【牛人访谈】数据安全治理的“治”与“理”
作者:星期五, 十一月 20, 20200

前言:如果说“算法”是数字社会治理和数字化商业转型的核心引擎,那么“数据”就是驱动这台引擎的燃料。而数据安全,也是数字风险治理中最重要、最复杂、最具挑战性的工作,这种挑战主要表现为:如何通过数据安全治理,在确保安全、合规、保护隐私的基础上,提供无摩擦、可扩展、敏捷灵活的数据服务,让数字经济引擎安全高效地工作。

党的十九届四中全会提出,健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制,数据被首次明确作为生产要素。今年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确,加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。

在当前数字经济发展的浪潮中,毫不夸张的说,数据就是21世纪的石油,数据的重要性不言而喻。数据作为新型生产要素,只有流动、分享、加工处理才能创造价值。用一句话形容,就是数据“活”于流动之中,数据只有在流动中才能体现数据的价值,但在数据流动的过程中存在很多风险,比如越权访问权限范围之外的数据、敏感数据外泄、数据被篡改等等,这些都会导致无可挽回的经济损失和核心竞争力缺失。那么数据安全治理是什么?数据安全治理的核心思路如何?数据安全又该如何进行治理?近日安全牛有幸邀请昂楷科技CEO刘永波先生,就数据流动中的安全怎样去“治”与“理”来进行深度的探讨。

刘永波,深圳昂楷科技有限公司的创始人

1998年,刘永波加入华为固定网络产品线,服役11年。2004-2006年,接入网产品线研发总监,带领团队决战巅峰将综合接入UA5000系列产品打造成为世界优秀品牌。2007-2009年,华为赛门铁克合资公司,担任华赛安全产品线研发VP,是早期创建者之一,是赛门铁克技术整合华为方首席负责人。2009年底创立昂楷科技,致力于成为数据安全的优秀者,让人们放心地享受大数据。

安全牛:当前,随着数字经济的不断发展,数据安全已成为政府、企业、个人等各类社会主体都在关注的焦点,我们也了解到昂楷科技专注于数据安全治理领域十余年,那您能给我们分享下什么是数据安全治理?

刘永波:数据安全,我相信这个概念大家已经被普及到耳熟能详了,但对数据安全治理这个新的概念还是比较模糊。实际上,对于拥有重要数据资产的政府部门或企业,数据资产保护和数据安全治理方面或多或少都有实践,只是尚未体系化和标准化。

今年发布的《中华人民共和国数据安全法(草案)》中,对数据安全治理提到很多次,其中第一章就特别指明, “数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”

这就在国家政策层面指明数据安全治理是围绕“数据安全使用”的愿景,构建数据安全防护、数据敏感信息管理、数据合法利用三大目标的技术保障体系,从而达到“让数据使用更安全”的目标。

从国际层面上讲,国际信息技术研究和分析公司Gartner认为数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。

综上所述,要实现数据安全治理需从安全治理体系、安全合规、技术能力支撑等给出全方位的解决方案。

安全牛:在刚刚您也给我们介绍了数据安全治理,那您认为的数据安全治理的核心思想是什么?

刘永波:从某种意义上讲,要保证数据的绝对安全,就要将数据全部物理隔绝,变成“死”数据,这样是最“安全”的,既拿不走,也破坏不了。但这样做是否有意义?上面我们讲过,数据只有在流动、分享、加工处理过程中才能创造价值,对数据的合理使用才能让数据变成“活”数据,数据安全治理的核心思想就是对“活”数据开展一系列有效的安全“治”与“理”,保障数据在安全可控的情况下使用并发挥价值。

大数据的建设是新基建的一个核心,其中大数据的“活”体现在数据的汇聚和共享,这也是体现数据价值的关键环节,如果只有汇聚而没有共享,那数据的价值将大打折扣。大数据应用是基于大数据平台对数据的处理过程,通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节,上述各个环节均需要对数据进行保护,通常需考虑的安全控制措施包括数据采集、授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分类分级销毁机制等。只有对数据进行有效的治理,才能保证数据安全,才能让人们放心地享受大数据。

安全牛:那您认为的数据安全治理该如何“治”与“理”?

刘永波:说到数据安全治理的“治”与“理”,那肯定在“治”之前要先进行“理”,梳理完了才能“治”。数据安全治理其实和中医诊疗是一个道理,要进行“望、闻、诊、断”, 先要知道我的数据财产在哪里,这些数据财产是什么样的一个状态,和安全使用存在什么样的一个差距,理出这些信息我们才能更好的去治。在整个治理的过程中,数据不是死的,它是流动的,它跟人、财、物、跟智慧都息息相关,不仅是组织内部、各个部门、组织外部,甚至是国与国之间,流动中的数据要进行治理,难度就更大了,就像治黄河一样。

数据安全治理背后是有深刻内涵的,就是要构建以数据安全为核心的整体数据安全治理方案,既要把握好跟业务之间的紧密联系,又要兼顾效率与稳定可靠的平衡,所以整个治理方案精髓是“精准可视,安全可控”。

精准可视是数据安全治理的精髓,“理”的核心是精准可视。

首先我们要“理”清我们有哪些数据资产,我们在实际项目中遇到一个典型客户,他因为业务资产种类多、第三方开发运维厂家多,加上建设周期长,最终导致多种数据库并存,数据库实例更是多达上百个,其中还包含很多开发人员自己私搭私建的数据库。这些数据库客户都是不知道的,其中还存储了大量涉密和敏感数据。通过我们的系统帮助客户精准的识别出这些数据资产。

数据资产“理”清楚之后,我们需要继续梳“理”这些数据资产存在哪些风险。比如数据的存储环境是否安全、数据的访问环境是否安全、数据的交互环境是否安全、数据的流通环境是否安全。就拿上面那个客户为例,数据访问的超级用户权限在第三方运维人员手里面,用户自己没有。这对数据安全是一个巨大风险点。通过对数据资产的全生命周期、全数据形态以及全流通环节进行风险评估,可以“理”清数据资产存在的整体风险,更好地为“治”做铺垫。

先“理”再“治”。通过“理”我们对数据资产的安全状况有了整体评估,“治”就是一个对症下药的过程。“治”的核心就是安全可控。

“治”的过程分两个层面,一是安全产品的体系化落地实施,从数据全生命周期角度,需要部署系统化的安全产品,以数据安全综合治理平台为核心,包含数据库防火墙、数据库审计、数据脱敏、数据库漏洞扫描、数据库状态监控、数据水印溯源、数据安全模型、用户行为画像等能力单元,利用AI智能和机器学习,提升数据安全的“治”的效果。二是相关流程制度的规范执行,从安全建设规划、安全业务梳理、安全策略制定、安全系统建设、安全数据运营,对数据的采集、传输、存储、共享、处理进行安全操作规范,以制度和流程保证数据安全产品的有效运行。

安全牛:数据安全治理未来整体发展方向是怎样的?

刘永波:在前面我也提到了7月初发布的《中华人民共和国数据安全法(草案)》,在这个法案中已对数据安全治理体系化思路明确提出了 “数据安全治理需要建立数据安全组织,数据安全内容评估,制定数据安全策略,数据安全能力建设到数据安全的正常运营”。从这个治理体系化思路中我们可以看出保护流动中的数据安全进行数据安全的治理,并不是简单的购买网络安全防护产品,简单的组织几次安全培训等等,而是一个具有组织建设、管理建设、治理风险评估、能力建设在内可落地执行的数据安全治理整体解决方案。

安全牛:在数据安全治理过程中,您认为数据安全治理的痛点和挑战是什么?

刘永波:数据安全治理的真正痛点,行业中也早早的都给定义出来了,第一是用户对自己数据资产信息不清晰,不知道数据在哪里;第二是数据使用过程中,三权问题不清楚,所有权、使用权、运营权不清,数据在流动中不知道数据被谁用了、是不是合法的使用、是不是该有的人在持有、该用的人在用;第三是管理难,流动过程中管理难,数据只有流动才能产生价值,数据流动的过程中涉及面很广,涉及的部门又多,要进行数据的管理,就要考虑你的业务,你的流程,自身管理分工;第四是数据安全应用产品定位没有跟进技术创新的脚步,当前技术创新主要侧重网络安全产品而非数据安全应用产品,现有安全产品涉及数据安全的较少,这就出现一种情况:花了很多钱去进行数据安全防护,但是却不知道数据是不是真正安全的,无法进行保证;第五是数据安全技术青黄不接,新的数据安全产品技术不成熟,原有的安全产品功能单一且比较割裂未形成完整链条。从这些面临的痛点,可以看出我们不光面临着管理制度体系不健全、数据资产权责不清晰,还面临着现有数据安全治理产品定位和技术方面的挑战。

安全牛:刚刚您也提到了在建设过程中所使用的数据安全产品不是传统的网络安全产品,那您认为数据安全治理需要哪些产品支持?

刘永波:讲到这里又需要回到我们这次的主题,数据安全治理的“治”与“理”,数据安全治理需要先进行“理”后进行“治”,其实数据安全治理产品也是一样,要先有数据梳理的产品到数据流动中治理管控的产品。数据安全治理能力产品建设过程中需要考虑事前、事中、事后等不同阶段的产品。比如事前阶段的数据资产梳理产品、数据分类分级产品、数据库漏洞扫描产品、数据库状态监控产品等数据资产梳理风险评估能力产品,实现数据库资产、数据资产状况、敏感数据分布以及敏感数据使用权限的梳理,数据资产存储、资产安全性、系统运行状态等风险评估;事中阶段的数据脱敏、数据库防火墙、数据库运维堡垒等数据安全管控的能力产品,实现识别数据访问风险行为控制,敏感数据权限访问控制,提升动态防御能力;事后的数据库审计、数据库运维审计、日志审计、数据水印等溯源安全能力产品,实现数据访问记录,操作行为记录、可疑风险行为记录,提供详细电子溯源信息的能力。但是通过这一系列的安全能力单元建设,你仍然会发现这些数据安全产品技术实现能力还停留在各自为政、零散不成体系、无法进行统一的数据安全态势分析、态势预测、无法联防联控、无法合成作战的状态,数据安全治理技术管理层面的痛点问题依然未能有效解决。通过搭建数据安全综合治理平台,作为统一的指挥调度中心,提升数据安全治理产品统筹协作能力,实现数据安全态势分析,态势预测,以及联合作战、联防联控的目标,是解决数据安全治理痛点问题的全方位最终解决方案。

安全牛:数据安全治理能给客户带来什么价值?

刘永波:谈到数据安全治理能给客户带来什么价值,从大的层面方面来讲,跟随国家信息技术安全发展规划路程,同时符合行业相关信息化规范管理要求,让客户可以安全放心地使用大数据。从具体的方面来讲,一是防止敏感数据信息的泄露,数据安全治理整体方案实施下来后客户可以清晰了解数据资产状况,知道数据资产同时都在被谁使用!掌握数据使用者有哪些角色、拥有哪些权限!清晰哪些数据是敏感数据、安全级别是怎样划分的;二是保障业务数据安全访问,通过业务系统数据访问安全管控,实时、动态的监测数据库访问行为,一旦发现存在数据攻击特性的行为,将精确拦截,确保业务系统数据访问安全性;三是提升数据存储安全系数,对数据库系统漏洞、配置缺陷及弱口令等进行全面检查,定期或周期性全自动扫描,数据上传到综合治理平台分析,并下发策略,联动防护,提升数据存储安全性,从而最大程度的减轻危害所造成的损失。

安全牛:站在我们这个时点再看一下未来您对数据时代数据安全有什么样的展望?

刘永波:大概是2012年的时候,在北京的一个国际大会上面,我就谈到数据安全时代已经来临,那时候大家觉得数据安全时代的来临还比较早。那么现在我们站在这个时间节点,大家都认可数据安全已成为至关重要的一个领域了。现在我们把它当作一个领域来看待、上升为数据安全治理体系建设,从认识上就是一个质的提升,说明它的影响以及对它的重视程度已经到了一个新的阶段,所以现在我们看到的是,我们的客户那边有很多数据安全的问题亟待解决,他们急需行业里面有很好的产品和解决方案,包括数据安全治理服务来帮他们落地。但是实际上我们现在的产业界还有的拿着传统的网络安全思路,在应对这种新的挑战,所以我认为未来数据安全治理有很大的发展空间,我们还有很多的技术挑战,需要花更多的心思去认知这个行业、解决技术难点,建立可落地的解决方案。


相关文章