數(shù)據(jù)安全治理：打好“技術(shù)+管理+監(jiān)管”組合拳
——訪北京億賽通科技發(fā)展有限責(zé)任公司高級總監(jiān)宋春嶺

本刊記者 王 超

隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)已經(jīng)成為新時代的重要生產(chǎn)要素，并成為國家基礎(chǔ)性戰(zhàn)略資源。一方面，構(gòu)建不同行業(yè)、領(lǐng)域規(guī)范化數(shù)據(jù)開發(fā)利用場景，提升各行業(yè)數(shù)據(jù)資源的價值，促進數(shù)字經(jīng)濟產(chǎn)業(yè)集群發(fā)展成為大勢所趨；另一方面，數(shù)據(jù)安全和隱私保護問題愈發(fā)突出，數(shù)據(jù)流轉(zhuǎn)過程中暴露面風(fēng)險急劇加大，面臨嚴(yán)峻的數(shù)據(jù)安全風(fēng)險防護和合規(guī)監(jiān)管要求形勢。

在安全風(fēng)險與監(jiān)管合規(guī)雙重驅(qū)動下，如何促進數(shù)據(jù)發(fā)展與數(shù)據(jù)安全的平衡發(fā)展，企事業(yè)單位也在不斷開展數(shù)據(jù)安全治理工作，防止數(shù)據(jù)面臨的“走光風(fēng)險”，由于數(shù)據(jù)頻繁產(chǎn)生與流轉(zhuǎn)帶來的數(shù)據(jù)安全防護復(fù)雜性，如何在數(shù)據(jù)釋放價值的同時，保障數(shù)據(jù)安全，推動平衡發(fā)展？企事業(yè)單位在數(shù)據(jù)安全治理實踐過程中，面臨著諸多的痛點和難題。

近日，記者與北京億賽通科技發(fā)展有限責(zé)任公司高級總監(jiān)宋春嶺圍繞數(shù)據(jù)安全治理現(xiàn)狀、數(shù)據(jù)安全治理難點分析、數(shù)據(jù)安全治理體系建設(shè)及數(shù)據(jù)安全防護技術(shù)研究等內(nèi)容進行了詳細(xì)溝通和探討。

記者：請您談?wù)劊F(xiàn)階段數(shù)據(jù)安全治理狀況。

宋春嶺：在從業(yè)人員方面，中國的數(shù)據(jù)安全治理現(xiàn)狀需要專業(yè)人才涵蓋多個領(lǐng)域。首先是數(shù)據(jù)安全專家，他們負(fù)責(zé)制定數(shù)據(jù)安全策略、管理數(shù)據(jù)風(fēng)險和實施數(shù)據(jù)安全控制措施。其次是網(wǎng)絡(luò)安全專家，他們負(fù)責(zé)保護網(wǎng)絡(luò)系統(tǒng)免受黑客攻擊和惡意軟件的侵害。另外，數(shù)據(jù)隱私專家、法律顧問和數(shù)據(jù)治理專家也扮演著重要的角色，他們確保數(shù)據(jù)處理符合法規(guī)和道德規(guī)范。數(shù)據(jù)安全治理還有近200 萬人的缺口，為有志從事數(shù)據(jù)安全的人員提供了足夠大的空間。

在理論方面，中國的數(shù)據(jù)安全治理借鑒了國際上的最佳實踐和先進的理論模型。同時，中國也基于自身國情和發(fā)展需求，制定了適用于本國的數(shù)據(jù)安全理論和指導(dǎo)原則。其中包括：數(shù)據(jù)安全風(fēng)險管理體系、數(shù)據(jù)分類和標(biāo)記、隱私保護、風(fēng)險評估和風(fēng)險管理、最小權(quán)限原則、數(shù)據(jù)生命周期管理等。已經(jīng)形成自己的理論體系和標(biāo)準(zhǔn)。

在技術(shù)方面，中國積極發(fā)展數(shù)據(jù)安全技術(shù)。這包括數(shù)據(jù)加密技術(shù)、密碼技術(shù)、身份認(rèn)證技術(shù)、安全存儲和傳輸技術(shù)、數(shù)據(jù)脫敏和匿名化技術(shù)、數(shù)據(jù)分類分級、泄露防護技術(shù)等。同時，中國也在推動人工智能、區(qū)塊鏈等前沿技術(shù)與數(shù)據(jù)安全的結(jié)合，以提升數(shù)據(jù)安全的能力和效果。

在產(chǎn)品方面，國家相關(guān)部門發(fā)布了一系列的數(shù)據(jù)安全法律法規(guī)，國家、地方、行業(yè)的多級標(biāo)準(zhǔn)和認(rèn)證體系，促進了數(shù)據(jù)安全產(chǎn)品的開發(fā)和使用。這些產(chǎn)品涵蓋了數(shù)據(jù)生命周期采集、存儲、傳輸、處理、交換和銷毀各個階段，能夠滿足不同行業(yè)和組織的數(shù)據(jù)安全需求。

記者：請您談?wù)?，政企單位在?shù)據(jù)安全治理方面存在的難點。

宋春嶺：政企單位在數(shù)據(jù)安全治理方面存在以下4 個主要難點：第一，政企單位需要處理和存儲大量的數(shù)據(jù)，增加了數(shù)據(jù)管理和安全保護的難度。第二，政企單位涉及多個利益相關(guān)方，需平衡各方的權(quán)益，并建立合理的數(shù)據(jù)安全管理機制。第三，缺乏專業(yè)數(shù)據(jù)安全人才，員工缺乏數(shù)據(jù)安全意識，影響數(shù)據(jù)安全的管理和保護。第四，數(shù)據(jù)安全技術(shù)和威脅不斷演進，政企單位需要持續(xù)應(yīng)對技術(shù)的發(fā)展帶來的不斷變化的安全威脅。

如果要解決這些難題，需要綜合考慮技術(shù)、管理和意識等多個方面的因素，以確保數(shù)據(jù)的安全和合規(guī)，整個數(shù)據(jù)安全治理過程要從決策層到技術(shù)層，從管理制度到技術(shù)支撐，將現(xiàn)有的各個獨立的數(shù)據(jù)安全技術(shù)和功能整合，構(gòu)建自上而下、全流程、可閉環(huán)的完整鏈條。具體來講，數(shù)據(jù)安全治理以“人”和“數(shù)據(jù)”為中心，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務(wù)支撐，實現(xiàn)業(yè)務(wù)與安全的深層融合。

在人為層面，從決策層制定經(jīng)營策略、IT策略，幫助企業(yè)用戶建立數(shù)據(jù)安全意識，區(qū)分職責(zé)權(quán)限。在數(shù)據(jù)層面，運用專業(yè)技術(shù)支撐，通過AI 算法、關(guān)聯(lián)分析、密碼技術(shù)、訪問控制、數(shù)據(jù)標(biāo)識等技術(shù)，采集分析各類安全設(shè)備結(jié)構(gòu)化和非結(jié)構(gòu)化日志，探測、預(yù)測、發(fā)現(xiàn)威脅事件和風(fēng)險，利用技術(shù)服務(wù)于制度，進而形成技術(shù)、制度不斷迭代的正循環(huán)，建立全面綜合的數(shù)據(jù)安全治理能力。

記者：請您談?wù)?，對?shù)據(jù)安全治理體系的建設(shè)和實踐的建議。

宋春嶺：數(shù)據(jù)安全治理體系不僅僅是一套用工具組合的產(chǎn)品級解決方案，它構(gòu)建了從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條，打造以“數(shù)據(jù)和人”為對象構(gòu)建的數(shù)據(jù)治理、防護、流轉(zhuǎn)、運營的雙閉環(huán)體系，幫助企業(yè)形成扎實可靠的綜合數(shù)據(jù)安全能力，為企業(yè)數(shù)據(jù)資產(chǎn)從產(chǎn)生價值到保值、增值建立重要保障。

圖1 億賽通數(shù)據(jù)安全治理體系框架

具體來講，要制定明確的安全策略和流程。數(shù)據(jù)安全治理要制定清晰的數(shù)據(jù)安全策略和流程，包括數(shù)據(jù)分類、訪問控制、數(shù)據(jù)處理和存儲規(guī)范等方面，確保相關(guān)人員了解和遵守安全策略和流程，以保障數(shù)據(jù)的安全性。這方面也可以由第三方數(shù)據(jù)安全咨詢公司來梳理和制定。再者，要采用綜合技術(shù)保障措施，例如加密、防火墻、入侵檢測、預(yù)防系統(tǒng)、數(shù)據(jù)泄露防護等。而且要定期進行安全漏洞掃描和滲透測試，及時發(fā)現(xiàn)和修復(fù)潛在的漏洞和風(fēng)險。

此外，還要建立合理的訪問控制和權(quán)限管理機制。根據(jù)數(shù)據(jù)的敏感程度和用戶的角色，設(shè)置恰當(dāng)?shù)脑L問權(quán)限和控制措施，然后采用強密碼策略、多因素身份驗證等方式，確保只有授權(quán)的人員可以訪問和處理數(shù)據(jù)。需要強調(diào)的是，數(shù)據(jù)安全治理中，加強數(shù)據(jù)監(jiān)控和審計也十分必要。建立有效的數(shù)據(jù)監(jiān)控機制，能夠?qū)崿F(xiàn)對數(shù)據(jù)訪問和使用進行實時監(jiān)控，及時發(fā)現(xiàn)異常行為，然后定期進行數(shù)據(jù)審計和日志分析，確保數(shù)據(jù)的合規(guī)性和安全性。

對于涉及第三方數(shù)據(jù)處理和存儲的情況，更要進行嚴(yán)格的風(fēng)險評估和選擇，建立合適的合作和監(jiān)管機制。確保第三方符合安全合規(guī)要求，并對其進行有效的監(jiān)控和審計。另外，還要培養(yǎng)員工的安全意識和技能，加強員工數(shù)據(jù)安全能力培訓(xùn)，提高他們在日常工作中的安全意識和行為，并定期組織模擬演練和應(yīng)急演練，增強員工應(yīng)對安全事件的能力。

數(shù)據(jù)安全治理是一個持續(xù)的過程，需要根據(jù)實際情況和法規(guī)要求進行具體的定制化和調(diào)整，從而建設(shè)一種先進、自主、靈活、全面、智能的立體化數(shù)據(jù)安全防護體系，實現(xiàn)企業(yè)非結(jié)構(gòu)化數(shù)據(jù)的有效管理和保護，有效保障數(shù)據(jù)資產(chǎn)的安全可控。

記者：請您談?wù)?，對用戶在?shù)據(jù)安全治理方面的產(chǎn)品選型和能力評估的建議。

宋春嶺：首先，用戶應(yīng)確切地了解自己的數(shù)據(jù)安全需求和目標(biāo)。這包括需要保護的數(shù)據(jù)類型、安全合規(guī)要求、預(yù)算限制等，明確需求和目標(biāo)將有助于用戶更好地匹配和評估相應(yīng)的產(chǎn)品和解決方案。其次，用戶還應(yīng)綜合考慮產(chǎn)品的安全功能和特性。這可能包括數(shù)據(jù)加密、終端管理、訪問認(rèn)證控制、文件管理、數(shù)據(jù)存儲、泄露防護、流轉(zhuǎn)安全、備份等功能。確保產(chǎn)品提供的安全功能能夠滿足用戶的具體需求。

另外，還要考慮選用的產(chǎn)品在規(guī)模擴展和系統(tǒng)兼容性方面的能力。用戶需要確保產(chǎn)品能夠適應(yīng)未來安全需求的增長和變化，并與現(xiàn)有系統(tǒng)和技術(shù)環(huán)境兼容。同時，用戶應(yīng)考慮產(chǎn)品供應(yīng)商提供的服務(wù)和技術(shù)水平。可信賴的技術(shù)服務(wù)將有助于用戶在使用產(chǎn)品時獲得及時的支持和解決問題。

需要強調(diào)的是，用戶在注重產(chǎn)品和服務(wù)的同時，也要更加注重關(guān)聯(lián)性的數(shù)據(jù)安全工具的建設(shè)。具體來講，需要基于數(shù)據(jù)安全合規(guī)要求、用戶的業(yè)務(wù)發(fā)展需要和風(fēng)險承受能力等多重因素，通過平衡業(yè)務(wù)需求與風(fēng)險，制定數(shù)據(jù)安全策略，對數(shù)據(jù)分級分類，對數(shù)據(jù)的全生命周期進行管理，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務(wù)支撐，實現(xiàn)業(yè)務(wù)與安全的深層融合。

億賽通數(shù)據(jù)安全運營管理平臺遵循IPDRR（識別、防御、檢測、響應(yīng)、恢復(fù)）能力框架模型，可以為客戶提供一個中心、多種安全管理和防護能力，幫助安全管理人員落地安全管理和技術(shù)體系的結(jié)合，達到數(shù)據(jù)安全運營管理工作閉環(huán)，最終實現(xiàn)數(shù)據(jù)安全可視、可管、可控、可溯的目標(biāo)。

圖2 億賽通數(shù)據(jù)安全運營管理平臺

記者：請您談?wù)劊瑑|賽通在數(shù)據(jù)安全管理方面的實踐。

宋春嶺：億賽通在數(shù)據(jù)安全管理方面主要包括智能識別、智能防護、智能監(jiān)測、智能運營。智能識別強調(diào)工具智能識別為主、人工配合為輔的理念。通過數(shù)據(jù)嗅探、網(wǎng)絡(luò)解析、智能上報等方式梳理網(wǎng)絡(luò)中的數(shù)據(jù)庫、終端、文件服務(wù)、大數(shù)據(jù)及云數(shù)據(jù)，形成數(shù)據(jù)資產(chǎn)清單。

智能防護則依據(jù)分類分級結(jié)果對不同級別的數(shù)據(jù)配置不同的安全策略，兼顧成本與安全。基于智能識別結(jié)果構(gòu)建安全智能防護，不同的主體（組織、角色、人員等）對不同級別的客體（終端數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、云端數(shù)據(jù)以及數(shù)據(jù)庫等）采取不同數(shù)據(jù)防護策略，對絕密數(shù)據(jù)、機密數(shù)據(jù)，采取文件加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印等高強度管控技術(shù)措施，嚴(yán)格限制分享時間，建立數(shù)據(jù)接收方白名單；對內(nèi)部不敏感數(shù)據(jù)只需要進行相關(guān)審計。

智能監(jiān)測是對于不同的能力節(jié)點的數(shù)據(jù)進行綜合審計分析，形成基于“人”和“事件”的風(fēng)險畫像，完成數(shù)據(jù)流轉(zhuǎn)過程的高效審計，及時做好全局管理。智能監(jiān)測通常包括：數(shù)據(jù)庫監(jiān)測、網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測、終端數(shù)據(jù)監(jiān)測、敏感數(shù)據(jù)分布監(jiān)測、用戶行為監(jiān)測、API 接口監(jiān)測、熱點應(yīng)用監(jiān)測及異常賬號監(jiān)測。

智能運營強調(diào)數(shù)據(jù)各個環(huán)節(jié)的互聯(lián)、互補、互通，通過對不同能力模塊的關(guān)聯(lián)分析來定位風(fēng)險，通過事件編排處置風(fēng)險，通過事件追溯完善策略。從而形成覆蓋事前預(yù)警、事中處置、事后分析的閉環(huán)管理。

記者：未來數(shù)據(jù)安全防護技術(shù)將延伸出哪些新的發(fā)展特點？

宋春嶺：總體來講，未來數(shù)據(jù)安全防護技術(shù)將延伸至AI 和機器學(xué)習(xí)、區(qū)塊鏈、邊緣計算安全、數(shù)據(jù)隱私保護、多因素身份驗證和融合安全解決方案等方面。這些新的發(fā)展特點將為數(shù)據(jù)安全提供更強大、智能、綜合的保護。

具體來講，AI 和機器學(xué)習(xí)技術(shù)在數(shù)據(jù)安全領(lǐng)域的應(yīng)用將進一步擴展。這些技術(shù)可以幫助檢測和分析大量的數(shù)據(jù)，識別出潛在的安全威脅和異常行為，并提供更快速、準(zhǔn)確的安全響應(yīng)和預(yù)測能力。區(qū)塊鏈技術(shù)方面，區(qū)塊鏈技術(shù)逐漸在數(shù)據(jù)安全領(lǐng)域發(fā)揮著重要作用。區(qū)塊鏈可以提供去中心化的數(shù)據(jù)存儲和交換，保障數(shù)據(jù)的不可篡改性和身份驗證。未來，區(qū)塊鏈技術(shù)還將廣泛應(yīng)用于數(shù)據(jù)保護、身份認(rèn)證和智能合約等方面，提供更強大、更安全的防護。

數(shù)據(jù)隱私保護方面，數(shù)據(jù)隱私保護將成為數(shù)據(jù)安全的重要組成部分。隨著隱私法規(guī)的加強和用戶對個人數(shù)據(jù)保護需求的提升，數(shù)據(jù)安全技術(shù)將更注重個人隱私的管理和保護，包括匿名化技術(shù)、對抗數(shù)據(jù)分析和差分隱私等手段。多因素身份驗證方面，為了增強身份認(rèn)證的安全性，多因素身份驗證將得到更廣泛的應(yīng)用。未來的數(shù)據(jù)安全技術(shù)將推動更多的身份驗證方式，如指紋、虹膜掃描、聲紋識別等，以提供更強大的身份驗證保護。

另外，綜合安全解決方案也將得到更多關(guān)注和應(yīng)用，以應(yīng)對不斷變化和復(fù)雜化的安全威脅。未來的數(shù)據(jù)安全技術(shù)將集成多種安全措施和技術(shù)，例如威脅情報、行為分析、入侵檢測和響應(yīng)等，以提供更全面、協(xié)同的安全防護能力。