omniture

數(shù)據(jù)安全治理為什么難以落地?

2022-03-28 15:11

\" src=
剛剛結(jié)束的兩會政府報告中,提出了要強化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護。毫無懸念,今年數(shù)據(jù)安全仍是關(guān)乎組織戰(zhàn)略制定與發(fā)展的重要命題。數(shù)據(jù)驅(qū)動著發(fā)展,同時也暗藏風(fēng)險,數(shù)據(jù)安全問題是個人到企業(yè)到國家層面都高度重視的問題。

由CIO時代、新基建創(chuàng)新研究院與數(shù)世咨詢聯(lián)手打造的全新直播間《安全說》,將邀請網(wǎng)安領(lǐng)域的專家和知名CIO,共同圍繞“第二屆數(shù)字安全大會”、大會主題“人機合智”等數(shù)據(jù)安全相關(guān)的熱點話題持續(xù)推出系列對話訪談,共同探討數(shù)字安全的新態(tài)勢。

3月18日,以“數(shù)據(jù)安全治理為什么難以落地”為主題的第二期《安全說》直播順利舉行。本場直播由CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶主持,邀請數(shù)世咨詢的創(chuàng)始人&CEO李少鵬、霍因科技創(chuàng)始人呂穎軒做客直播間,進行了主題交流和探討,共話數(shù)據(jù)安全治理的路徑和發(fā)展趨勢。

2020年,中央首次明確“數(shù)據(jù)成為第五大生產(chǎn)要素”,數(shù)據(jù)安全的重要性毋庸置疑。近年來,許多安全廠商也都在爭相發(fā)力數(shù)據(jù)安全,尤其是數(shù)據(jù)安全治理的概念被很多人接受。但無論從用戶的普遍反應(yīng)還是廠商的聲音來看, 除了一些工具類產(chǎn)品,真正的DSG體系似乎很難落地。
 

 【對話訪談】

劉晶: 數(shù)據(jù)安全和數(shù)據(jù)治理安全有什么區(qū)別?

李少鵬:數(shù)字安全的概念是以網(wǎng)絡(luò)安全為基礎(chǔ)手段,以數(shù)據(jù)安全為核心目的。進入數(shù)據(jù)時代,全國都在建大數(shù)據(jù)局、政數(shù)局,目的就是要將數(shù)據(jù)價值充分釋放出來,推動社會經(jīng)濟發(fā)展和人類文明進步。所以,數(shù)據(jù)在被定義為第五大生產(chǎn)要素后,數(shù)據(jù)安全的重要性就不言而喻。不可忽視的是數(shù)據(jù)安全固然重要,但其落地和實施還面臨巨大挑戰(zhàn)。

“數(shù)據(jù)安全”和“數(shù)據(jù)安全治理”從定義上來看,數(shù)據(jù)安全指的一個事物的名稱,而數(shù)據(jù)安全治理是一個活動過程,本身是不具可比性的。 


劉晶:如果沒有做好數(shù)據(jù)治理,那是否做好數(shù)據(jù)安全治理呢?

李少鵬:業(yè)界普遍認為只有做好數(shù)據(jù)治理的工作,數(shù)據(jù)安全治理的工作才能做好。但這又面臨了第二個問題, 數(shù)據(jù)治理是一個宏大的工程,隨著《數(shù)據(jù)安全法》、《個人隱私保護法》等法律法規(guī)的相應(yīng)出臺,企業(yè)經(jīng)營就需要滿足安全合規(guī)。在實現(xiàn)安全合規(guī)過程中,你把數(shù)據(jù)治理工作那層完成了,就會付出昂貴的成本,用戶是不愿意承擔(dān)這個時間、人力或財務(wù)成本的。

因此“數(shù)據(jù)安全治理”的概念或是邏輯關(guān)系應(yīng)該是數(shù)據(jù)大于治理,治理大于安全,換句話說就是治理當(dāng)中應(yīng)該有安全、有業(yè)務(wù)、有效率。網(wǎng)絡(luò)安全是管理層面的內(nèi)容,屬于治理的一部分,用治理的概念做安全顯然就是“大炮打蚊子”。所以我認為,關(guān)注的重點應(yīng)當(dāng)從 “數(shù)據(jù)安全治理”到“數(shù)據(jù)治理的安全能力”的轉(zhuǎn)換。

呂穎軒:從Gartner定義上來看,在IT策略、經(jīng)營策略層面上來看,數(shù)據(jù)安全治理是一個龐大的概念,頂層設(shè)計非常繁重?;粢蚩萍家恢痹谧鰯?shù)據(jù)治理工作,將數(shù)據(jù)治理分為三類:一是業(yè)務(wù)類,如智能制造、BI;二是效率類,如降本增效、流程再造;三是目前大火的安全合規(guī)類。霍因現(xiàn)有的諸多客戶已把數(shù)據(jù)使用過程中如何安全合規(guī)、不違規(guī)、不違法作為了數(shù)據(jù)治理的一個重要驅(qū)動力。所以,在我看來,一定是數(shù)據(jù)治理先行,安全后行。

在霍因多年的行業(yè)實踐中發(fā)現(xiàn),許多客戶會去做數(shù)據(jù)治理的本職工作,但數(shù)據(jù)治理本身的一些短板,前期如數(shù)據(jù)咨詢方面的工作量會占到整個治理過程的90%,消耗巨大;客戶在做業(yè)務(wù)層面的數(shù)據(jù)治理時,訴求多為數(shù)據(jù)使用混亂,希望通過治理去校正它;在相關(guān)的安全法律法規(guī)出臺后,數(shù)據(jù)治理又多了一項重點--安全合規(guī)。

安全合規(guī)是可以作為整個數(shù)據(jù)治理過程的切入點,同時也是一個基座,這也是數(shù)據(jù)治理服務(wù)商可以看重的一片藍海。

其實,數(shù)據(jù)安全是需要懂業(yè)務(wù),懂?dāng)?shù)據(jù)業(yè)務(wù),需要了解數(shù)據(jù)的態(tài)勢,我們要有能力把數(shù)據(jù)市場化的前提上,再去部署數(shù)據(jù)安全。因此,我認為正確的方法可以在數(shù)據(jù)治理方法論上去 “瘦身”,從比較精簡的咨詢業(yè)務(wù)開始,以安全合規(guī)為目的,將它的頂層設(shè)計再“瘦身”化,然后再輔助一些AI的工具去實現(xiàn)落地。所以,霍因科技提出了“安全驅(qū)動的數(shù)據(jù)治理”這一理念。


劉晶:為什么安全是數(shù)據(jù)治理的第一驅(qū)動力?

李少鵬:從本質(zhì)上看,大家對于數(shù)據(jù)安全的基本需求是合規(guī)。但在實際落地中,部分用戶在數(shù)字化轉(zhuǎn)型中進行一些基礎(chǔ)的數(shù)據(jù)治理工作時,會卡在安全合規(guī)上,這部分用戶是我們潛在的市場用戶。

目前的網(wǎng)絡(luò)安全來自政策驅(qū)動約占70%,而數(shù)據(jù)安全一定有99%來自合規(guī)驅(qū)動。因此,不能因為數(shù)據(jù)治理難度大就不做,甚至連安全也不管了。正確的做法應(yīng)該是反其道而行之。在典型行業(yè)的數(shù)據(jù)安全治理中,合規(guī)是安全的第一驅(qū)動力,因為它天然的會跟效率、成本等產(chǎn)生矛盾。數(shù)據(jù)安全治理應(yīng)當(dāng)分類分級,應(yīng)依照行業(yè)的不同,場景不同,級別就不一樣。

呂穎軒:從我們的市場經(jīng)驗來看,數(shù)據(jù)安全治理的目標(biāo)客戶分為兩種:

一類是經(jīng)歷過數(shù)據(jù)治理階段,無論最終的效果如何,但這類客戶都會有一個基本的數(shù)據(jù)治理基礎(chǔ),只是需要補足數(shù)據(jù)安全方面的短板,所以傳統(tǒng)數(shù)據(jù)安全治理體系更適合;

第二類客戶是沒有經(jīng)歷過數(shù)據(jù)治理工作,但是希望安全合規(guī)為目標(biāo),同時完成數(shù)據(jù)業(yè)務(wù)+數(shù)據(jù)安全治理工作。這時就需要通過安全驅(qū)動的數(shù)據(jù)治理方法論(就是數(shù)據(jù)治理+安全能力),針對安全合規(guī)類的目標(biāo)做數(shù)據(jù)治理實踐,其他系統(tǒng)再進行復(fù)制。

數(shù)據(jù)安全治理的基礎(chǔ)是不光解決安全問題,還能解決業(yè)務(wù)問題,所以它以數(shù)據(jù)管理目標(biāo)是非常清晰的。市面上傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品一般被稱為安全工具或安全治理,它們并不關(guān)注數(shù)據(jù)管理的需求;也有一些是涉及數(shù)據(jù)管理某一階段的安全工作,比如出口安全控制,敏感數(shù)據(jù)發(fā)現(xiàn)等。但是并沒有解決客戶對于數(shù)據(jù)管理的真正痛點——如何通過安全更好的完成數(shù)據(jù)治理目標(biāo)。

現(xiàn)在市面上有很多號稱數(shù)據(jù)安全治理產(chǎn)品,一些客戶也買過,但大部分還只是網(wǎng)安的建設(shè)思路,用傳統(tǒng)的敏感數(shù)據(jù)掃描,出個掃描報告。數(shù)據(jù)上該有的問題并沒有真正解決,數(shù)據(jù)不敢輕易上行,也不知道怎么上行。為什么?因為它本身沒有從數(shù)據(jù)治理的理念出發(fā),僅用傻瓜式規(guī)則掃描并不解決真正的數(shù)據(jù)管理問題。

發(fā)現(xiàn)數(shù)據(jù)問題后該怎么處置、用什么方式處置、處置方式是否合規(guī)等等這些問題要用數(shù)據(jù)管理的理念,做項目全周期的設(shè)計,里面包含數(shù)據(jù)咨詢,安全咨詢,產(chǎn)品配合。所以數(shù)據(jù)安全治理不只是為了檢查,是真正要解決數(shù)據(jù)管理中的安全問題——也就是安全驅(qū)動的數(shù)據(jù)治理。


劉晶:網(wǎng)絡(luò)安全與數(shù)據(jù)安全的區(qū)別是什么呢?

呂穎軒:數(shù)據(jù)安全是等保的最基礎(chǔ)要求。傳統(tǒng)的網(wǎng)安思路是不解決數(shù)據(jù)安全問題的,它是典型的筑墻防守,在業(yè)務(wù)的外圍去筑一道城墻,不管是防火墻,是WAF,其本質(zhì)都是在業(yè)務(wù)或者說它的資產(chǎn)的外圍形成保護,它的原則是盡量不要去干擾業(yè)務(wù)。網(wǎng)安的核心聚焦于流量,我們可以基于流量有許多產(chǎn)品,可以不斷升級,可以更加人工智能化。

現(xiàn)在真正的數(shù)據(jù)安全叫數(shù)安,必須正視的事實是沿用傳統(tǒng)思路已經(jīng)走不通。所以我們必須將數(shù)據(jù)的業(yè)務(wù)和態(tài)勢看得足夠清楚,深入到應(yīng)用層,才能真正地去做數(shù)據(jù)安全。如果不了解數(shù)據(jù)資產(chǎn),不清楚業(yè)務(wù)管理中的敏感數(shù)據(jù)在哪里,不知道相同數(shù)據(jù)資產(chǎn)在流轉(zhuǎn)過程中的不同安全等級,那數(shù)據(jù)安全防護就無從說起了。

目前,我們將保護的數(shù)據(jù)分為了兩類:第一類是個人隱私數(shù)據(jù),相對清晰的;第二類企業(yè)機密數(shù)據(jù),它分為商業(yè)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、研發(fā)數(shù)據(jù)等等,這些數(shù)據(jù)具有極重的一些行業(yè)屬性,是靠機械學(xué)習(xí)所積累能力。

所以,數(shù)據(jù)安全一定是具備行業(yè)屬性,你要積累這個行業(yè)里面一些數(shù)據(jù)的能力,你才可以去做好數(shù)據(jù)安全防護。


劉晶:霍因科技在數(shù)據(jù)治理安全中聚焦的行業(yè)有哪些?

呂穎軒:霍因目前聚焦的行業(yè)是泛電力行業(yè)中的物聯(lián)網(wǎng)、新能源、電子裝備制造等等。它們的數(shù)據(jù)特性是數(shù)據(jù)標(biāo)準相對清晰,我們可以通過機器學(xué)習(xí)的能力將泛電力行業(yè)中的數(shù)據(jù)進行場景化解讀,在數(shù)據(jù)治理里,難點在于場景的理解,通過將數(shù)據(jù)場景解讀并標(biāo)準化后,我們就可以對同行業(yè)客戶中類似的數(shù)據(jù)進行快速的數(shù)據(jù)安全治理動作,也就是我前面提到的“數(shù)據(jù)治理方法論”的瘦身。

以前經(jīng)常會提到數(shù)據(jù)的全生命周期,我認為數(shù)據(jù)不一定是全生命周期的事情,不光只有計算和流轉(zhuǎn)場景。如果要檢查是否分級,那它的靜態(tài)存儲數(shù)據(jù)就不需要檢查了嗎?不,它是基于全量全域去檢查所有的分類數(shù)據(jù),這對于安全行業(yè)來講難度是很高的,安全追求的是非短板效應(yīng),而全量和全域是傳統(tǒng)數(shù)據(jù)治理的基礎(chǔ)性工作。


劉晶:數(shù)據(jù)治理安全中重點關(guān)注的有哪些?

李少鵬:我們建立了那么多安全體系,有一點不對就會被打穿,安全的結(jié)構(gòu)特別是不對稱的,攻擊者和防御者完全是不對稱的,防御者需要cover一切,攻擊者只需要搞定一點。

整個的數(shù)據(jù)安全市場,到目前為止,我認為最該關(guān)注是企業(yè)級數(shù)據(jù)安全。為什么這么說呢?你看我們能力圖譜。數(shù)據(jù)作為資產(chǎn),有網(wǎng)絡(luò)就會有敏感數(shù)據(jù),就需要將其保護起來。但現(xiàn)在,要求數(shù)據(jù)開放流動,所以運營商、醫(yī)療數(shù)據(jù),包括公安數(shù)據(jù)都要共享,這給人類社會帶來了巨大轉(zhuǎn)變。但現(xiàn)在隱私計算能力的不足,我們還不能實現(xiàn)落地。

隱私計算,它一定是跟數(shù)據(jù)的流動性是有直接相關(guān)的。我們將重點聚焦在數(shù)據(jù)的開放性上,首先企業(yè)自身先用,各個不同的部門將數(shù)據(jù)應(yīng)用起來,在有限共享范圍內(nèi)與業(yè)務(wù)合作伙伴和用戶實現(xiàn)數(shù)據(jù)開放。我認為,在未來三五年內(nèi)數(shù)據(jù)安全的落地價值將在這里。當(dāng)然,未來隱私計算成熟后,數(shù)據(jù)可全社會范圍內(nèi)流動時,之前提到的問題就解決了。

在實現(xiàn)數(shù)據(jù)治理安全上,我認為還是標(biāo)準先行或是白皮書先行。所以,數(shù)世咨詢會與霍因科技聯(lián)合發(fā)布《數(shù)據(jù)治理安全能力白皮書》。這不是數(shù)據(jù)安全治理,而是數(shù)據(jù)治理安全能力的白皮書。同時,我也希望跟有相同安全理念的數(shù)據(jù)安全廠商共同來完成。


【互動問答】

直播間的觀眾們積極踴躍地提出了很多問題,在稍后的互動問答環(huán)節(jié),數(shù)世咨詢的創(chuàng)始人、CEO李少鵬和霍因科技創(chuàng)始人呂穎軒也進行了詳盡生動的解答,下面精選兩個觀眾的問題進行回顧:

1、如何實現(xiàn)數(shù)據(jù)資產(chǎn)化?

呂穎軒: 數(shù)據(jù)如何資產(chǎn)化最終還是離不開數(shù)據(jù)治理。數(shù)據(jù)是分為不同形態(tài)的,它在ODS層(貼源層),在DW層(靠數(shù)倉層),以及最后的數(shù)據(jù)超市都是文件形態(tài),只有越往上走它的資產(chǎn)化程度才會越高。

因此,它是經(jīng)過繁重的清洗和質(zhì)量治理過程,去逐步形成數(shù)據(jù)資產(chǎn)化。換句話說,數(shù)據(jù)資產(chǎn)化不是個安全問題,是一個數(shù)據(jù)治理問題。但它也是一個安全的基礎(chǔ)問題。

2、如果公司在做完數(shù)據(jù)安全治理之后,再做數(shù)據(jù)治理,會遇到哪些困難?

呂穎軒:DSG在進行中,大概率的應(yīng)該是滿足了我們所說的諸多場景中的一、二個場景,因此,場景上的內(nèi)容都不會丟棄,我覺得其實可以根據(jù)場景來劃分,根據(jù)不同場景來劃分。

例如,他已經(jīng)做過數(shù)據(jù)流轉(zhuǎn),我通過一個關(guān)口的思想怎么去控制,搗亂基層格式,如何找到它轉(zhuǎn)發(fā)的合法性和合規(guī)性,可以在計算、數(shù)據(jù)交換、數(shù)據(jù)存儲的場景下,我們再去做數(shù)據(jù)安全治理。

 

關(guān)于霍因科技:
 

\" src=


霍因科技聚焦在安全合規(guī)驅(qū)動下的數(shù)據(jù)治理方案,通過CDC下一代數(shù)據(jù)安全理論(Consult-Discover-Control),采用場景化能力復(fù)用及機器學(xué)習(xí)能力,將數(shù)據(jù)治理與數(shù)據(jù)安全管理能力融合。

從客戶數(shù)據(jù)業(yè)務(wù)的咨詢與法規(guī)理解和導(dǎo)入,到基于機器學(xué)習(xí)技術(shù)與大數(shù)據(jù)湖倉技術(shù)為企業(yè)構(gòu)建安全的數(shù)據(jù)管理環(huán)境,再到基于生態(tài)的全面安全控制?;粢蚩萍纪ㄟ^“Consult-Discover-Control”理念為政企客戶實踐數(shù)據(jù)管理及安全合規(guī)方案。

霍因科技:安全驅(qū)動的數(shù)據(jù)治理優(yōu)勢:

1. 全域:結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文件/音視頻)

2. 全場景:個人隱私數(shù)據(jù)、企業(yè)數(shù)據(jù)(商業(yè)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營數(shù)據(jù)...)

3. 全鏈路:數(shù)據(jù)在采集、存儲、處理、交換、管理等全鏈路上的安全管理

消息來源:CIO時代網(wǎng)