五年前,一個(gè)涼風(fēng)習(xí)習(xí)的夏夜���。在街邊擼串的北京安華金和科技有限公司創(chuàng)始人兼CEO劉曉韜�����,腦海中浮現(xiàn)出一個(gè)新概念——數(shù)據(jù)安全治理���。在煙霧繚繞中拋出話題,別人沒太當(dāng)回事�,但他自己卻認(rèn)真了。
2016年����,安華金和在中國首次提出并倡導(dǎo)針對“數(shù)據(jù)安全治理”的理論研究與體系建設(shè)����;2017年�,首屆中國數(shù)據(jù)安全治理高峰論壇召開,且連續(xù)舉辦三屆����,成為中國數(shù)據(jù)安全治理實(shí)踐與普及發(fā)展的重要平臺。
無獨(dú)有偶�����。Gartner在《2015年數(shù)據(jù)安全技術(shù)成熟度曲線》報(bào)告中也使用了“數(shù)據(jù)安全治理(Data Security Governance)”一詞�,可見安華金和在尋道路上并不孤單。
得道者多助���。5月13日�����,以“數(shù)據(jù)之光 · 安全未來”為主題的第四屆中國數(shù)據(jù)安全治理高峰論壇在北京舉行���。峰會的組織機(jī)構(gòu)陣容強(qiáng)大:在中國保密協(xié)會����、中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會的指導(dǎo)下����,由中國(中關(guān)村)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、中國保密協(xié)會產(chǎn)業(yè)分會共同主辦�,北京安華金和科技有限公司及網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會承辦���,中國計(jì)算機(jī)學(xué)會抗惡劣環(huán)境計(jì)算機(jī)專委會協(xié)辦,國家信息中心��、全球能源互聯(lián)網(wǎng)研究院信息通信研究所等提供支持���。
國家部委�、主管部門領(lǐng)導(dǎo)��,行業(yè)專家、學(xué)者���,權(quán)威研究機(jī)構(gòu)�����、知名安全廠商及各行業(yè)客戶代表近千名業(yè)界精英云集峰會現(xiàn)場,共同圍繞“數(shù)據(jù)安全治理”展開內(nèi)容分享���、成果發(fā)布��、技術(shù)研討與合作交流。
一��、治理變革與法規(guī)護(hù)航
伴隨互聯(lián)網(wǎng)的蓬勃發(fā)展與信息化建設(shè)的不斷深入,信息安全、網(wǎng)絡(luò)安全的重要性已成為產(chǎn)業(yè)乃至國家層面的共識����。不過�,數(shù)據(jù)安全直到近幾年才因頻發(fā)且愈演愈烈的安全問題事件而備受關(guān)注,針對數(shù)據(jù)安全的“治理”尚處于探索階段���。
應(yīng)用環(huán)境的日趨復(fù)雜����,凸顯數(shù)據(jù)安全治理的緊迫性。如火如荼的新基建一方面加速推動(dòng)數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)化重構(gòu)�����、智能化提升與產(chǎn)業(yè)化升級;但與此同時(shí),新基建下萬物互聯(lián)���,網(wǎng)絡(luò)攻擊也從數(shù)字空間延伸到物理空間,繼而對網(wǎng)絡(luò)和數(shù)據(jù)安全提出嚴(yán)峻挑戰(zhàn)���。沈昌祥院士在主題發(fā)言中表示:“必須積極應(yīng)對網(wǎng)絡(luò)空間各種新的威脅�����,全面筑牢數(shù)據(jù)安全防線����。”
新技術(shù)���、新模式的廣泛應(yīng)用也是數(shù)據(jù)安全風(fēng)險(xiǎn)曝露的誘因之一�,如何在安全與發(fā)展之間找到合理的平衡點(diǎn)��,是數(shù)據(jù)安全治理的當(dāng)務(wù)之急���。工信部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心副主任李新社認(rèn)為���,數(shù)據(jù)安全治理更多的是管理問題而非技術(shù)問題�,進(jìn)行數(shù)據(jù)治理的目的應(yīng)該落到數(shù)字經(jīng)濟(jì)和社會安全協(xié)同發(fā)展上來�����。
法律體系的護(hù)航與合規(guī)制度的約束�����,是數(shù)據(jù)安全治理行穩(wěn)致遠(yuǎn)的重要保障。數(shù)據(jù)安全相關(guān)法律及等保2.0頒布實(shí)施以來��,我國在數(shù)據(jù)安全領(lǐng)域取得了一定的實(shí)踐成果��。公安部信息安全等級保護(hù)評估中心技術(shù)部主任任衛(wèi)紅指出���,政府部門����、行業(yè)機(jī)構(gòu)����、用戶及安全廠商應(yīng)當(dāng)承擔(dān)起各自的責(zé)任����,針對數(shù)據(jù)安全保護(hù)義務(wù)深化落實(shí)等級保護(hù)制度�����,從而推動(dòng)數(shù)據(jù)安全治理能力的提升。
近日����,《數(shù)據(jù)安全法(草案)》、《個(gè)人信息保護(hù)法(草案)》均進(jìn)入二次審議階段��,這將為數(shù)據(jù)安全治理提供依法合規(guī)的新標(biāo)桿�����。中科院信息工程研究所大數(shù)據(jù)安全研究室主任王偉平認(rèn)為,大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全尤為重要�����,治理需要系統(tǒng)化的思維與建設(shè)框架����,兼顧數(shù)據(jù)的安全性與可用性����,應(yīng)用屬性密碼和共享學(xué)習(xí)等技術(shù)���,保障各類數(shù)據(jù)共享場景的安全。
繼2018、2019年先后發(fā)布《數(shù)據(jù)安全治理白皮書》1.0和2.0版,本屆峰會再次重磅推出《數(shù)據(jù)安全治理白皮書》3.0版(點(diǎn)擊閱讀原文了解詳情)——這既是二十家專業(yè)參編單位對數(shù)據(jù)安全治理思考與實(shí)踐經(jīng)驗(yàn)的集中呈現(xiàn)����,也對數(shù)據(jù)安全治理的未來之路提出了明確的指引。中國(中關(guān)村)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會主任�、北京安華金和科技有限公司創(chuàng)始人兼CEO劉曉韜認(rèn)為���,針對數(shù)據(jù)安全如何體系化、具體化落地��,以及怎樣使用新的安全技術(shù)來滿足各類數(shù)據(jù)應(yīng)用場景的安全需求�����,都將成為數(shù)據(jù)安全治理實(shí)踐方面的新挑戰(zhàn)。
二��、行業(yè)挑戰(zhàn)與突圍之策
國家層面的高度重視與法規(guī)體系的日益完善����,以及政府�����、金融�����、能源���、教育�����、醫(yī)療��、運(yùn)營商等行業(yè)用戶的積極實(shí)踐�,都為數(shù)據(jù)安全治理邁上新臺階創(chuàng)造了良好的條件���。但劉曉韜坦言:“對數(shù)據(jù)安全廠商來說��,面臨的挑戰(zhàn)依然很多�����。
第一����,在促進(jìn)數(shù)據(jù)共享的同時(shí)滿足合規(guī)性并非易事���。在網(wǎng)絡(luò)安全方面,已經(jīng)形成了比較成熟的體系��,大家干起來得心應(yīng)手��。但數(shù)據(jù)安全的整個(gè)體系怎么建,很多時(shí)候仍處于較為迷茫的狀態(tài)。舉個(gè)例子:數(shù)據(jù)分類分級非常復(fù)雜��,跟數(shù)據(jù)規(guī)模和多樣性都有關(guān)系——有些用戶的數(shù)據(jù)庫就有一萬多個(gè)����,里面可能有幾千萬個(gè)表�、十幾億個(gè)字段���。如何將分類分級的標(biāo)簽打到具體的字段上?安全咨詢服務(wù)商通常在政策和法規(guī)上提供指引��,但對數(shù)據(jù)打標(biāo)這種“苦活”、“累活”,就缺乏足夠的技術(shù)和服務(wù)手段了。
第二�����,很多用戶陸續(xù)上馬單一場景化的產(chǎn)品���,涵蓋數(shù)據(jù)的審計(jì)���、脫敏、保護(hù)等�����,但缺乏體系化的概念,離統(tǒng)一化��、平臺化更是相去甚遠(yuǎn)�。
特別是用戶以前買的很多產(chǎn)品可能來自多家公司���,它們之間數(shù)據(jù)的交互流通非常困難���。運(yùn)營商行業(yè)有一些平臺化的招標(biāo)正在落地�,但最后有多少具體化的方案能落到實(shí)處,還存在較大變數(shù)��。
第三���,數(shù)據(jù)安全運(yùn)營的人才梯隊(duì)建設(shè)�,存在青黃不接的現(xiàn)象����。歷經(jīng)多年積累,網(wǎng)絡(luò)安全領(lǐng)域儲備了一定數(shù)量的人才�,但數(shù)據(jù)安全領(lǐng)域的人才����,無論是廠商端還是用戶端,目前都比較短缺。
第四���,從數(shù)據(jù)處理技術(shù)本身來看,過去這些年在數(shù)據(jù)保護(hù)���、安全防護(hù)方面走得快一點(diǎn)����;但如果從數(shù)據(jù)的共享流動(dòng)角度看,隱私計(jì)算����、多方計(jì)算�����、聯(lián)邦學(xué)習(xí)等技術(shù)尚處于發(fā)展初期,產(chǎn)業(yè)化的程度還有待提高���。
面對諸多行業(yè)難題,需要兼具前瞻眼光與執(zhí)行能力的安全廠商進(jìn)行有針對性的探索����。與傳統(tǒng)以安全技術(shù)能力建設(shè)為主要目標(biāo)的解決方案相比,安華金和數(shù)據(jù)安全運(yùn)營管控平臺(DSP)將管理和運(yùn)營體系提升到與技術(shù)能力建設(shè)同等的高度。
劉曉韜認(rèn)為,想要構(gòu)建綜合性的數(shù)據(jù)安全平臺,參與到相關(guān)數(shù)據(jù)安全建設(shè)中的角色必然是多樣的��。除傳統(tǒng)意義上利用技術(shù)工具來執(zhí)行操作的數(shù)據(jù)使用人員外�,數(shù)據(jù)安全的管理方和運(yùn)營監(jiān)管方也要具備相應(yīng)的手段來完成自身角色所承擔(dān)的任務(wù)����,實(shí)現(xiàn)“管理���、技術(shù)�����、運(yùn)營”三個(gè)體系相輔相成���,共同將整體解決方案真正落地���。
在安全能力建設(shè)的前期��,“安全管控”無疑是建設(shè)的重點(diǎn)��;而伴隨管控手段的逐步完善,如何將安全管控日?;?,以及怎樣在持續(xù)使用中優(yōu)化相關(guān)措施和策略��,從而令前期對安全能力建設(shè)的投入發(fā)揮更大的價(jià)值���,則成為后續(xù)建設(shè)的重點(diǎn)���。
安華金和通過構(gòu)建數(shù)據(jù)安全運(yùn)營管控平臺��,將數(shù)據(jù)安全運(yùn)營提升到一個(gè)全新的高度——即通過運(yùn)營讓安全監(jiān)測與安全管控更具目的性�����,讓客戶不止于“能用”���,還要感到“好用”�,并“持續(xù)地用起來”。
數(shù)據(jù)安全治理的實(shí)踐落地非一日之功�。盡管路途顛簸,但前方的風(fēng)景是最好的召喚����。
