構(gòu)建數(shù)據(jù)安全綜合治理體系
——訪北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司合伙人楊明非

本刊記者 王 超

當前，以數(shù)字科技為代表的新一輪科技革命和產(chǎn)業(yè)變革方興未艾，云計算、物聯(lián)網(wǎng)、區(qū)塊鏈、大數(shù)據(jù)等新興技術(shù)日益興盛，數(shù)據(jù)作為新的生產(chǎn)要素和生產(chǎn)資料，其地位和重要性日益凸顯。然而，數(shù)據(jù)在扮演著重要角色的同時，也面臨著重大的泄露風險與危機。

因此，依據(jù)數(shù)據(jù)安全法律法規(guī)，制定數(shù)據(jù)安全管理制度，建立數(shù)據(jù)安全管理體系，已成為數(shù)字經(jīng)濟建設(shè)的必經(jīng)之路。這需要企業(yè)以數(shù)據(jù)為中心，構(gòu)建全方位的數(shù)據(jù)安全治理體系。在確保數(shù)據(jù)完整性、機密性、可用性的基礎(chǔ)上，要保證數(shù)據(jù)在采集、傳輸、存儲、使用、共享、銷毀過程中的合規(guī)合法，促進數(shù)據(jù)的增值和流轉(zhuǎn)，助力企業(yè)實現(xiàn)數(shù)據(jù)全生命周期的安全治理及防護。

天空衛(wèi)士基于Gartner DSG框架，以合規(guī)要求為前提，在國內(nèi)率先提出以“人”為中心的數(shù)據(jù)安全治理體系，通過平衡業(yè)務需求與風險，從資源發(fā)現(xiàn)到數(shù)據(jù)分類分級，再到數(shù)據(jù)安全策略的配置和執(zhí)行，全方位地覆蓋數(shù)據(jù)安全治理周期的所有環(huán)節(jié)，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務支撐。

近日，北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司董事、合伙人、高級技術(shù)總監(jiān)楊明非，圍繞數(shù)據(jù)安全的現(xiàn)狀與挑戰(zhàn)、數(shù)據(jù)安全治理架構(gòu)體系、用戶在數(shù)據(jù)安全治理方面的產(chǎn)品選型和能力評估等方面，與記者展開深入溝通和交流，相關(guān)問題和回答展示如下，以饗讀者。

記者：請您談談，近幾年數(shù)據(jù)安全行業(yè)的發(fā)展變化。

楊明非：從理論體系來講，數(shù)據(jù)安全治理與防護都是保護數(shù)據(jù)的安全。一般來講，數(shù)據(jù)安全主要專注于以數(shù)據(jù)為中心的保護方式和手段。

《中華人民共和國網(wǎng)絡(luò)安全法》頒布之前，數(shù)據(jù)安全行業(yè)可以說處在“黑暗期”。所謂的“黑暗期”，是指企業(yè)對數(shù)據(jù)安全的防護都是基于業(yè)務而自發(fā)進行，主要圍繞知識產(chǎn)權(quán)的保護，比如對源代碼、設(shè)計圖紙等方面的保護。對金融業(yè)而言，雖然有些受行業(yè)條例限制，但并沒有相關(guān)的法律法規(guī)進行硬性規(guī)定和約束。總的來說，數(shù)據(jù)安全事故發(fā)生后，企業(yè)不會受到法律法規(guī)等相關(guān)處罰。因此，在這段時間企業(yè)數(shù)據(jù)安全的保護大部分是在低優(yōu)先級的情況下進行。

《中華人民共和國網(wǎng)絡(luò)安全法》頒布之后，數(shù)據(jù)安全成為網(wǎng)絡(luò)安全領(lǐng)域繞不開的話題，也重點規(guī)范了數(shù)據(jù)安全防護工作。作為我國網(wǎng)絡(luò)安全領(lǐng)域第一部基礎(chǔ)性法律，《中華人民共和國網(wǎng)絡(luò)安全法》對我國網(wǎng)絡(luò)安全保障工作作出了系統(tǒng)規(guī)定，也對數(shù)據(jù)安全提出了新規(guī)定和新要求，特別是涉及數(shù)據(jù)安全的個人信息保護、跨境數(shù)據(jù)傳輸評估、網(wǎng)絡(luò)安全等級保護等方面。此時，數(shù)據(jù)安全行業(yè)處在高速增長期，開啟了信息安全企業(yè)與網(wǎng)絡(luò)運行者、網(wǎng)絡(luò)監(jiān)管者等多方群體密切協(xié)作的嶄新局面。

隨著互聯(lián)網(wǎng)行業(yè)專項整治行動的開展，受“滴滴事件”等相關(guān)事件的發(fā)酵和影響，數(shù)據(jù)安全行業(yè)越發(fā)受到社會廣泛關(guān)注，也不斷進入大眾的視線，引起了國家的關(guān)注和重視。2021年，隨著《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》的相繼出臺，更將數(shù)據(jù)安全領(lǐng)域的關(guān)注度和重視度推到新的高度。事實上，這兩部法律從提案、公開征求意見到正式發(fā)布實施，周期很短，數(shù)據(jù)安全領(lǐng)域的重要程度越來越凸顯。另外，在數(shù)字經(jīng)濟及數(shù)字化轉(zhuǎn)型的背景下，伴隨大數(shù)據(jù)時代的來臨，自動駕駛、人工智能、人臉識別的不斷升級，數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，數(shù)據(jù)創(chuàng)新、數(shù)據(jù)驅(qū)動業(yè)務發(fā)展的模式逐步成為主流，而此時的數(shù)據(jù)安全的特點與傳統(tǒng)的又有很大不同，未來將有廣闊的發(fā)展空間。

記者：數(shù)字化轉(zhuǎn)型給企業(yè)帶來了哪些變化，同時，在安全方面又面臨哪些挑戰(zhàn)？

楊明非：目前，數(shù)字化轉(zhuǎn)型已經(jīng)逐步成為企業(yè)現(xiàn)代化的標志。從數(shù)據(jù)資產(chǎn)的角度來講，數(shù)字化轉(zhuǎn)型帶來的最大變化是讓企業(yè)過去被忽略的、沒有利用的數(shù)據(jù)都變成了數(shù)據(jù)資產(chǎn)。通過對數(shù)據(jù)進行采集、細化，分別從客戶的偏好、喜歡的程度或者人群、年齡等多方面進行整理、分析和研究，從而推動企業(yè)在業(yè)務、產(chǎn)品設(shè)計等方面的進步。

同時，這也讓數(shù)據(jù)安全面臨著重大挑戰(zhàn)。一是云計算、大數(shù)據(jù)的應用導致企業(yè)IT失去可視化。在數(shù)字化轉(zhuǎn)型中，云計算被大量使用于實現(xiàn)彈性的IT架構(gòu)，基礎(chǔ)設(shè)施即服務（Infrastructure as a Service，IaaS）、軟件即服務（Software-asa-Service，SaaS）等模型大量使用后，使IT架構(gòu)可視化程度大大降低。很多企業(yè)都不知道在什么位置存放什么樣的數(shù)據(jù)。二是互聯(lián)網(wǎng)及移動互聯(lián)網(wǎng)的發(fā)展與廣泛應用導致的企業(yè)安全邊界消失。數(shù)據(jù)分布在云、數(shù)據(jù)中心、終端、移動設(shè)備等各個位置，傳統(tǒng)的基于防火墻、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）構(gòu)建的企業(yè)安全邊界失效，更多企業(yè)員工、外包、第三方的數(shù)據(jù)來自互聯(lián)網(wǎng)，很難進行有效的數(shù)據(jù)保護。當企業(yè)安全的邊界消失的時候，數(shù)據(jù)安全隱患隨之分散。三是數(shù)據(jù)資產(chǎn)安全考慮不足。多數(shù)企業(yè)關(guān)注業(yè)務支撐系統(tǒng)的建設(shè)，沒有意識到數(shù)據(jù)資產(chǎn)已經(jīng)分布到無邊界網(wǎng)絡(luò)中。傳統(tǒng)的IT系統(tǒng)安全建設(shè)主要考慮的是以網(wǎng)絡(luò)和威脅為主，缺乏原生的數(shù)據(jù)安全手段對數(shù)字化轉(zhuǎn)型帶來的海量數(shù)據(jù)資產(chǎn)進行保護。

這些都是企業(yè)在當前的網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法等法律法規(guī)的合規(guī)要求和自身的知識產(chǎn)權(quán)保護等需求下的壓力點，一方面，企業(yè)需要積極進行數(shù)字化轉(zhuǎn)型來推動業(yè)務的發(fā)展；另一方面，需要對數(shù)據(jù)安全重新進行思考和布局來為數(shù)字化轉(zhuǎn)型保駕護航。

記者：在數(shù)字化背景下，企業(yè)如何構(gòu)建科學合理的數(shù)據(jù)安全架構(gòu)體系？

楊明非：構(gòu)建數(shù)據(jù)安全架構(gòu)的前提是一定要搞清楚需要解決的問題是什么。以前談數(shù)據(jù)安全體系，很多時候只是在談一個技術(shù)性的解決方案，比如病毒查殺，主要是在技術(shù)層面的處理，對帶毒的電腦、文件等進行查殺工作，也是屬于數(shù)據(jù)安全相關(guān)技術(shù)的一種。但考慮如今的數(shù)據(jù)安全，特別是按照分級分類篩選出企業(yè)數(shù)據(jù)資產(chǎn)的安全建設(shè)時，數(shù)據(jù)安全架構(gòu)體系的建立更多的是與業(yè)務強關(guān)聯(lián)，解決的是一個業(yè)務性問題。比如，對制造業(yè)而言，數(shù)據(jù)安全架構(gòu)體系的建立主要圍繞企業(yè)對設(shè)計開發(fā)、制圖等核心業(yè)務展開；對面向消費者的互聯(lián)網(wǎng)企業(yè)而言，數(shù)據(jù)安全架構(gòu)體系的建設(shè)主要關(guān)注的是用戶個人隱私保護、研發(fā)源代碼等方面。

這與傳統(tǒng)IT的安全體系有很大的不同，數(shù)據(jù)安全的體系和業(yè)務緊密結(jié)合，這和數(shù)字化轉(zhuǎn)型所帶來的變化是一致的。具體而言，數(shù)據(jù)安全體系與業(yè)務的安全或者對業(yè)務的支撐應該是相輔相成的關(guān)系，而不是單方向命令式的關(guān)系。技術(shù)達不到的管理來補，管理達不到的用技術(shù)去填。特別是企業(yè)中負責數(shù)據(jù)安全的部門或小組，一定要和整個企業(yè)中的高層及業(yè)務部門有非常大的關(guān)聯(lián)，如風控、業(yè)務、營銷、生產(chǎn)研發(fā)等。這就需要高層的領(lǐng)導有足夠的認識再進行下一步動作，以取得比較好的效果。如果我們把數(shù)據(jù)安全當成是單一的IT項目去做，那么基本上是在做無用功，因為它實際上不能應用。

如今，我們再去看新的安全模型，是以“人”與“數(shù)據(jù)/行為”為中心提出的，圍繞數(shù)據(jù)資產(chǎn)為核心，從行為的可視化到數(shù)據(jù)存儲、使用和傳輸?shù)目梢暬?，再到最后形成?shù)據(jù)安全整體規(guī)劃。我們并不是完全拋棄了過去的安全防護體系，只是通過數(shù)據(jù)資產(chǎn)安全的角度重新分析在企業(yè)安全體系中是否對數(shù)據(jù)安全有完善的支撐。我們關(guān)注于持續(xù)性的行為解析，因為所有的安全事件都是由人來驅(qū)動的。

為什么要做成持續(xù)性的？因為在過去的安全體系里很多都是一次性策略檢查模式，如同進城，所有的安全策略關(guān)鍵在城門，但只要敵人通過城門進入了城內(nèi)，或者城門內(nèi)本身就有內(nèi)鬼，安全就很難得到保障。因此，我們要以數(shù)據(jù)資產(chǎn)為核心，對人們、對數(shù)據(jù)資產(chǎn)的操作做持續(xù)行為的監(jiān)控，對于城內(nèi)的人和事，我們會持續(xù)地監(jiān)控其行為及敏感數(shù)據(jù)的存儲、使用和傳輸，從而發(fā)現(xiàn)其中的異常。這樣就形成一整套動態(tài)風險管控的安全體系，才能符合數(shù)字化轉(zhuǎn)型的業(yè)務需求，在安全管控和業(yè)務發(fā)展之間找到平衡點。

記者：對用戶在數(shù)據(jù)安全治理方面的產(chǎn)品選型和能力評估，您有什么建議？

楊明非：首先，企業(yè)在進行數(shù)據(jù)安全治理時，切忌過分依賴某一種技術(shù)或產(chǎn)品，因為目前數(shù)據(jù)安全治理的復雜度已遠遠超出了依賴單一技術(shù)或產(chǎn)品的覆蓋范圍，需要以體系化的思維和方法解決數(shù)據(jù)安全問題。其次，需要重視數(shù)據(jù)分級分類工作，也就是要清楚到底要保護什么，需要重點保護哪些重要數(shù)據(jù)，而不是對所有的數(shù)據(jù)一視同仁，采取同樣的手段和方式進行保護。否則，在進行數(shù)據(jù)安全治理時，很容易無的放矢，效果上也會事與愿違。明確以上兩個重點問題，我們從業(yè)務戰(zhàn)略與合規(guī)的要求入手時，對數(shù)據(jù)集進行分類分級，區(qū)分出敏感數(shù)據(jù)和數(shù)據(jù)資產(chǎn)。然后按照數(shù)據(jù)的存儲、使用和傳輸?shù)那闆r制定整體的數(shù)據(jù)安全策略，策略可以通過對數(shù)據(jù)在哪里、如何被使用、被哪些人使用、如何被傳輸、如何被分析，需要進行審計、可視化或者保護等方面去定義。同時，定義相關(guān)的人員組織和規(guī)章制度，再根據(jù)需求選用相應的數(shù)據(jù)安全的產(chǎn)品和技術(shù)，比如哪些數(shù)據(jù)要用標簽實現(xiàn)可視化，什么地方要用數(shù)據(jù)庫審計或數(shù)據(jù)庫防火墻的保護。最后，通過不同產(chǎn)品的組合，從上至下，從企業(yè)的整個業(yè)務框架到IT構(gòu)架，實現(xiàn)為整個數(shù)據(jù)資產(chǎn)安全性的體系編排統(tǒng)一的策略。

這樣一套流程下來，我們是按照一個數(shù)據(jù)安全治理的框架來進行企業(yè)的數(shù)據(jù)安全保護工作，而不是單純地從技術(shù)的角度出發(fā)去看數(shù)據(jù)安全。對企業(yè)的IT部門來說，可能更多關(guān)注的是在技術(shù)體系上的影響，比如技術(shù)環(huán)境、業(yè)務分布等。但在討論數(shù)據(jù)安全和數(shù)據(jù)資產(chǎn)安全的時候，我們要看其他很多與業(yè)務、合規(guī)等相關(guān)的概念和維度，以人在整個數(shù)據(jù)處理過程中的行為為尺度，才能知道如何去保護數(shù)據(jù)。需要強調(diào)的是，技術(shù)應該作為制度體系執(zhí)行的支撐，而不是作為主導手段。

此外，天空衛(wèi)士還總結(jié)了3點在數(shù)據(jù)安全治理體系建設(shè)中的經(jīng)驗，可以給企業(yè)用戶提供參考。一是需要清晰了解與評估目前企業(yè)數(shù)據(jù)安全建設(shè)所處階段，不同的企業(yè)在IT框架建設(shè)成熟度、組織架構(gòu)與制度管理的成熟度、業(yè)務發(fā)展的成熟度等方面都有所不同，對于和業(yè)務緊密相關(guān)的數(shù)據(jù)安全體系建設(shè)，需要準確評估企業(yè)當前的階段，再進行相應的建設(shè)工作。切勿完全照搬其他企業(yè)的經(jīng)驗。二是數(shù)據(jù)分級分類任務容易建立“過大”的目標而導致難以達到理想成效?？蓛?yōu)先通過識別核心業(yè)務、關(guān)鍵數(shù)據(jù)資產(chǎn)與暴露面，采用“技術(shù)工具+咨詢流程”分解實現(xiàn)；數(shù)據(jù)集規(guī)模、形態(tài)與企業(yè)的業(yè)務發(fā)展息息相關(guān)，應建立階段性目標與動態(tài)適應的數(shù)據(jù)分級分類體系；不是所有數(shù)據(jù)都需要保護，應該識別關(guān)鍵數(shù)據(jù)資產(chǎn)并平衡業(yè)務戰(zhàn)略目標。三是數(shù)據(jù)安全必須從企業(yè)的整體架構(gòu)上統(tǒng)一設(shè)計，這個過程可能需要打破在傳統(tǒng)企業(yè)IT組織架構(gòu)中的不同部門分而治之的組織結(jié)構(gòu)，采用統(tǒng)一的規(guī)劃進行建設(shè)，而不是對每個單點進行獨立設(shè)計。

記者：針對人和數(shù)據(jù)的實時防護，天空衛(wèi)士打造了怎樣的產(chǎn)品和方案？

楊明非：當前，多數(shù)企業(yè)正處于數(shù)字化轉(zhuǎn)型的過程中，會產(chǎn)生大量的數(shù)據(jù)資產(chǎn)，而這些數(shù)據(jù)資產(chǎn)隨時面臨著各種威脅。企業(yè)重要數(shù)據(jù)的泄露來源主要有三種：內(nèi)部違規(guī)人員導致的外泄、內(nèi)部惡意人員導致的外泄以及內(nèi)部人員電腦/系統(tǒng)被入侵后導致的外泄。所有的安全事件都是由人引發(fā)的，其目標也都是企業(yè)的數(shù)據(jù)資產(chǎn)。

目前，網(wǎng)絡(luò)安全技術(shù)正面臨著一個轉(zhuǎn)折點，基于邊界的安全模型不再成立，基于規(guī)則的判別機制不再有效，圍繞傳統(tǒng)技術(shù)的安全工程也不再適用。未來的安全不能再像“進城”一樣，只針對網(wǎng)絡(luò)和威脅進行防護，而是需要一個自適應的安全體系，通過對人和數(shù)據(jù)的關(guān)注，持續(xù)、實時地進行分析，實現(xiàn)內(nèi)部威脅主動防護。天空衛(wèi)士ITP解決方案正是通過對行為和數(shù)據(jù)內(nèi)容的分析，實現(xiàn)了以人為中心的數(shù)據(jù)安全體系建設(shè)。

技術(shù)在飛速發(fā)展，圍繞企業(yè)在數(shù)據(jù)安全治理過程中的難點與痛點，天空衛(wèi)士從大型用戶的實際需求出發(fā)，按照最大程度實現(xiàn)自動化（Automatic Where Possible，AWP）的原則，傾力打造了覆蓋企業(yè)從數(shù)字化職場到遠程辦公，從傳統(tǒng)數(shù)據(jù)中心到IaaS、SaaS的云環(huán)境的全套數(shù)據(jù)安全治理自動化支撐技術(shù)平臺。在這個平臺上，企業(yè)可以以最小的人力資源投入，在充分利用人工智能、機器學習等手段的基礎(chǔ)上，盡可能地將重復的、復雜的工作交由平臺處理。首先，從數(shù)據(jù)資源發(fā)現(xiàn)與管理開始，對靜態(tài)和動態(tài)的數(shù)據(jù)進行發(fā)現(xiàn)、分析。通過自動化分類聚類和自動化標簽技術(shù)，對數(shù)據(jù)進行初加工處理。其次，再通過輔助人工制定數(shù)據(jù)的分類分級對象，并根據(jù)數(shù)據(jù)的使用人員角色、數(shù)據(jù)存儲的位置、傳輸方向等制定相應的數(shù)據(jù)安全策略。最后，將策略下發(fā)到位于數(shù)據(jù)中心的數(shù)據(jù)分級分類應用程序編程接口（Application Programming Interface，API）服務，或者是位于辦公職場的郵件網(wǎng)關(guān)、互聯(lián)網(wǎng)訪問網(wǎng)關(guān)、終端或者移動終端上，對數(shù)據(jù)在企業(yè)中的存儲、使用和傳輸情況進行分析。此外，通過對人員的持續(xù)性分析，獲得所有人員、實體設(shè)備的行為數(shù)據(jù)，實現(xiàn)對人員、設(shè)備與數(shù)據(jù)進行全面、持續(xù)的風險與信任的評估，發(fā)現(xiàn)其中潛在的風險，及時進行告警或者控制，最終保護企業(yè)對數(shù)據(jù)資產(chǎn)的安全使用，保障企業(yè)數(shù)字化轉(zhuǎn)型的進程。