信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”，訪談嘉賓：劉險(xiǎn)峰，分析師：王劍橋，記者：石益凡。

隨著數(shù)據(jù)安全上升至國(guó)家層面，開(kāi)展數(shù)據(jù)安全建設(shè)再也不是一件可以“得過(guò)且過(guò)”的事情，保障數(shù)據(jù)資產(chǎn)安全已經(jīng)成為現(xiàn)代企業(yè)管理者的普遍共識(shí)。然而很多企業(yè)在建設(shè)實(shí)踐中卻發(fā)現(xiàn)，隨著各種數(shù)據(jù)安全防護(hù)產(chǎn)品應(yīng)用增加，企業(yè)的數(shù)據(jù)安全問(wèn)題仍然存在，而數(shù)據(jù)安全防護(hù)的運(yùn)維效率卻不斷降低。

各類數(shù)據(jù)安全事件為何層出不窮？數(shù)據(jù)安全防護(hù)真是一個(gè)無(wú)解的難題嗎？企業(yè)新一代數(shù)據(jù)安全能力建設(shè)應(yīng)該如何驅(qū)動(dòng)？帶著以上問(wèn)題，本期牛人訪談特別邀請(qǐng)到國(guó)內(nèi)數(shù)據(jù)安全解決方案廠商保旺達(dá)公司副總經(jīng)理劉險(xiǎn)峰，就數(shù)字化時(shí)代企業(yè)如何高效開(kāi)展數(shù)據(jù)安全建設(shè)展開(kāi)討論。

劉險(xiǎn)峰認(rèn)為：滿足合規(guī)要求只是企業(yè)數(shù)據(jù)安全建設(shè)的基礎(chǔ)，構(gòu)建”合規(guī)+安全“雙輪驅(qū)動(dòng)的體系化數(shù)據(jù)安全整體防護(hù)方案，以合規(guī)驅(qū)動(dòng)牽引數(shù)據(jù)安全意識(shí)升級(jí)，以安全驅(qū)動(dòng)防護(hù)能力提升，才可以為企業(yè)數(shù)據(jù)安全建設(shè)賦予新動(dòng)能。

劉險(xiǎn)峰

江蘇保旺達(dá)軟件技術(shù)有限公司副總經(jīng)理兼北京分公司總經(jīng)理，曾任中國(guó)聯(lián)通集團(tuán)首位信息安全專家、深圳國(guó)華網(wǎng)安科技股份有限公司(000004.SZ)CTO、北京智游網(wǎng)安(愛(ài)加密)科技有限公司CTO，VP、中國(guó)聯(lián)通大數(shù)據(jù)公司安全與合規(guī)部總經(jīng)理。工信部信息安全標(biāo)準(zhǔn)主要編寫人之一、中國(guó)信息通信研究院互聯(lián)網(wǎng)新業(yè)務(wù)特聘專家、中國(guó)信息安全中心注冊(cè)信息安全專業(yè)人員（CISP-PIP）、國(guó)際ISO27001標(biāo)準(zhǔn)信息安全主任審核員，國(guó)際項(xiàng)目管理專業(yè)人員（PMP），國(guó)家計(jì)算機(jī)程序員認(rèn)證，工信部網(wǎng)絡(luò)安全電子取證及風(fēng)險(xiǎn)評(píng)估師。

01

安全牛：

我們看到，包括保旺達(dá)公司在內(nèi)的一些數(shù)據(jù)安全服務(wù)商正在積極推動(dòng)“安全+合規(guī)”雙輪驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)，這可以給企業(yè)用戶帶來(lái)哪些價(jià)值？

劉險(xiǎn)峰：

目前企業(yè)數(shù)據(jù)安全建設(shè)出發(fā)點(diǎn)主要有兩個(gè)，一個(gè)是合規(guī)驅(qū)動(dòng)，一個(gè)是安全風(fēng)險(xiǎn)驅(qū)動(dòng)。在過(guò)去的很長(zhǎng)一段時(shí)間里，數(shù)據(jù)安全建設(shè)的合規(guī)要求比其他網(wǎng)絡(luò)安全更高，甚至可以說(shuō)是合規(guī)性監(jiān)管要求推動(dòng)了我國(guó)數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展規(guī)模和方向，尤其是在《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《密碼法》這些國(guó)家級(jí)法律法規(guī)頒布實(shí)施之后。

從社會(huì)和民眾的角度來(lái)看，他們最關(guān)心的是個(gè)人信息泄露和隱私保護(hù)等常見(jiàn)的安全問(wèn)題。如果企業(yè)數(shù)據(jù)安全工作沒(méi)做好，不僅會(huì)影響企業(yè)自身，還有可能侵犯公民隱私，影響國(guó)家安全。因此，如果僅從安全風(fēng)險(xiǎn)驅(qū)動(dòng)的角度來(lái)開(kāi)展數(shù)據(jù)安全建設(shè)，有部分企業(yè)就會(huì)從自身的利益和風(fēng)險(xiǎn)出發(fā)，但忽略公民權(quán)益和國(guó)家風(fēng)險(xiǎn)，這樣會(huì)讓數(shù)據(jù)安全建設(shè)失去戰(zhàn)略方向。

但是如果僅從合規(guī)驅(qū)動(dòng)來(lái)做數(shù)據(jù)安全建設(shè)，又可能導(dǎo)致數(shù)據(jù)安全建設(shè)和企業(yè)的實(shí)際業(yè)務(wù)流程、安全需求脫鉤，不僅不能解決企業(yè)實(shí)際的數(shù)據(jù)安全問(wèn)題，有可能還會(huì)對(duì)企業(yè)正常的生產(chǎn)運(yùn)營(yíng)產(chǎn)生負(fù)面影響，導(dǎo)致數(shù)據(jù)安全合規(guī)體系與實(shí)際數(shù)據(jù)安全防護(hù)體系兩張皮，無(wú)法有效的運(yùn)營(yíng)流轉(zhuǎn)和閉環(huán)。如果合規(guī)體系不能有效閉環(huán)和運(yùn)營(yíng)流轉(zhuǎn)，久而久之就必然僵化滯化，最終淪為一個(gè)擺設(shè)或者簡(jiǎn)單的合規(guī)數(shù)據(jù)填報(bào)系統(tǒng)。

所以企業(yè)的數(shù)據(jù)安全建設(shè)必須是合規(guī)和安全雙驅(qū)動(dòng)，并做好兩者的有效融合和閉環(huán)運(yùn)轉(zhuǎn)，做到既能滿足監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)安全監(jiān)管要求，又能夠解決企業(yè)的實(shí)際數(shù)據(jù)安全問(wèn)題，防范數(shù)據(jù)安全風(fēng)險(xiǎn)，形成閉環(huán)的數(shù)據(jù)安全運(yùn)營(yíng)體系，能夠有效運(yùn)營(yíng)并持續(xù)改進(jìn)。

02

安全牛：

企業(yè)在開(kāi)展數(shù)據(jù)安全建設(shè)時(shí)，合規(guī)需求和安全需求的主要差異點(diǎn)是什么？如何實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)建設(shè)和安全需求建設(shè)的有機(jī)融合？

劉險(xiǎn)峰：

我們可以認(rèn)為，數(shù)據(jù)安全的合規(guī)建設(shè)是自上而下推動(dòng)的，是國(guó)家及監(jiān)管機(jī)構(gòu)對(duì)企業(yè)進(jìn)行數(shù)據(jù)活動(dòng)的安全要求；而安全風(fēng)險(xiǎn)驅(qū)動(dòng)因素是自下而上產(chǎn)生的，是企業(yè)內(nèi)部防范安全風(fēng)險(xiǎn)事件，防止數(shù)據(jù)泄露的安全需求。安全合規(guī)需求提供了數(shù)據(jù)安全防護(hù)的底線，而安全風(fēng)險(xiǎn)防護(hù)需求提供了進(jìn)一步針對(duì)企業(yè)自身業(yè)務(wù)的防護(hù)要求。

數(shù)據(jù)安全雙輪驅(qū)動(dòng)的理念就是要將合規(guī)驅(qū)動(dòng)和安全驅(qū)動(dòng)這兩個(gè)主要驅(qū)動(dòng)點(diǎn)進(jìn)行有效融合，在管理上和技術(shù)上做好上下對(duì)接和貫通，最終形成一個(gè)能夠閉環(huán)且有效運(yùn)營(yíng)的整體數(shù)據(jù)安全體系，在滿足監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)安全監(jiān)管要求下解決企業(yè)的實(shí)際數(shù)據(jù)安全問(wèn)題，防范數(shù)據(jù)安全風(fēng)險(xiǎn)。

03

安全牛：

根據(jù)您的應(yīng)用實(shí)踐，雙輪驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)能否在企業(yè)中有效落地？

劉險(xiǎn)峰：

對(duì)于企業(yè)而言，如果要讓雙輪驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)真正落地，首先需要深入了解國(guó)際和國(guó)內(nèi)有關(guān)于數(shù)據(jù)安全的法律法規(guī)和監(jiān)管要求，基于自身業(yè)務(wù)范圍的情況確定適用的法律法規(guī)和監(jiān)管要求并對(duì)其進(jìn)行逐條解讀和拆解，形成企業(yè)法律法規(guī)遵從性目錄，定期根據(jù)新的法律法規(guī)進(jìn)行調(diào)整和更新，這是雙輪驅(qū)動(dòng)、融合建設(shè)的起點(diǎn)。

其次是進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，主要發(fā)現(xiàn)兩類風(fēng)險(xiǎn)，第一類是合規(guī)性風(fēng)險(xiǎn)，哪些法律法規(guī)遵從性目錄不符合或者沒(méi)有滿足要求；第二類是實(shí)際數(shù)據(jù)安全風(fēng)險(xiǎn)，即目前企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)存在哪些漏洞和數(shù)據(jù)泄露的風(fēng)險(xiǎn)點(diǎn)，如果不整改就可能發(fā)生安全問(wèn)題或者數(shù)據(jù)泄露風(fēng)險(xiǎn)。

雙輪驅(qū)動(dòng)落地的關(guān)鍵步驟是針對(duì)每個(gè)數(shù)據(jù)安全風(fēng)險(xiǎn)制定整改措施，梳理、歸并和融合各個(gè)細(xì)項(xiàng)的整改措施，在企業(yè)實(shí)際的整體數(shù)據(jù)安全防護(hù)框架下形成整體數(shù)據(jù)安全整改方案。

最后根據(jù)評(píng)估后形成的數(shù)據(jù)安全整體解決方案，指導(dǎo)企業(yè)的數(shù)據(jù)安全體系建設(shè)，做好統(tǒng)籌規(guī)劃、分步實(shí)施，優(yōu)先解決熱點(diǎn)監(jiān)管問(wèn)題、合規(guī)問(wèn)題和主要安全風(fēng)險(xiǎn)。對(duì)建設(shè)完成后的數(shù)據(jù)安全體系進(jìn)行評(píng)估，看是否消除了合規(guī)風(fēng)險(xiǎn)，解決了實(shí)際安全問(wèn)題，然后形成有效的數(shù)據(jù)安全運(yùn)營(yíng)，針對(duì)合規(guī)風(fēng)險(xiǎn)和安全風(fēng)險(xiǎn)實(shí)施周報(bào)、月報(bào)等有效監(jiān)督手段，并能夠持續(xù)運(yùn)營(yíng)和改進(jìn)。

04

安全牛：

對(duì)各種類型的數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)，是開(kāi)展數(shù)據(jù)安全保護(hù)的重要前提，同時(shí)也是一個(gè)關(guān)鍵挑戰(zhàn)。企業(yè)在新一代數(shù)據(jù)安全能力建設(shè)中，應(yīng)該如何做好數(shù)據(jù)資產(chǎn)的分類分級(jí)工作呢？

劉險(xiǎn)峰：

分類分級(jí)不僅僅是數(shù)據(jù)安全建設(shè)的基礎(chǔ)，也是數(shù)字政府、企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)。為了保障數(shù)據(jù)要素能夠更高效的流動(dòng)和共享，在確保安全的基礎(chǔ)上充分發(fā)揮數(shù)字紅利，須先對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)和相應(yīng)的標(biāo)識(shí)。

企業(yè)想要做好數(shù)據(jù)的分類分級(jí)首先要明確自身主營(yíng)業(yè)務(wù)和分類分級(jí)的目的，摸清企業(yè)當(dāng)前數(shù)據(jù)及數(shù)據(jù)安全現(xiàn)狀，了解須遵從的法律法規(guī)和監(jiān)管政策等，作為主要的分類分級(jí)原則和依據(jù)；其次是數(shù)據(jù)范圍的確認(rèn)，包含哪些業(yè)務(wù)、系統(tǒng)、數(shù)據(jù)庫(kù)、數(shù)據(jù)源、數(shù)據(jù)接口，以上各個(gè)單元在業(yè)務(wù)中的職責(zé)和關(guān)系以及接口人、聯(lián)系方式；然后明確數(shù)據(jù)責(zé)任和數(shù)據(jù)責(zé)任安全歸屬。

接下來(lái)就是數(shù)據(jù)資產(chǎn)的調(diào)研和識(shí)別發(fā)現(xiàn)：通過(guò)對(duì)系統(tǒng)文檔、數(shù)據(jù)庫(kù)設(shè)計(jì)文檔分析和各個(gè)單元負(fù)責(zé)人的調(diào)研，形成初步的數(shù)據(jù)資產(chǎn)清單；在此基礎(chǔ)上制定和修訂數(shù)據(jù)分類分級(jí)管理制度、審批制度、審計(jì)制度及工作流程；通過(guò)工具和人工結(jié)合的方式對(duì)數(shù)據(jù)清單進(jìn)行梳理，校正失效、遺漏的數(shù)據(jù)資產(chǎn)，對(duì)數(shù)據(jù)進(jìn)行探測(cè)、掃描、識(shí)別、標(biāo)識(shí)，對(duì)各類數(shù)據(jù)進(jìn)行初步分類；在數(shù)據(jù)分類的基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)行初步分級(jí)，然后將初步的數(shù)據(jù)資產(chǎn)清單和數(shù)據(jù)分類分級(jí)表提交各個(gè)業(yè)務(wù)單元負(fù)責(zé)人進(jìn)行溝通、簽字確認(rèn)。

最后根據(jù)數(shù)據(jù)安全評(píng)估制定數(shù)據(jù)安全防護(hù)措施，建設(shè)數(shù)據(jù)安全管理平臺(tái)，將分類分級(jí)的標(biāo)準(zhǔn)、策略和工作流程電子化、自動(dòng)化；新增數(shù)據(jù)資產(chǎn)按照申報(bào)、審批、掃描評(píng)估、自動(dòng)識(shí)別、人工校正、確認(rèn)等環(huán)節(jié)納入閉環(huán)管理；通過(guò)數(shù)據(jù)安全管理平臺(tái)對(duì)數(shù)據(jù)分類分級(jí)進(jìn)行持續(xù)的管理、監(jiān)控和審計(jì)。

目前主流的數(shù)據(jù)安全廠商基本上都推出了數(shù)據(jù)分類分級(jí)產(chǎn)品，但在實(shí)際應(yīng)用中存在一些差異。保旺達(dá)已推出并在不斷完善基于AI技術(shù)的數(shù)據(jù)分類分級(jí)平臺(tái)，能夠自動(dòng)、高效、準(zhǔn)確的對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，而且能夠滿足數(shù)據(jù)安全的相關(guān)法律法規(guī)、監(jiān)管政策和檢查考核要求。

05

安全牛：

您認(rèn)為，企業(yè)有效開(kāi)展數(shù)據(jù)安全建設(shè)的關(guān)鍵性原則是什么？從技術(shù)發(fā)展上看，未來(lái)數(shù)據(jù)安全防護(hù)技術(shù)的發(fā)展趨勢(shì)會(huì)如何？

劉險(xiǎn)峰：

企業(yè)在開(kāi)展數(shù)據(jù)安全建設(shè)時(shí)，第一個(gè)基礎(chǔ)性原則就是法規(guī)遵從。對(duì)于政府、金融、電信、能源等重點(diǎn)組織，數(shù)據(jù)安全合規(guī)和數(shù)據(jù)安全考核可能是企業(yè)做數(shù)據(jù)安全建設(shè)的首要出發(fā)點(diǎn)；

第二個(gè)原則是要具備實(shí)戰(zhàn)能力。安全防護(hù)工具和手段到底能否抵御住攻擊，數(shù)據(jù)到底如何能夠防止被攻擊者竊取，或者被竊取后能夠有效的發(fā)現(xiàn)和溯源都是企業(yè)關(guān)注的重點(diǎn)問(wèn)題；

第三個(gè)原則是要關(guān)注數(shù)據(jù)安全運(yùn)營(yíng)。數(shù)據(jù)安全是一個(gè)高度場(chǎng)景化的細(xì)分領(lǐng)域，數(shù)據(jù)只有在真實(shí)應(yīng)用場(chǎng)景中流動(dòng)才會(huì)產(chǎn)生價(jià)值，與組織內(nèi)部業(yè)務(wù)粘合度高，數(shù)據(jù)安全運(yùn)營(yíng)體系可以把這些工具和能力有效調(diào)度和聯(lián)動(dòng)起來(lái)，輔助數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全檢測(cè)、數(shù)據(jù)安全審計(jì)等各類數(shù)據(jù)安全服務(wù)，起到數(shù)據(jù)安全防護(hù)效果。

從創(chuàng)新角度和應(yīng)用場(chǎng)景來(lái)說(shuō)，我們會(huì)重點(diǎn)關(guān)注兩類數(shù)據(jù)安全相關(guān)技術(shù)的創(chuàng)新應(yīng)用趨勢(shì)。第一個(gè)是隱私計(jì)算類技術(shù)，如果無(wú)法解決隱私計(jì)算的問(wèn)題，那么海量的數(shù)據(jù)就無(wú)法真正做到高效的外部流動(dòng)，目前隱私計(jì)算主流技術(shù)方案的有效性已經(jīng)得到了驗(yàn)證，但是在算力和效能方面仍然有待完善；第二個(gè)AI技術(shù)在數(shù)據(jù)安全場(chǎng)景下的產(chǎn)品化落地，在各類數(shù)據(jù)安全應(yīng)用場(chǎng)景下，如何更有效地通過(guò)AI技術(shù)解決海量數(shù)據(jù)安全使用的問(wèn)題。