剛剛結(jié)束的兩會(huì)政府報(bào)告中,提出了要強(qiáng)化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)。毫無(wú)懸念,今年數(shù)據(jù)安全仍是關(guān)乎組織戰(zhàn)略制定與發(fā)展的重要命題。數(shù)據(jù)驅(qū)動(dòng)著發(fā)展,同時(shí)也暗藏風(fēng)險(xiǎn),數(shù)據(jù)安全問(wèn)題是個(gè)人到企業(yè)到國(guó)家層面都高度重視的問(wèn)題。
由CIO時(shí)代、新基建創(chuàng)新研究院與數(shù)世咨詢聯(lián)手打造的全新直播間《安全說(shuō)》,將邀請(qǐng)網(wǎng)安領(lǐng)域的專家和知名CIO,共同圍繞“第二屆數(shù)字安全大會(huì)”、大會(huì)主題“人機(jī)合智”等數(shù)據(jù)安全相關(guān)的熱點(diǎn)話題持續(xù)推出系列對(duì)話訪談,共同探討數(shù)字安全的新態(tài)勢(shì)。
3月18日,以“數(shù)據(jù)安全治理為什么難以落地”為主題的第二期《安全說(shuō)》直播順利舉行。本場(chǎng)直播由CIO時(shí)代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長(zhǎng)劉晶主持,邀請(qǐng)數(shù)世咨詢的創(chuàng)始人&CEO李少鵬、霍因科技創(chuàng)始人呂穎軒做客直播間,進(jìn)行了主題交流和探討,共話數(shù)據(jù)安全治理的路徑和發(fā)展趨勢(shì)。
2020年,中央首次明確“數(shù)據(jù)成為第五大生產(chǎn)要素”,數(shù)據(jù)安全的重要性毋庸置疑。近年來(lái),許多安全廠商也都在爭(zhēng)相發(fā)力數(shù)據(jù)安全,尤其是數(shù)據(jù)安全治理的概念被很多人接受。但無(wú)論從用戶的普遍反應(yīng)還是廠商的聲音來(lái)看, 除了一些工具類產(chǎn)品,真正的DSG體系似乎很難落地。
【對(duì)話訪談】
劉晶: 數(shù)據(jù)安全和數(shù)據(jù)治理安全有什么區(qū)別?
李少鵬:數(shù)字安全的概念是以網(wǎng)絡(luò)安全為基礎(chǔ)手段,以數(shù)據(jù)安全為核心目的。進(jìn)入數(shù)據(jù)時(shí)代,全國(guó)都在建大數(shù)據(jù)局、政數(shù)局,目的就是要將數(shù)據(jù)價(jià)值充分釋放出來(lái),推動(dòng)社會(huì)經(jīng)濟(jì)發(fā)展和人類文明進(jìn)步。所以,數(shù)據(jù)在被定義為第五大生產(chǎn)要素后,數(shù)據(jù)安全的重要性就不言而喻。不可忽視的是數(shù)據(jù)安全固然重要,但其落地和實(shí)施還面臨巨大挑戰(zhàn)。
“數(shù)據(jù)安全”和“數(shù)據(jù)安全治理”從定義上來(lái)看,數(shù)據(jù)安全指的一個(gè)事物的名稱,而數(shù)據(jù)安全治理是一個(gè)活動(dòng)過(guò)程,本身是不具可比性的。
劉晶:如果沒(méi)有做好數(shù)據(jù)治理,那是否做好數(shù)據(jù)安全治理呢?
李少鵬:業(yè)界普遍認(rèn)為只有做好數(shù)據(jù)治理的工作,數(shù)據(jù)安全治理的工作才能做好。但這又面臨了第二個(gè)問(wèn)題, 數(shù)據(jù)治理是一個(gè)宏大的工程,隨著《數(shù)據(jù)安全法》、《個(gè)人隱私保護(hù)法》等法律法規(guī)的相應(yīng)出臺(tái),企業(yè)經(jīng)營(yíng)就需要滿足安全合規(guī)。在實(shí)現(xiàn)安全合規(guī)過(guò)程中,你把數(shù)據(jù)治理工作那層完成了,就會(huì)付出昂貴的成本,用戶是不愿意承擔(dān)這個(gè)時(shí)間、人力或財(cái)務(wù)成本的。
因此“數(shù)據(jù)安全治理”的概念或是邏輯關(guān)系應(yīng)該是數(shù)據(jù)大于治理,治理大于安全,換句話說(shuō)就是治理當(dāng)中應(yīng)該有安全、有業(yè)務(wù)、有效率。網(wǎng)絡(luò)安全是管理層面的內(nèi)容,屬于治理的一部分,用治理的概念做安全顯然就是“大炮打蚊子”。所以我認(rèn)為,關(guān)注的重點(diǎn)應(yīng)當(dāng)從 “數(shù)據(jù)安全治理”到“數(shù)據(jù)治理的安全能力”的轉(zhuǎn)換。
呂穎軒:從Gartner定義上來(lái)看,在IT策略、經(jīng)營(yíng)策略層面上來(lái)看,數(shù)據(jù)安全治理是一個(gè)龐大的概念,頂層設(shè)計(jì)非常繁重?;粢蚩萍家恢痹谧鰯?shù)據(jù)治理工作,將數(shù)據(jù)治理分為三類:一是業(yè)務(wù)類,如智能制造、BI;二是效率類,如降本增效、流程再造;三是目前大火的安全合規(guī)類。霍因現(xiàn)有的諸多客戶已把數(shù)據(jù)使用過(guò)程中如何安全合規(guī)、不違規(guī)、不違法作為了數(shù)據(jù)治理的一個(gè)重要驅(qū)動(dòng)力。所以,在我看來(lái),一定是數(shù)據(jù)治理先行,安全后行。
在霍因多年的行業(yè)實(shí)踐中發(fā)現(xiàn),許多客戶會(huì)去做數(shù)據(jù)治理的本職工作,但數(shù)據(jù)治理本身的一些短板,前期如數(shù)據(jù)咨詢方面的工作量會(huì)占到整個(gè)治理過(guò)程的90%,消耗巨大;客戶在做業(yè)務(wù)層面的數(shù)據(jù)治理時(shí),訴求多為數(shù)據(jù)使用混亂,希望通過(guò)治理去校正它;在相關(guān)的安全法律法規(guī)出臺(tái)后,數(shù)據(jù)治理又多了一項(xiàng)重點(diǎn)--安全合規(guī)。
安全合規(guī)是可以作為整個(gè)數(shù)據(jù)治理過(guò)程的切入點(diǎn),同時(shí)也是一個(gè)基座,這也是數(shù)據(jù)治理服務(wù)商可以看重的一片藍(lán)海。
其實(shí),數(shù)據(jù)安全是需要懂業(yè)務(wù),懂?dāng)?shù)據(jù)業(yè)務(wù),需要了解數(shù)據(jù)的態(tài)勢(shì),我們要有能力把數(shù)據(jù)市場(chǎng)化的前提上,再去部署數(shù)據(jù)安全。因此,我認(rèn)為正確的方法可以在數(shù)據(jù)治理方法論上去 “瘦身”,從比較精簡(jiǎn)的咨詢業(yè)務(wù)開(kāi)始,以安全合規(guī)為目的,將它的頂層設(shè)計(jì)再“瘦身”化,然后再輔助一些AI的工具去實(shí)現(xiàn)落地。所以,霍因科技提出了“安全驅(qū)動(dòng)的數(shù)據(jù)治理”這一理念。
劉晶:為什么安全是數(shù)據(jù)治理的第一驅(qū)動(dòng)力?
李少鵬:從本質(zhì)上看,大家對(duì)于數(shù)據(jù)安全的基本需求是合規(guī)。但在實(shí)際落地中,部分用戶在數(shù)字化轉(zhuǎn)型中進(jìn)行一些基礎(chǔ)的數(shù)據(jù)治理工作時(shí),會(huì)卡在安全合規(guī)上,這部分用戶是我們潛在的市場(chǎng)用戶。
目前的網(wǎng)絡(luò)安全來(lái)自政策驅(qū)動(dòng)約占70%,而數(shù)據(jù)安全一定有99%來(lái)自合規(guī)驅(qū)動(dòng)。因此,不能因?yàn)閿?shù)據(jù)治理難度大就不做,甚至連安全也不管了。正確的做法應(yīng)該是反其道而行之。在典型行業(yè)的數(shù)據(jù)安全治理中,合規(guī)是安全的第一驅(qū)動(dòng)力,因?yàn)樗烊坏臅?huì)跟效率、成本等產(chǎn)生矛盾。數(shù)據(jù)安全治理應(yīng)當(dāng)分類分級(jí),應(yīng)依照行業(yè)的不同,場(chǎng)景不同,級(jí)別就不一樣。
呂穎軒:從我們的市場(chǎng)經(jīng)驗(yàn)來(lái)看,數(shù)據(jù)安全治理的目標(biāo)客戶分為兩種:
一類是經(jīng)歷過(guò)數(shù)據(jù)治理階段,無(wú)論最終的效果如何,但這類客戶都會(huì)有一個(gè)基本的數(shù)據(jù)治理基礎(chǔ),只是需要補(bǔ)足數(shù)據(jù)安全方面的短板,所以傳統(tǒng)數(shù)據(jù)安全治理體系更適合;
第二類客戶是沒(méi)有經(jīng)歷過(guò)數(shù)據(jù)治理工作,但是希望安全合規(guī)為目標(biāo),同時(shí)完成數(shù)據(jù)業(yè)務(wù)+數(shù)據(jù)安全治理工作。這時(shí)就需要通過(guò)安全驅(qū)動(dòng)的數(shù)據(jù)治理方法論(就是數(shù)據(jù)治理+安全能力),針對(duì)安全合規(guī)類的目標(biāo)做數(shù)據(jù)治理實(shí)踐,其他系統(tǒng)再進(jìn)行復(fù)制。
數(shù)據(jù)安全治理的基礎(chǔ)是不光解決安全問(wèn)題,還能解決業(yè)務(wù)問(wèn)題,所以它以數(shù)據(jù)管理目標(biāo)是非常清晰的。市面上傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品一般被稱為安全工具或安全治理,它們并不關(guān)注數(shù)據(jù)管理的需求;也有一些是涉及數(shù)據(jù)管理某一階段的安全工作,比如出口安全控制,敏感數(shù)據(jù)發(fā)現(xiàn)等。但是并沒(méi)有解決客戶對(duì)于數(shù)據(jù)管理的真正痛點(diǎn)——如何通過(guò)安全更好的完成數(shù)據(jù)治理目標(biāo)。
現(xiàn)在市面上有很多號(hào)稱數(shù)據(jù)安全治理產(chǎn)品,一些客戶也買過(guò),但大部分還只是網(wǎng)安的建設(shè)思路,用傳統(tǒng)的敏感數(shù)據(jù)掃描,出個(gè)掃描報(bào)告。數(shù)據(jù)上該有的問(wèn)題并沒(méi)有真正解決,數(shù)據(jù)不敢輕易上行,也不知道怎么上行。為什么?因?yàn)樗旧頉](méi)有從數(shù)據(jù)治理的理念出發(fā),僅用傻瓜式規(guī)則掃描并不解決真正的數(shù)據(jù)管理問(wèn)題。
發(fā)現(xiàn)數(shù)據(jù)問(wèn)題后該怎么處置、用什么方式處置、處置方式是否合規(guī)等等這些問(wèn)題要用數(shù)據(jù)管理的理念,做項(xiàng)目全周期的設(shè)計(jì),里面包含數(shù)據(jù)咨詢,安全咨詢,產(chǎn)品配合。所以數(shù)據(jù)安全治理不只是為了檢查,是真正要解決數(shù)據(jù)管理中的安全問(wèn)題——也就是安全驅(qū)動(dòng)的數(shù)據(jù)治理。
劉晶:網(wǎng)絡(luò)安全與數(shù)據(jù)安全的區(qū)別是什么呢?
呂穎軒:數(shù)據(jù)安全是等保的最基礎(chǔ)要求。傳統(tǒng)的網(wǎng)安思路是不解決數(shù)據(jù)安全問(wèn)題的,它是典型的筑墻防守,在業(yè)務(wù)的外圍去筑一道城墻,不管是防火墻,是WAF,其本質(zhì)都是在業(yè)務(wù)或者說(shuō)它的資產(chǎn)的外圍形成保護(hù),它的原則是盡量不要去干擾業(yè)務(wù)。網(wǎng)安的核心聚焦于流量,我們可以基于流量有許多產(chǎn)品,可以不斷升級(jí),可以更加人工智能化。
現(xiàn)在真正的數(shù)據(jù)安全叫數(shù)安,必須正視的事實(shí)是沿用傳統(tǒng)思路已經(jīng)走不通。所以我們必須將數(shù)據(jù)的業(yè)務(wù)和態(tài)勢(shì)看得足夠清楚,深入到應(yīng)用層,才能真正地去做數(shù)據(jù)安全。如果不了解數(shù)據(jù)資產(chǎn),不清楚業(yè)務(wù)管理中的敏感數(shù)據(jù)在哪里,不知道相同數(shù)據(jù)資產(chǎn)在流轉(zhuǎn)過(guò)程中的不同安全等級(jí),那數(shù)據(jù)安全防護(hù)就無(wú)從說(shuō)起了。
目前,我們將保護(hù)的數(shù)據(jù)分為了兩類:第一類是個(gè)人隱私數(shù)據(jù),相對(duì)清晰的;第二類企業(yè)機(jī)密數(shù)據(jù),它分為商業(yè)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、研發(fā)數(shù)據(jù)等等,這些數(shù)據(jù)具有極重的一些行業(yè)屬性,是靠機(jī)械學(xué)習(xí)所積累能力。
所以,數(shù)據(jù)安全一定是具備行業(yè)屬性,你要積累這個(gè)行業(yè)里面一些數(shù)據(jù)的能力,你才可以去做好數(shù)據(jù)安全防護(hù)。
劉晶:霍因科技在數(shù)據(jù)治理安全中聚焦的行業(yè)有哪些?
呂穎軒:霍因目前聚焦的行業(yè)是泛電力行業(yè)中的物聯(lián)網(wǎng)、新能源、電子裝備制造等等。它們的數(shù)據(jù)特性是數(shù)據(jù)標(biāo)準(zhǔn)相對(duì)清晰,我們可以通過(guò)機(jī)器學(xué)習(xí)的能力將泛電力行業(yè)中的數(shù)據(jù)進(jìn)行場(chǎng)景化解讀,在數(shù)據(jù)治理里,難點(diǎn)在于場(chǎng)景的理解,通過(guò)將數(shù)據(jù)場(chǎng)景解讀并標(biāo)準(zhǔn)化后,我們就可以對(duì)同行業(yè)客戶中類似的數(shù)據(jù)進(jìn)行快速的數(shù)據(jù)安全治理動(dòng)作,也就是我前面提到的“數(shù)據(jù)治理方法論”的瘦身。
以前經(jīng)常會(huì)提到數(shù)據(jù)的全生命周期,我認(rèn)為數(shù)據(jù)不一定是全生命周期的事情,不光只有計(jì)算和流轉(zhuǎn)場(chǎng)景。如果要檢查是否分級(jí),那它的靜態(tài)存儲(chǔ)數(shù)據(jù)就不需要檢查了嗎?不,它是基于全量全域去檢查所有的分類數(shù)據(jù),這對(duì)于安全行業(yè)來(lái)講難度是很高的,安全追求的是非短板效應(yīng),而全量和全域是傳統(tǒng)數(shù)據(jù)治理的基礎(chǔ)性工作。
劉晶:數(shù)據(jù)治理安全中重點(diǎn)關(guān)注的有哪些?
李少鵬:我們建立了那么多安全體系,有一點(diǎn)不對(duì)就會(huì)被打穿,安全的結(jié)構(gòu)特別是不對(duì)稱的,攻擊者和防御者完全是不對(duì)稱的,防御者需要cover一切,攻擊者只需要搞定一點(diǎn)。
整個(gè)的數(shù)據(jù)安全市場(chǎng),到目前為止,我認(rèn)為最該關(guān)注是企業(yè)級(jí)數(shù)據(jù)安全。為什么這么說(shuō)呢?你看我們能力圖譜。數(shù)據(jù)作為資產(chǎn),有網(wǎng)絡(luò)就會(huì)有敏感數(shù)據(jù),就需要將其保護(hù)起來(lái)。但現(xiàn)在,要求數(shù)據(jù)開(kāi)放流動(dòng),所以運(yùn)營(yíng)商、醫(yī)療數(shù)據(jù),包括公安數(shù)據(jù)都要共享,這給人類社會(huì)帶來(lái)了巨大轉(zhuǎn)變。但現(xiàn)在隱私計(jì)算能力的不足,我們還不能實(shí)現(xiàn)落地。
隱私計(jì)算,它一定是跟數(shù)據(jù)的流動(dòng)性是有直接相關(guān)的。我們將重點(diǎn)聚焦在數(shù)據(jù)的開(kāi)放性上,首先企業(yè)自身先用,各個(gè)不同的部門將數(shù)據(jù)應(yīng)用起來(lái),在有限共享范圍內(nèi)與業(yè)務(wù)合作伙伴和用戶實(shí)現(xiàn)數(shù)據(jù)開(kāi)放。我認(rèn)為,在未來(lái)三五年內(nèi)數(shù)據(jù)安全的落地價(jià)值將在這里。當(dāng)然,未來(lái)隱私計(jì)算成熟后,數(shù)據(jù)可全社會(huì)范圍內(nèi)流動(dòng)時(shí),之前提到的問(wèn)題就解決了。
在實(shí)現(xiàn)數(shù)據(jù)治理安全上,我認(rèn)為還是標(biāo)準(zhǔn)先行或是白皮書先行。所以,數(shù)世咨詢會(huì)與霍因科技聯(lián)合發(fā)布《數(shù)據(jù)治理安全能力白皮書》。這不是數(shù)據(jù)安全治理,而是數(shù)據(jù)治理安全能力的白皮書。同時(shí),我也希望跟有相同安全理念的數(shù)據(jù)安全廠商共同來(lái)完成。
【互動(dòng)問(wèn)答】
直播間的觀眾們積極踴躍地提出了很多問(wèn)題,在稍后的互動(dòng)問(wèn)答環(huán)節(jié),數(shù)世咨詢的創(chuàng)始人、CEO李少鵬和霍因科技創(chuàng)始人呂穎軒也進(jìn)行了詳盡生動(dòng)的解答,下面精選兩個(gè)觀眾的問(wèn)題進(jìn)行回顧:
1、如何實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化?
呂穎軒: 數(shù)據(jù)如何資產(chǎn)化最終還是離不開(kāi)數(shù)據(jù)治理。數(shù)據(jù)是分為不同形態(tài)的,它在ODS層(貼源層),在DW層(靠數(shù)倉(cāng)層),以及最后的數(shù)據(jù)超市都是文件形態(tài),只有越往上走它的資產(chǎn)化程度才會(huì)越高。
因此,它是經(jīng)過(guò)繁重的清洗和質(zhì)量治理過(guò)程,去逐步形成數(shù)據(jù)資產(chǎn)化。換句話說(shuō),數(shù)據(jù)資產(chǎn)化不是個(gè)安全問(wèn)題,是一個(gè)數(shù)據(jù)治理問(wèn)題。但它也是一個(gè)安全的基礎(chǔ)問(wèn)題。
2、如果公司在做完數(shù)據(jù)安全治理之后,再做數(shù)據(jù)治理,會(huì)遇到哪些困難?
呂穎軒:DSG在進(jìn)行中,大概率的應(yīng)該是滿足了我們所說(shuō)的諸多場(chǎng)景中的一、二個(gè)場(chǎng)景,因此,場(chǎng)景上的內(nèi)容都不會(huì)丟棄,我覺(jué)得其實(shí)可以根據(jù)場(chǎng)景來(lái)劃分,根據(jù)不同場(chǎng)景來(lái)劃分。
例如,他已經(jīng)做過(guò)數(shù)據(jù)流轉(zhuǎn),我通過(guò)一個(gè)關(guān)口的思想怎么去控制,搗亂基層格式,如何找到它轉(zhuǎn)發(fā)的合法性和合規(guī)性,可以在計(jì)算、數(shù)據(jù)交換、數(shù)據(jù)存儲(chǔ)的場(chǎng)景下,我們?cè)偃プ鰯?shù)據(jù)安全治理。
關(guān)于霍因科技:
霍因科技聚焦在安全合規(guī)驅(qū)動(dòng)下的數(shù)據(jù)治理方案,通過(guò)CDC下一代數(shù)據(jù)安全理論(Consult-Discover-Control),采用場(chǎng)景化能力復(fù)用及機(jī)器學(xué)習(xí)能力,將數(shù)據(jù)治理與數(shù)據(jù)安全管理能力融合。
從客戶數(shù)據(jù)業(yè)務(wù)的咨詢與法規(guī)理解和導(dǎo)入,到基于機(jī)器學(xué)習(xí)技術(shù)與大數(shù)據(jù)湖倉(cāng)技術(shù)為企業(yè)構(gòu)建安全的數(shù)據(jù)管理環(huán)境,再到基于生態(tài)的全面安全控制?;粢蚩萍纪ㄟ^(guò)“Consult-Discover-Control”理念為政企客戶實(shí)踐數(shù)據(jù)管理及安全合規(guī)方案。
霍因科技:安全驅(qū)動(dòng)的數(shù)據(jù)治理優(yōu)勢(shì):
1. 全域:結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文件/音視頻)
2. 全場(chǎng)景:個(gè)人隱私數(shù)據(jù)、企業(yè)數(shù)據(jù)(商業(yè)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)...)
3. 全鏈路:數(shù)據(jù)在采集、存儲(chǔ)、處理、交換、管理等全鏈路上的安全管理