,,我國加強了對大數據的監(jiān)管力度,,進一步細化了相關法律法規(guī),這是一個動態(tài)的發(fā)展過程。

  雖然現(xiàn)階段仍存在立法不完善,、技術創(chuàng)新能力薄弱,、國際合作不足、治理乏力等問題,,相較于數字化,、網絡化階段中的靜態(tài)數據安全特征,智能化階段中的數據安全問題更具復雜性,、動態(tài)性,、平衡性和整體性等特點?;跀祿手笖导壴鲩L和常態(tài)化跨境流通的形勢,,數據的流通廣泛分布于國家、企業(yè),、社會組織與公民個人之間,,基于對傳統(tǒng)治理結構的調整,更為平權化,、多元化的治理模式正在崛起,。

  因此,建立完善,、可持續(xù)的數據安全治理管控體系是關鍵所在,。為避免出現(xiàn)數據安全產品功能分散和數據安全能力“孤島化”的問題,不能一蹴而就地只靠單品來治理,。在建立治理體系過程中,,一方面,要能覆蓋到用戶現(xiàn)有的治理能力,,避免造成投資的浪費,;另一方面,在保障合規(guī)性的基礎上,,還要能滿足其業(yè)務發(fā)展的需求,,這是一個周期性工程,重點是隨著企業(yè)用戶訴求及防護重點發(fā)生變化,,能夠幫助其動態(tài)地構建科學合理的數據安全治理體系,。

  記者:為滿足國家對數據治理的要求,實現(xiàn)數據資產的有效管理,,應該采取怎樣的治理思路,?

  盧偉:從國家法律法規(guī)及行業(yè)監(jiān)管要求來看,治理思路會有不同,,但本質上是一致的,。

  第一,,要明確治理對象。數據治理是以數據生產要素為對象,,包括靜態(tài)數據,、動態(tài)數據、結構化數據及非結構化數據等,。需要強調的是,,數據治理對象是海量分布在各個系統(tǒng)中的數據,這些源于不同系統(tǒng)的數據往往在數據代碼標準,、數據格式,、數據標識等方面存在一定的差異,甚至可能存在錯誤的數據,。

  第二,,要明確治理范圍。數據安全治理工作以數據為核心,,涉及政府,、企業(yè),、個人等各類參與主體,,覆蓋全生命周期中的各種過程和狀態(tài)。治理范圍決定了后續(xù)要采取相關的治理措施的力度,。范圍既可以說是某些業(yè)務系統(tǒng),,例如從前端事務處理系統(tǒng)、后端業(yè)務數據庫到終端的數據分析,,也可以指某些行業(yè)的產品升級,、技術創(chuàng)新等。

  第三,,要明確治理方法和策略,。這主要包括管理和技術兩個方面。從管理角度來講,,要明確數據治理的相關組織,、機構、崗位,、人員,、職責、規(guī)范,、流程,,從頂層起步進行宏觀路線的規(guī)劃和設計,形成一套完整的從梳理到管理再到控制的方法論,。這就要求數據安全治理的責任組織牽頭去完善相應的規(guī)范和流程,,積極主動地籌劃和開展系統(tǒng)化的數據安全治理工作,,確保企業(yè)或組織能夠有效應對數據時代的各種安全挑戰(zhàn)。從技術角度來講,,數據治理涉及發(fā)現(xiàn),、防護、運營等多個環(huán)節(jié),。技術建設為治理保障,、組織建設和制度流程的抓手和落地保障。例如,,在基于業(yè)務場景分析數據全生命周期的風險之后,,就會得到相應的安全需求,進而需要數據標簽,、數據加密,、數據防泄漏、數據脫敏,、數據水印,、數據備份恢復、數據安全擦除與銷毀等技術手段,。

  第四,,要明確治理覆蓋數據生命周期。這需要對標業(yè)務場景,,適時開展需求分析和風險評估工作,。例如,當運維人員通過類似于堡壘機的安全設備去訪問后臺數據庫時,,在這樣的場景下,,需要對數據采取什么樣的防護手段;當業(yè)務系統(tǒng)之間發(fā)生交互時,,如果是通過接口,、程序或者是機器人完成的,在這種場景下,,數據會有什么樣的特點,,需要怎樣去防護等。所以要積極探索先進技術在業(yè)務場景中的創(chuàng)新應用,,提升數據安全的管控能力,。

  第五,要明確評估效果,。前期明確了相關的管理,、技術手段等工作,并在此基礎上投入了相關的安全治理策略和工具,,那么最后就要對產生的效果,,以及是否能夠確切解決業(yè)務場景下的痛點和訴求進行評估,。

  記者:如何建設科學合理的數據安全治理體系?

  盧偉:保旺達在數據安全領域擁有十幾年的積累和沉淀,,通過長期對大量客戶的咨詢規(guī)劃建設需求的總結,,發(fā)現(xiàn)他們對數據安全治理有著天然的需求。在不斷處理客戶數據所面臨的動態(tài)威脅與風險及在入侵環(huán)節(jié),、入侵方式,、入侵目標的不斷演進的場景下,我們總結出自己的數據安全治理理念,,幫助企業(yè)構建完整合理的數據安全治理體系,。

  第一,定規(guī)范,。我們常說的“無規(guī)矩不成方圓”,,也同樣運用于數據治理領域。先要確定數據治理的基本法則,,這也為之后的管理工作提供了非常重要的依據,。在定規(guī)范的過程中,要把所涉及數據生命周期的業(yè)務場景的相關訴求定義清楚,,例如,,數據資產的基本信息及數據分類的規(guī)范、數據分級的規(guī)范,、數據外發(fā)的規(guī)范,、數據審批的流程、數據訪問的流程等,。在定規(guī)范的過程中,要切記能夠適應復雜的數據使用場景,,并區(qū)分風險等級進行精細化規(guī)范設計,,在對新問題時快速響應,輸出解決方案,。

  第二,,摸家底。在此階段,,企業(yè)要搞清楚自身有哪些類型的數據,、數據在各業(yè)務系統(tǒng)和應用上的分布情況、數據量的大小規(guī)模和增長速率,、數據按照企業(yè)規(guī)范或行業(yè)標準應認定為什么類型與級別,、數據在企業(yè)內部及外部的共享情況和流動路徑等內容,否則,,數據安全治理工作的開展就會找不到頭緒,,抓不住重點,,難以全面覆蓋重要數據?!凹业住泵逡院缶涂梢孕纬善髽I(yè)的數據資產目錄,,基于數據資產目錄可有序、高效地開展數據安全治理工作,。

  第三,,強管控。該階段側重于基于業(yè)務流程的數據安全架構,,能夠實現(xiàn)用戶審批,、數據授權、安全使用,、數據審計的全過程管控,。在此階段,更多的是體現(xiàn)對工具的依賴性,。通過依靠工具來完成數據安全治理階段所需要的策略,、能力、方法等,。而依賴工具的類型更偏向于類似數據庫脫敏,、數據水印、數據加密,、數據訪問控制等產品,,同時還包括訪問數據的主體,例如賬號,、程序等,。企業(yè)在這個階段需要著重提升防護能力的建設,滿足在不同業(yè)務場景下數據防護體系的要求,。

  第四,,重運營。目前,,數據安全運營逐漸成為企業(yè)數據安全團隊與業(yè)務溝通,、項目推進及價值輸出(賦能)的窗口,運營能力作為數據安全的核心,,數據,、模型和工具作為實施手段,該階段重點在于通過運營實現(xiàn)對業(yè)務的價值輸出目標,。在此階段,,通過對風險管控能力把控、真實的業(yè)務風險場景提煉,、法律法規(guī)的遵從性,、安全管理與合規(guī)團隊聯(lián)合推進度等分析和應對,,對整個數據安全運營的效果進行評估,給出相應的指導意見,。

  記者:您認為政企單位在數據安全治理中面臨著哪些困難,?

  盧偉:作為數字經濟和信息社會的核心資源,數據在不斷流動中產生著巨大的價值,。不同類型的數據,,其級別和價值均不同,不能等同視之,,應根據數據的重要性,、價值指數予以區(qū)別對待。因此,,數據的分級分類是數據安全治理的第一步,。事實上,很多企業(yè)都不清楚自身到底擁有哪些數據,,哪些是敏感數據或重要數據,,甚至都不知曉數據存儲在什么位置,這給數據安全治理帶來了諸多難題和挑戰(zhàn),。

  第一,,數據安全治理體系不規(guī)范,甚至缺乏體系治理的意識,。很多企業(yè)缺乏從決策層到技術層,,從管理制度到工具支撐,這種自上而下貫穿整個組織架構的完整鏈條,,而且,,組織內的各個層級之間未對數據安全治理的目標和宗旨取得共識,也未采取合理和適當的措施,,未能以最有效的方式保護信息資源,。例如,有的企業(yè)在數據量成倍增加的同時,,對“如何識別數據”“數據用到哪里去了”“數據最后從哪里給了誰再到哪里去”等基本問題還一臉茫然,也沒有具體的負責人和直接責任人來進行統(tǒng)籌和管理等,。

  第二,,缺乏對數據分類分級的治理能力。實行數據分類分級是保障數據安全的前提,,也是數據安全治理過程中極為重要的一環(huán),。開展數據安全的第一步就是要識別數據、基于業(yè)務特點進行數據的分類和分級,,這是后續(xù)數據保護策略部署的基礎,。常見的數據分類維度包括公民個人維度,、公共管理維度、信息傳播維度,、組織經營維度,、行業(yè)領域維度,從國家數據安全角度可將數據分為一般數據,、重要數據,、核心數據共三個級別。對企業(yè)相關管理人員而言,,如何判定數據類別和重要程度是一個不小的難題和挑戰(zhàn),。

  第三,缺乏相應的治理手段,。數據必須要在共享使用中,,才能產生更大的價值。因此,,對于數據的保護不應該只是靜態(tài)的,,而要更加注重流動數據的治理。數據流動的安全隱患與數據的可獲取性及可遷移性相關,。例如,,在與銀行、支付寶,、微信等不同系統(tǒng)的接口發(fā)生交互時,,數據相當于給第三方的系統(tǒng)接口調用了動態(tài)化數據,這給管理員帶來了更大的治理難度,,因為他不清楚應采取何種手段和方法進行有效的動態(tài)數據治理,。

  第四,缺乏體系化,、系統(tǒng)化指導,。在企業(yè)對數據治理基礎工作告一段落后,多數企事業(yè)單位未對數據治理進行體系化指導,,不確定下一步治理工作的發(fā)力點,。缺乏數據治理的體系化建設,必然會導致商業(yè)智能價值鏈受阻,。因此,,政企單位要想在數字化轉型中抓住機遇,數據治理體系建設勢在必行,,這是基礎而又關鍵的一環(huán),。

  記者:未來數據安全治理的常態(tài)是怎樣的?

  盧偉:宏觀上講,從法律法規(guī)到相應的標準規(guī)范,,再到監(jiān)管要求,,可以看出對數據安全的規(guī)范越來越明確,要求也越來越細,,創(chuàng)新性的安全廠商也將越來越多,。在這種環(huán)境下,廠商的研究領域會更加聚焦,,技術研究也會愈加深入,,相應的投入也就水漲船高,從而衍生出更多高精進的數據安全企業(yè),,進而研制出更多更好的產品,,提供更加優(yōu)質的服務。這對現(xiàn)有的數據安全廠商來說,,未必不是好事,,能讓其深耕賽道,持續(xù)發(fā)力,,在這個領域產生更多的創(chuàng)新成果,,助力用戶提升數據安全治理能力。

  應用上講,,數據處理環(huán)節(jié)的脫敏技術和數據交換環(huán)節(jié)的權限管理,、安全代理也逐步成熟,數據分類和密鑰管理產品處于高速發(fā)展期,,數據傳輸環(huán)節(jié)的產品已經非常成熟,,例如,數據防泄漏產品,、數據庫脫敏產品等,。這些產品更多的是針對數據本體研發(fā)的,然而,,在數字經濟浪潮化的背景下,,隨著業(yè)務的復雜度不斷提升,風險及合規(guī)視角下的數據安全需要應對更豐富多樣的應用場景,,保護的數據對象范疇也不斷外延,。

  體系上講,數據安全將不再是一個組織內部的事情,,而是需要構建一個科學的數據安全治理體系,,才能有效地保障數據安全,管控數據安全風險,。這摒棄了傳統(tǒng)的單品突破的治理方式,更多地聚焦業(yè)務場景和用戶體驗,。這就要求廠商把數據安全治理當做周期性工作來做,,要不斷投入,、不斷改善、持續(xù)提升,,然后再不斷投入,,形成一項有序、動態(tài),、可持續(xù)發(fā)展的系統(tǒng)工程,。

  記者:在數據安全治理方面,保旺達有哪些積累和沉淀,?

  盧偉:在數據安全治理的工作中,,保旺達不斷深耕賽道,持續(xù)進行技術創(chuàng)新,,實行安全產品和服務雙驅動戰(zhàn)略,。一方面,保旺達成立了自己的研究院,,重點對最新,、最前沿的技術進行研究,結合我們現(xiàn)有的產品,,去幫助用戶解決更復雜業(yè)務場景下的安全痛點,,或者在復雜的業(yè)務模型下,能夠帶來的安全管理價值,。在這個過程中,,輸出了關于5G、人工智能等新技術的解決方案,,而且能夠成熟運用到自身現(xiàn)有的產品組件中去,。另一方面,我們還有獨立的網絡空間安全實驗室,,根據國際通用的ATT&CK模型,,研發(fā)出“觀云”“御雷”“探海”“乘風”四大安全模型,,對用戶在安全服務的監(jiān)測,、研判、預警,、處置等方面提供了很大助力,。

  依靠實驗室,我們還開展了數據安全評估工作,,通過數據安全評估的服務,,能夠快速地幫助用戶去建立數據安全相關的風險評估手段,從而快速地找出當前業(yè)務系統(tǒng)所存在的風險短板,以及包括有針對性的去提升相應的建設能力需求,,在數據安全風險治理方面,,為用戶帶來實質性的改變和提升。

  保旺達多年來堅持自主可控的信息安全技術研發(fā),,構建了完整的數據安全產品體系和網絡安全防護體系,,產品獲得國家級保密認證以及入選了國產信息產品名錄。安全產品已廣泛應用于運營商31個省份,,護航100萬+終端用戶,、網絡設備及物聯(lián)網設備的數字安全,每天提供身份鑒別與訪問管理服務超3000萬人次,。自主研發(fā)的涉密產品信息交換平臺是目前市場上唯一實現(xiàn)內外網數據安全交換的軟件產品,,切實解決了涉密單位數據在流轉、分發(fā)過程中的安全問題,。

  此外,,保旺達每年投入大量的資金和人力開展與產品國產化相關的研發(fā)工作。新產品從設計階段就充分考慮對于國產化軟件特別是操作系統(tǒng),、中間件,、數據庫基礎三大件的適配。目前,,部分產品已完成了對國產主流操作系統(tǒng)及數據庫的適配,。未來,保旺達將進一步強化在研發(fā)領域的技術創(chuàng)新能力,,堅持以客戶價值為導向,,聚焦數據安全方向,打造更多,、更優(yōu)秀,、具備產業(yè)帶動性的產品和解決方案,為企業(yè)數字化轉型保駕護航,。




微信圖片_20220318121103.jpg

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。