数据安全的核心问题是“动态监管”、“动态维护”、“动态管理”。技术上的check list是做不了这个事情的,必须是运营 管理 评估的体系,才能把数据安全运行起来,才能看到效果。
数据安全治理服务方案要快速实践和落地,帮助用户简单入门并且快速见到效果,然后慢慢把复杂的体系建立起来。
数据安全治理的核心框架,以【技术】为底座,强调对数据安全进行【管理】和常态化的【运营】,还有我们在《数据安全治理白皮书4.0》中提出的【评估】——数据安全的本质是自评加外评构造起来的整体的合规体系。
数据安全治理到什么程度是ok的?不同的行业,不同的阶段有一定的区别,技术体系、管理体系、评估体系、运营体系四方面做好了,基本就完成了初级阶段的任务。
数据安全在我们国内也并不单单是一个合规的问题了,而是合法、合规、合理的新趋势。
——安华金和副总裁何晋昊
何晋昊,安华金和副总裁兼工程技术中心总经理,拥有15年以上信息安全技术从业经验,曾历任数据安全头部企业技术服务中心总经理、副总裁等职务,主要负责核心产品研发、重大项目交付、咨询服务和行业标准制定等工作,对数据安全领域有着开阔的市场前瞻思维,技术服务及相关实践落地经验丰富。
数据安全为何火?
国家推动数据流通市场态度坚决
数说安全 :何总好。当下数据安全市场非常火,未来市场空间比较大,安全行业的投资人也非常看好。您认为数据安全政策驱动还是需求驱动、还是产品技术驱动?
何晋昊 :三方面的驱动都存在,政策和需求主要驱动的是用户侧,产品技术主要驱动的是供给侧。
政策首先是国家战略层面上的考虑,在数据作为生产要素进行市场化配置的过程中,政策指导是供给侧改革的一个最重要的支柱。
“数据的流通、利用和发展”被作为一个市场提出,国家要推动这个市场的建设必须要考虑安全问题,东数西算、各地在建的数据交易市场……在这些背景之下,“数安法”、“个保法”、“网络安全法”三驾马车陆续出台。数据安全法为数据市场的构成搭建了规则和框架,它是一个非常顶层的法律,网信办在这基础上出台了相关条例。此后,监管单位、评估机构、厂商各自都有要承担的责任。
数安法和个保法从立法、草案征求意见到实施非常快,仅3年的时间,可以见得国家在推动数据流通市场的发展上意志非常坚决, 这就叫大势所趋。我觉得这是市场很热,投资人非常看好的一个根本原因。
发挥数据价值已是核心刚需,
数据安全需求活跃
何晋昊 :当然用户也非常重视,数据的价值在用户层已经达成共识。
数据是一种最为奇特的生产要素,它没有实体,就是一串比特,一串0101,用户最先需要知道的是我有哪些数据?然后要考虑怎么使用它。数据产生的价值越来越大,使安全成为了用户真正的刚需,想把数据真正地用起来,就一定要考虑安全问题。无论是运营商、银行、政府等各行各业,现在对于数据安全都是非常重视。
再说技术。数据由人类活动产生的,在虚拟世界里存放,对于数据的保护、承载和使用是一些it技术问题,包括数据的识别、使用、交换、共享等。
在这些场景和活动上对数据提供相应的保护工作,需要很强的技术门槛和创新能力。比如说做纯粹的安全管理系统,可能看的是业务沉淀,但是数据安全场景多、需求多,要不断创新性的运用技术去解决各种各样的问题,做好数据的发展和保护之间的平衡。
从我多年做数据安全的经验来讲,我对数据安全市场的未来一直抱有信心,我也非常喜欢这个赛道,数据安全跟传统网络安全是有区别的,数据跟业务紧密结合在一起,应该成为用户基础和核心的系统——他是一种业务系统,不是一个纯粹的安全管理系统。
数说安全 :当下法律法规和客户需求之间的耦合度如何?
何晋昊:在客户的感受上,前些年(10年前)大概是无法可循无规可依的状态,后面又变成了法太多规太多,这是一个必然的发展过程。我在通读完相关法律法规之后认为要求都是合理的,确实是在解决数据发展中的关键问题。“数安法”是框架,“个保法”是红线,“网络安全法”是基础和保障。每个行业来也有大量行业级的法规和条例,这是一个自上而下构建的法规体系。
数据安全未来法律法规建设体系的特点是,每个行业有自己真正可以落地的标准和法规体系,各行业用户执行对应行业相关的规定,这个事情需要长时间的努力去做。在实际落地过程中,我认为金融行业法规的构建落地是比较迅速的。安华金和也参与了很多数据安全国家标准和行业标准等规范的制定。
产品堆叠无疗效,
数据安全治理怎么解决问题
数说安全 :何总,近期安华金和发布了《数据安全治理白皮书4.0》,数据安全治理的思路与从前的数据安全产品堆叠相比有哪些明显的升级之处?
何晋昊:数据安全治理(dsg)是gartner提出的,安华金和最先开始在国内引入,数据安全治理不是凭空发明创造出的, 是数据拥有者或数据管理者自己发现,光靠堆叠简单的产品是没有办法实现“数据的保护利用”效果。
例如客户采购了一个数据库的审计设备,过段时间就会发现无法持续下去。为什么?因为数据库里面的一些策略配置根据业务的变化要进行不断调整,数据库每天都在发生新的变化,比如一个新上线的业务系统就会生成一个新的数据库,有对应新的人来使用这个数据库,新使用者和旧使用者的业务角色不同,对于数据的用法和分类分级机制也不同……所以如果你把数据库审计当成防火墙一样,只是根据网络结构配上一堆策略是不行的,审计类的设备要想用好并达到长期效果,就要不断去进行运维和管理。
对于用户行业级的主管部门而言也有这个问题,行业在快速变化,每年各种各样的分类分级策略的框架和规则要不断去检查和更新,不能按照一个技术清单式地检查来做,要持续进行更新和评估。哪怕同样是银行的业务场景,工商银行和交通银行内部系统结构就不同,使用人员的业务也有区别,可能是80%和20%的区别,八成是共性,二成是特色。
同样监管层也面临这个问题,监管不是简单的评估技术合规,而是在监管“管理合规”和“运营合规”,而且这个过程是动态的。
所以无论从用户使用层、行业主管层还是监管层,数据安全这面里的问题都是“动态监管”、“动态维护”、“动态管理”。技术上的check list做不了这个事情,它必须是运营 管理 评估的体系,才能把数据安全运行起来,才能看到效果。
实际上这就是数据安全治理的核心框架,以【技术】为底座,强调对数据安全进行【管理】和常态化的【运营】,还有我们提出的【评估】——数据安全的本质是自评加外评构造起来的整体的合规体系。
简单堆叠安全设备对于用户来说是很痛苦的,买了一堆设备,如果不每天维护,没有统一的管理,并不产生疗效。
服务模块化,帮用户找好切入点,
快速实践快速见效
数说安全 :数据安全治理方案定制化的情况会更多吗?
何晋昊 :在实际工作当中我们首先认为数据安全治理方案是一个比较庞大的系统,是一种认识论和方法论。在这个基础上会为用户去做入门级的简化,找一个适合客户的切入点,这么一个复杂的系统,实际上需要跟用户的实际情况结合到一起,包括预算问题,时间问题等。
不同的客户切入点不一样,但无论从哪个口子入,最终的目标都是要完成数据安全的治理体系,把数据保护真正的效果做起来。
比如安华金和强调产品的平台化,产品之间以数据为核心进行联动,帮助客户找到一个好的切入点,然后通过类似于拼图的方式,把用户数据安全治理的框架逐渐拼出来。k8凯发天生赢家的服务方案强调快速实践和快速落地,帮助用户入门并且快速见到效果,然后慢慢的把复杂的体系建立起来。
我们把技术管理、运营评估做成模块化、产品化和标准化的一块块拼图,最终拼成的整体框架。安华金和现在强调的是由标品提供商变成k8凯发天生赢家的解决方案提供商,这是我们经过大量实践总结出的最优的把数据安全治理落地到客户业务中的方式。
数据安全治理的核心特点:
在变化中实现合规
数说安全 :用户引入了数据安全治理之后,是不是就不用担心数据安全问题了?就可以不用采购其他数据安全产品了吗?
何晋昊 :这个问题从数据安全的角度上来看有点绝对。
数据安全治理是一个动态发展的过程,它对用户的价值主要体现在帮助用户在变化中实现合规。在数据安全领域,政策、法律法规体系正在一个快速建设的过程中;用户的业务和数据的种类和数量也在快速的变化中;相关的技术也是在快速的变化中;唯一不变的就是“变化”,所以数据安全治理体系的核心特点就是应对变化。
对于用户来说,一旦走上了数据安全治理的道路,就要一直走下去,只要他的单位还在生命周期里,就要去应对变化和挑战。数据安全在我们国内也并不单单是一个合规的问题了,而是合法、合规、合理的新趋势。所以数据安全靠一个东西就想达到一个上限,我认为是不可能的,它一定是越来越深入,越来越复杂,越来越有意思的一件事儿。
金融、运营商、企业、政府
数据安全需求活跃
数说安全 :哪些行业的客户对数据安全治理的需求是最强烈的?
何晋昊 :首先一定是金融行业。金融行业现在在做的事情是金融科技,其核心强调的是金融服务能力的开放与共享,底座其实就是金融数据的开放与共享,该行业用户对数据安全高度重视,而且推动的非常快。无论是银行类客户,还是非银客户,类似券商、基金、保险等,对数据安全目前的需求都非常的活跃。
第二就是运营商,运营商体系也是高度重视数据安全的。
第三就是各种各样的企业,咱们国家企业的品类太多了,就不一一来盘了,工信部对企业的数据安全管理非常的重视。对于企业用户自己来说,数据是他自己的生产资料,承载了他的核心价值,是维持竞争力的一个保障,所以企业客户也是需求非常强的客户种类。
上面三个行业的客户我认为是非常积极和主动地在做数据安全,其他行业目前也是遍地开花的趋势,实际上目前国内的情况是所有行业都在考虑数据安全,包括政府,大家都很重视这个问题。
银行客户和企业客户,
做数据安全有什么明显不同?
数说安全 :安华金和平时做的最多的是金融行业吗?
何晋昊 :我们主要是金融、企业、还有政府。
安华金和一直以来坚持技术创新,我们的产品在很多行业客户的数据安全建设工作中都成为了标配,大家都非常认可这个品牌。金融、企业是我们做的最多的领域,还有一部分是政府行业。
数说安全 :在具体的实践中,安华金和也做过很多案例了,能否举例给大家介绍一下不同行业做数据安全的侧重点有什么不同?
试用申请