人类对于数据的态度可能从来没有像今天这样矛盾。 在数字经济的快速发展中,数据的价值进一步显现,全球各国都在围绕数据资源博弈升级; 但同时,公众对于数据安全和隐私的担忧也变得越来越强烈。
站在数据的十字路口,我们应该如何理解数据安全?如何应对数字经济发展所伴生的数据保护及个人隐私争议?数据究竟该如何被安全的使用和共享?
安华金和副总裁、工程技术中心总经理何晋昊做客“解码2022中国网安强星”直播间,分享了数据安全治理相关的理念、框架和最新技术。
【资料图】
专注数据安全领域13年
中国“数据安全治理”体系首创者
安华金和成立于2009年,至今已专注数据安全领域13年,是国内最早一批专业从事国产数据安全产品及解决方案的企业,同时也是中国“数据安全治理”理念、体系的提出者和践行者。
在安华金和多年的发展历程中, 完整参与到中国数据安全市场从启蒙走向发展壮大的过程,深刻理解行业趋势、用户需求,其技术成熟度、产品实现能力、产品线宽度均位于业界前列 。
据公开资料显示,安华金和已连续多年、十数次入选Gartner数据安全、数据管理、隐私保护、威胁应对、应用安全、风险管理等技术成熟度曲线研究报告,跻身DAP(数据库审计与保护)、数据脱敏领域全球代表厂商行列,同时也是以上两个领域代表厂商中唯一的中国数据安全企业。
如今,安华金和已服务客户上千家,产品及解决方案在政府、金融、能源、医疗、教育、企业、运营商等重点行业广泛部署应用。
在2022年6月中国网络安全产业联盟(CCIA)最新发布的“2022年中国网络安全竞争力50强”榜单中,安华金和从近300家网络安全企业中脱颖而出,凭借深厚的技术实力和强劲的发展态势成功登榜。
点击阅读:安华金和荣膺“2022年中国网安产业竞争力50强”
数据安全驶入快车道
行业落地呈现四大痛点
全球数字经济产业的快速发展,带来了国家安全、产业安全以及个人隐私权等诸多问题,数据安全是一个绕不开的重要议题。
一方面,企业面临的数据安全威胁持续升级,导致数据泄露、数据非法使用等事件频发,由数据泄露引发的企业成本损失逐年增长,企业采购成熟数据安全产品和服务的紧迫性和必要性逐渐提高。
另一方面,面对严峻的数据安全态势,我国不断出台网络安全和数据治理相关政策和法律法规,对数据安全的监管力度不断提升,随着2021年《数据安全法》、《个人信息保护法》的发布,国内数据安全发展加速的趋势明显。
在产业内生需求和国家政策监管的双重驱动下,国内数据安全市场驶入快车道。
尽管数据安全市场呈现出强劲的发展态势,但与网络安全服务相比,数据安全服务市场仍需逐步培育。
在何晋昊看来,数据安全治理依然存在诸多痛点,导致在实际中面临落地难的问题。
一是认知不清晰。 “数据安全到底是什么,从哪里来到哪里去,要达到什么样的效果,其实在产业上下游之间尚未达成共识”,何晋昊指出。
《网络安全法》、《个人信息保护法》、《数据安全法》以及等保条例等法律法规的出台,构成了数据安全治理的重要合规驱动力,但由于相关细化的数据安全监测与管控等实施细则尚不完善,如何应对合规要求,建立与各法律法规相适配的防护策略,实现一致性的合规治理,是数据安全落地的首要挑战。
何晋昊认为,之所以数据安全有法可依却依然难落地,其根本原因在于数据安全的特殊性。
数据资产具备流动性,其资产价值也会动态发生变化,这就使得数据安全不同于传统信息安全,可以展开相对固定的、静态的风险评估和清单式的安全建设。
数据安全实际上需要从数据安全防护和数据利用两个层面去考虑 ,对数据安全的认知决定了后续能否很好的落地。
二是组织资源错配。 很多政企机构将安全和数据设立为两个部门,投入的资源和目标并不一致。但实际上从安全建设上看,数据和安全需要整合在一起。
三是体系复杂。 数据由于天生的特性,加上安全之后成为了一个复杂的问题,涉及到管理、运营、技术等方方面面。
因此,数据安全落地的复杂程度很高,是一个跨学科、跨领域、跨部门的复杂体系。
四是需长期建设、持续运营。 从数据安全本质上来看,数据安全是一个需要长期建设和持续运营的工作。
数据和业务都是快速变化的,这意味着安全防护体系和整个数据安全体系,都需要随着业务和数据持续变化。
何晋昊表示,无论是企业、监管机构还是第三方机构,整个产业都需要从思路上改变,提升对数据安全的认知,从而有耐心去进行数据安全体系化的建设。
管理+运营+技术“三驾马车”
驱动数据安全治理
尽管数据安全落地面临诸多难点,但用户侧对数据安全治理的需求越来越紧迫,同时国家层面也在持续推出和完善相关法律法规,对数据安全治理提出了更加清晰的目标,这也将数据安全治理概念从幕后推到了台前。
数据安全治理最早由Gartner在2015年提出,被定义为从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条,以最有效的方式保护信息资源。
安华金和率先将这一理念引入中国,落地为一套适合本土用户的方法论,成为中国数据安全治理体系的首创者。
2021年,安华金和将数据安全治理的愿景由“让数据使用更安全”更加清晰地表述为“让数据使用自由而安全”,进一步体现了其有效推动数据开发利用与数据安全一体两翼、平衡发展的理念。
在安华金和的体系中,数据安全治理框架由管理、运营、技术三大体系框架构成,以数据安全管控策略为核心,以管理体系为指导,以运营体系为纽带,以技术体系为支撑,形成闭环管控的数据安全体系,能够动态、持续保障数据处理活动的有序安全开展。
“在数据安全领域,唯一不变的就是变化。虽然数据安全很复杂,但是管理、运营、技术三驾马车的整合,完美解决了数据安全落地的问题”,何晋昊表示。
在数据安全治理框架的指导下,安华金和发展出相应的落地建设方法和配套技术,提供包括数据资产梳理、数据分类分级、数据流动和使用过程管控及审计的数据安全治理整体解决方案,产品与服务覆盖数据全生命周期。
在何晋昊多年的实施经验中, 找准切入点是第一步,先缩小防护边界,之后再循序渐进地建设数据安全体系。
在初级阶段,企业首先要对选中的重点系统或网域里的数据进行分级分类,并对相关数据活动进行相应的监测和防护,形成数据识别、监测、防御的闭环;
在中级阶段,企业数据安全体系建设可以从某一个系统扩展到更多系统,用搭积木的方式不断优化和调整;
在高级阶段,企业已经具备了对应的组织架构、管理体系和技术体系,能够真正围绕数据在全网、全应用、全域的安全和自由流通去进行建设。
例如,在政务行业,政务大数据中心的数据安全成为数字政府成败的关键,如何保障政务数据安全共享和流动成为行业关注重点。
对此,安华金和采用了四个阶段分步落地数据安全治理体系:
第一阶段,梳理法律政策要求,建立政务数据安全合规库,为政务数据安全定责立规;
第二阶段,梳理政务数据流转全景,形成数据资产清单,明确数据安全风险;
第三阶段,定义政务数据分类分级标准,圈定保护重点;
第四阶段,可视化展现重要系统节点数据交互和访问情况,溯源安全风险,数据安全事件前期有效处置。
基于安华金和的方案与实施,显著提升了政务数据共享交互的安全保障能力,一方面落实数据分类分级,对数据进行自动化、智能化的探查与梳理,另一方面基于大数据、机器学习、UEBA等技术构建数据安全访问模型,直观呈现数据流转过程中的行为和风险,全方位掌控数据安全态势,责任界定有理有据。
“把复杂的问题简单化,把简单的问题标准化,步步见疗效,不断的循环,我们用这种方式来做数据安全治理”,何晋昊表示。
对于用户而言,安华金和更像是一个合作者、陪伴者,陪伴用户在长期的建设中一步步落地数据安全。
以用户需求和领先技术为驱动
助力行业落地数据安全
2021年《数据安全法》的颁布,标志着我国数据安全进入有法可依、依法建设的新阶段,也揭开了数据安全领域发展的新篇章。
数据安全治理作为一个涵盖了多种技术的复杂体系,仍在不断延伸技术的触角,探索新的可能性。
在何晋昊看来,数据安全技术正在快速发展,结合政策和市场多方面因素,有几大技术趋势值得关注:
一是多种技术加速融合,如:数据分级分类与AI、RPA等技术的结合;二是监测技术走向XDR;三是国产化趋势下的技术配套;四是安全大数据分析技术及风险控制模型等的发展;五是数据共享和交换技术,如隐私计算等;六是密码安全技术的革新。
直播精选:数据安全的技术体系
何晋昊表示,安华金和作为热爱和专注于数据安全领域的企业,一直保持着开放的心态,持续研究最新技术,保持着行业的领先地位。
早在2010年,安华金和就建立了数据库安全实验室(DBSec Labs),是中国第一批成立的、具备“国际数据库漏洞挖掘能力”的规模化数据库安全研究机构,拥有国内首个针对数据库漏洞进行系统分类与定性分析的专业团队,十余年坚持致力数据库漏洞及攻防研究。
除了在技术侧的不断投入,安华金和坚持扎根用户、服务用户和立足于用户的需求,通过不断完善的方法论帮助用户去解决实际的困惑和问题。
同时,安华金和也积极参与到数据安全国家标准、行业标准的制定中,将多年的行业实践和经验共享给全行业。
“13年来,安华金和一直坚持以用户为导向,根据不同的时代、不同的阶段、数据安全所处的情况,以技术和产品来驱动,帮助用户解决问题。我们 一 直强调,用户的价值才是公司的价值、产品的价值、技术的价值。”何晋昊表示。
结语
数字化时代,数据安全市场快速发展。
IDC指出,在数据安全服务市场方面,相关法律法规的颁布直接驱动了整体中国数据安全市场的发展。未来三年,数据安全相关的体系建设规划咨询、分类分级等咨询服务将迎来发展的 黄金期。
机会永远垂青有准备者,安华金和在数据安全领域已积淀多年,如今在国家数据安全大战略下迎来了自己的高光时刻。
随着安华金和在技术和行业上的持续深耕,也将为国内多个行业带来领先的数据安全治理“中国方案”。