APP下载

构建全链路数据安全治理体系
——访江苏保旺达软件技术有限公司首席技术官卢伟

2022-12-14

信息安全与通信保密 2022年3期
关键词:数据安全

本刊记者 王 超

卢伟,江苏保旺达软件技术有限公司首席技术官,网络安全行业资深专家。曾多次参与国家有关部委网络安全行业规范及电信运营商网络安全规划的编写工作,在网络空间安全、应用安全、数据安全领域有着深刻认知,主导过国家互联网应急中心、中国移动、中国电信、中国联通、中国铁塔、国家电网等多家单位的网络安全相关项目,覆盖网络空间对抗、数据安全治理、智慧化运维、5G安全等多个专业领域,其发表的《大数据安全架构分析实践》《基于北斗导航数据的智能监测》等学术论文被国家核心期刊收录。

近年来,数字经济的发展不断催生出新技术、新产业、新业态、新模式,数据作为一种新的生产要素,已然成为数字经济的核心。同时,针对数据的攻击、窃取、劫持、滥用等现象层出不穷,数据安全风险日益严峻,给经济、政治、社会等各领域带来巨大风险。如何强化数据安全治理能力,建立数据安全治理模式,构建数据治理体系,为数据安全治理营造良好环境,成为当前亟需解决的问题。

作为在数据安全领域深耕二十余载的企业,江苏保旺达软件技术有限公司(以下简称“保旺达”)立足于客户本质需求,结合国家数据安全政策要求,以数据主权确权为核心,先后推出了保旺达数据安全治理解决方案、安全大脑综合解决方案、安全中台解决方案等,围绕数据安全监管、数据安全防护、数据安全运营三大模块构建了完整的数据安全保护链条,实现了全流程及全要素的数据安全保护。

近日,保旺达首席技术官卢伟围绕数据安全治理的思路、数据安全治理体系的构建、数据安全治理的困难、数据安全治理未来的常态等方面,与记者展开深入沟通和交流,相关问题和回答展示如下,以飨读者。

记者:您是如何理解现阶段的数据安全的?

卢伟:目前,国家高度重视数据安全,在很多方面给予了规划和要求。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台,明确了数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高了数据安全的保障能力,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。随着社会信息化应用程度不断加深,技术和应用场景不断创新,我国加强了对大数据的监管力度,进一步细化了相关法律法规,这是一个动态的发展过程。

现阶段仍存在立法不完善、技术创新能力薄弱、国际合作不足、治理乏力等问题,相较于数字化、网络化阶段中的静态数据安全特征,智能化阶段中的数据安全问题更具复杂性、动态性、平衡性和整体性等特点。基于数据呈指数级增长和常态化跨境流通的形势,数据的流通广泛分布于国家、企业、社会组织与公民个人之间,基于对传统治理结构的调整,更为平权化、多元化的治理模式正在崛起。

因此,建立完善、可持续的数据安全治理管控体系是关键所在。为避免出现数据安全产品功能分散和数据安全能力“孤岛化”的问题,不能一蹴而就地只靠单品来治理。在建立治理体系过程中,一方面,要能覆盖到用户现有的治理能力,避免造成投资的浪费;另一方面,在保障合规性的基础上,还要能满足其业务发展的需求,这是一个周期性工程,重点在于根据企业用户不断变化的诉求及防护重点,帮助其动态地构建科学合理的数据安全治理体系。

记者:为满足国家对数据治理的要求,实现数据资产的有效管理,应该采取怎样的治理思路?

卢伟:从国家法律法规及行业监管要求来看,治理思路会有不同,但本质上是一致的。

第一,要明确治理对象。数据治理是以数据生产要素为对象,包括静态数据、动态数据、结构化数据及非结构化数据等。需要强调的是,数据治理对象是海量分布在各个系统中的数据,这些源于不同系统的数据往往在数据代码标准、数据格式、数据标识等方面存在一定的差异,甚至可能存在错误的数据。

第二,要明确治理范围。数据安全治理工作以数据为核心,涉及政府、企业、个人等各类参与主体,覆盖数据全生命周期中的各种过程和状态。治理范围决定了后续要采取相关的治理措施的力度。范围既可以说是某些业务系统,例如从前端事务处理系统、后端业务数据库到终端的数据分析,也可以指某些行业的产品升级、技术创新等。

第三,要明确治理方法和策略。这主要包括管理和技术两个方面。从管理角度来讲,要明确数据治理的相关组织、机构、岗位、人员、职责、规范、流程,从顶层起步进行宏观路线的规划和设计,形成一套完整的从梳理到管理再到控制的方法论。这就要求数据安全治理的责任组织牵头去完善相应的规范和流程,积极主动地筹划和开展系统化的数据安全治理工作,确保企业或组织能够有效应对数据时代的各种安全挑战。从技术角度来讲,数据治理涉及发现、防护、运营等多个环节。技术建设是治理保障、组织建设和制度流程的抓手和落地保障。例如,在基于业务场景分析数据全生命周期的风险之后,就会得到相应的安全需求,进而需要数据标签、数据加密、数据防泄露、数据脱敏、数据水印、数据备份恢复、数据安全擦除与销毁等技术手段。

第四,要明确治理覆盖数据生命周期。这需要对标业务场景,适时开展需求分析和风险评估工作。例如,当运维人员通过类似于堡垒机的安全设备去访问后台数据库时,在这样的场景下,需要对数据采取什么样的防护手段;当业务系统之间发生交互时,如果是通过接口、程序或者是机器人完成的,在这种场景下,数据会有什么样的特点,需要怎样去防护等。所以要积极探索先进技术在业务场景中的创新应用,提升数据安全的管控能力。

第五,要明确评估效果。前期明确了相关的管理、技术手段等工作,并在此基础上投入了相关的安全治理策略和工具,那么最后就要对产生的效果,以及是否能够确切解决业务场景下的痛点和诉求进行评估。

记者:如何建设科学合理的数据安全治理体系?

卢伟:保旺达在数据安全领域拥有十几年的积累和沉淀,通过长期对大量客户的咨询规划建设需求的总结,发现他们对数据安全治理有着天然的需求。在不断处理客户数据所面临的动态威胁与风险及在入侵环节、入侵方式、入侵目标的不断演进的场景下,我们总结出自己的数据安全治理理念,帮助企业构建完整合理的数据安全治理体系。

第一,定规范。我们常说的“无规矩不成方圆”,也同样适用于数据治理领域。先要确定数据治理的基本法则,这也为之后的管理工作提供了非常重要的依据。在定规范的过程中,要把所涉及数据生命周期的业务场景的相关诉求定义清楚,例如,数据资产的基本信息及数据分类的规范、数据分级的规范、数据外发的规范、数据审批的流程、数据访问的流程等。在定规范的过程中,要切记能够适应复杂的数据使用场景,并区分风险等级进行精细化规范设计,在应对新问题时能够快速响应,输出解决方案。

第二,摸家底。在此阶段,企业要搞清楚自身有哪些类型的数据,数据在各业务系统和应用上的分布情况,数据量的大小规模和增长速率,数据按照企业规范或行业标准应认定为什么类型与级别,数据在企业内部及外部的共享情况和流动路径等内容,否则,数据安全治理工作的开展就会找不到头绪,抓不住重点,难以全面覆盖重要数据。“家底”摸清以后就可以形成企业的数据资产目录,基于数据资产目录可有序、高效地开展数据安全治理工作。

第三,强管控。该阶段侧重于基于业务流程的数据安全架构,能够实现用户审批、数据授权、安全使用、数据审计的全过程管控。在此阶段,更多的是体现对工具的依赖性。通过依靠工具来完成数据安全治理阶段所需要的策略、能力、方法等。而依赖工具的类型更偏向于类似数据库脱敏、数据水印、数据加密、数据访问控制等产品,同时还包括访问数据的主体,例如账号、程序等。企业在这个阶段需要着重提升防护能力的建设,满足在不同业务场景下数据防护体系的要求。

第四,重运营。目前,数据安全运营逐渐成为企业数据安全团队与业务沟通、项目推进及价值输出(赋能)的窗口,运营能力作为数据安全的核心,数据、模型和工具作为实施手段,该阶段重点在于通过运营实现对业务的价值输出目标。在此阶段,通过对风险管控能力把控、真实的业务风险场景提炼、法律法规的遵从性、安全管理与合规团队联合推进度等分析和应对,对整个数据安全运营的效果进行评估,给出相应的指导意见。

记者:您认为政企单位在数据安全治理中面临着哪些困难?

卢伟:作为数字经济和信息社会的核心资源,数据在不断流动中产生着巨大的价值。不同类型的数据,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数予以区别对待。因此,数据的分级分类是数据安全治理的第一步。事实上,很多企业都不清楚自身到底拥有哪些数据,哪些是敏感数据或重要数据,甚至都不知晓数据存储在什么位置,这给数据安全治理带来了诸多难题和挑战。

第一,数据安全治理体系不规范,甚至缺乏体系治理的意识。很多企业缺乏从决策层到技术层,从管理制度到工具支撑,这种自上而下贯穿整个组织架构的完整链条,而且,组织内的各个层级之间未对数据安全治理的目标和宗旨取得共识,也未采取合理和适当的措施,未能以最有效的方式保护信息资源。例如,有的企业在数据量成倍增加的同时,对“如何识别数据”“数据用到哪里去了”“数据最后从哪里给了谁再到哪里去”等基本问题还一脸茫然,也没有具体的负责人和直接责任人来进行统筹和管理等。

第二,缺乏对数据分类分级的治理能力。实行数据分类分级是保障数据安全的前提,也是数据安全治理过程中极为重要的一环。开展数据安全的第一步就是要识别数据、基于业务特点进行数据的分类和分级,这是后续数据保护策略部署的基础。常见的数据分类维度包括公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度,从国家数据安全角度可将数据分为一般数据、重要数据、核心数据共三个级别。对企业相关管理人员而言,如何判定数据类别和重要程度是一个不小的难题和挑战。

第三,缺乏相应的治理手段。数据必须要在共享使用中,才能产生更大的价值。因此,对于数据的保护不应该只是静态的,而要更加注重流动数据的治理。数据流动的安全隐患与数据的可获取性及可迁移性相关。例如,在与银行、支付宝、微信等不同系统的接口发生交互时,数据相当于给第三方的系统接口调用了动态化数据,这给管理员带来了更大的治理难度,因为他不清楚应采取何种手段和方法进行有效的动态数据治理。

第四,缺乏体系化、系统化指导。在企业对数据治理基础工作告一段落后,多数企事业单位未对数据治理进行体系化指导,不确定下一步治理工作的发力点。缺乏数据治理的体系化建设,必然会导致商业智能价值链受阻。因此,政企单位要想在数字化转型中抓住机遇,数据治理体系建设势在必行,这是基础而又关键的一环。

记者:未来数据安全治理的常态是怎样的?

卢伟:宏观上讲,从法律法规到相应的标准规范,再到监管要求,可以看出对数据安全的规范越来越明确,要求也越来越细,创新性的安全厂商也将越来越多。在这种环境下,厂商的研究领域会更加聚焦,技术研究也会愈加深入,相应的投入也就水涨船高,从而衍生出更多高精尖的数据安全企业,进而研制出更多更好的产品,提供更加优质的服务。这对现有的数据安全厂商来说,未必不是好事,能让其深耕赛道,持续发力,在这个领域产生更多的创新成果,助力用户提升数据安全治理能力。

应用上讲,数据处理环节的脱敏技术和数据交换环节的权限管理、安全代理也逐步成熟,数据分类和密钥管理产品处于高速发展期,数据传输环节的产品已经非常成熟,例如,数据防泄露产品、数据库脱敏产品等。这些产品更多的是针对数据本体研发的,然而,在数字经济浪潮下,随着业务的复杂度不断提升,风险及合规视角下的数据安全需要应对更丰富多样的应用场景,保护的数据对象范畴也不断外延。

体系上讲,数据安全将不再是一个组织内部的事情,而是需要构建一个科学的数据安全治理体系,才能有效地保障数据安全,管控数据安全风险。这摒弃了传统的单品突破的治理方式,更多地聚焦业务场景和用户体验。这就要求厂商把数据安全治理当作周期性工作来做,要不断投入、不断改善、持续提升,然后再不断投入,形成一项有序、动态、可持续发展的系统工程。

记者:在数据安全治理方面,保旺达有哪些积累和沉淀?

卢伟:在数据安全治理的工作中,保旺达不断深耕赛道,持续进行技术创新,实行安全产品和服务双驱动战略。一方面,保旺达成立了自己的研究院,重点对最新、最前沿的技术进行研究,结合我们现有的产品,去帮助用户解决更复杂业务场景下的安全痛点,或者在复杂的业务模型下,能够带来的安全管理价值。在这个过程中,输出了关于5G、人工智能等新技术的解决方案,而且能够成熟运用到自身现有的产品组件中去。另一方面,我们还有独立的网络空间安全实验室,根据国际通用的ATT&CK模型,研发出“观云”“御雷”“探海”“乘风”四大安全模型,对用户在安全服务的监测、研判、预警、处置等方面提供了很大助力。

依靠实验室,我们还开展了数据安全评估工作,通过数据安全评估的服务,能够快速地帮助用户建立数据安全相关的风险评估手段,从而快速地找出当前业务系统所存在的风险短板,以及包括有针对性地提升相应的建设能力需求,在数据安全风险治理方面,为用户带来实质性的改变和提升。

保旺达多年来坚持自主可控的信息安全技术研发,构建了完整的数据安全产品体系和网络安全防护体系,产品获得国家级保密认证以及入选了国产信息产品名录。安全产品已广泛应用于运营商31个省份,护航100万+终端用户、网络设备及物联网设备的数字安全,每天提供身份鉴别与访问管理服务超3000万人次。自主研发的涉密产品信息交换平台是目前市场上唯一实现内外网数据安全交换的软件产品,切实解决了涉密单位数据在流转、分发过程中的安全问题。

此外,保旺达每年投入大量的资金和人力开展与产品国产化相关的研发工作。新产品从设计阶段就充分考虑对于国产化软件特别是操作系统、中间件、数据库基础三大件的适配。目前,部分产品已完成了对国产主流操作系统及数据库的适配。未来,保旺达将进一步强化在研发领域的技术创新能力,坚持以客户价值为导向,聚焦数据安全方向,打造更多、更优秀、具备产业带动性的产品和解决方案,为企业数字化转型保驾护航。

猜你喜欢

数据安全
联邦学习在金融数据安全领域的研究与应用
数据安全治理现状研究与分析
工信部:加快制定工信领域数据安全管理政策
数据安全治理的参考框架
部署推进2020年电信和互联网 行业网络数据安全管理工作
工信部:2021年初步建立网络数据安全标准体系
数据安全管理立法问题研究
如何进一步做好网络与数据安全工作
建立激励相容机制保护数据安全
数据安全政策与相关标准分享