云計算、大數據、IOT、人工智能等新技術掀起的數字化轉型,帶來全新的網絡威脅和安全需求,驅動互聯網行業從技術思想、方法論到產業思維進行演進,推動我們重新審視現有的安全防護模式。
在CTDC 2018首席技術官領袖峰會期間,安華金和CTO楊海峰接受媒體獨家專訪,針對數據安全治理,結合安華金和數據安全全線產品,以及基于方案積累所提出的“數據安全治理”框架,提供了部分應對思路。
記者:
安華金和在數據安全領域已經深耕多年,今天您在會上的分享談到數據安全治理,能否請您談一談這套理念提出的背景是什么?
楊海峰:
安華金和長期(9年)專注在數據安全技術和產品積累,形成了覆蓋敏感數據發現、數據分類分級、敏感數據保護、數據庫安全加固、數據庫審計與監控、異常行為分析這樣一條完整的數據安全保護產品線。這些產品的背后,是用戶對數據安全保護的需求和痛點,他們希望能夠形成體系化的數據安全保護思路、理念和技術支撐,來幫助企業形成有效的數據保護方案,不希望是簡單的頭痛醫頭,更不是盲目的上一堆安全產品,達不到保護效果,白白投入。
記者:
數據安全治理對于用戶而言價值何在?數據安全治理的實踐的過程是怎樣的?
楊海峰:
數據安全治理首先是一套先進的數據安全理念—讓數據使用更安全,強調數據在使用中的保護,其目標是安全地使用數據,合理的發揮數據價值。
數據安全治理是一套先進的數據安全框架,為用戶提供了體系化的數據安全保護思路:以敏感數據為中心,通過數據安全狀況摸底(梳理),了解敏感數據分布和使用情況,了解安全現狀和風險;然后結合企業自身使用敏感數據的場景,建立敏感數據保護措施,建立針對使用場景的數據防護措施;最后對數據的使用情況,進行審計和監控,實現合規性監察能力,保護措施有效性評估和優化能力。通過理解和實施這一框架,能夠幫助解決不知道哪些數據需要保護,更不知道如何保護這一困擾管理者的最大煩惱,同時也避免了盲目的、過度的使用安全產品,既達不到效果,又增加管理者負擔的尷尬。
數據安全治理還是一套技術支撐和產品體系,涵蓋了從敏感數據發現、數據分類分級、數據庫漏洞掃描,到面向敏感數據的數據加密、數據脫敏保護,圍繞業務系統、數據運維、開發測試、BI分析、數據分發、內部應用等敏感數據使用場景的防護手段,到提供敏感數據操作監控、行為分析和異常告警、安全合規性審計等監控和審計能力。提供了全面覆蓋框架的各個階段的落地能力。
這里我們簡單的列舉一個案例,通過這一案例希望讀者能夠了解具體的價值和實踐。
客戶面臨GDPR(歐盟一般數據保護法案)的合規監管要求,首先要滿足的是對涉及個人隱私數據的“數據收集最小化”和“數據處理目的限制”這兩個最基本的原則,但問題是無論安全管理者還是大數據技術人員,并不了解企業到底收集了哪些個人隱私數據,這些數據都被保存在哪里,是否收集了不該收集的隱私數據,對這些隱私數據是如何使用和處理的、是否符合收集的目的?要回答這些問題,需要通過技術手段,進行數據安全狀況摸底和梳理:
1)通過敏感數據自動發現技術,對企業的IT系統進行探測、掃描發現所有的數據庫,并對數據庫中的數據進行掃描采樣和分析,最終發現所有的個人隱私數據,了解這些隱私數據都保存在哪些表中。
2)通過數據庫訪問流量分析技術,對所有個人隱私數據的訪問進行分析和梳理,形成隱私數據訪問狀況報告。通過該報告,安全管理者可以了解到:
A:哪些隱私數據沒有被使用(例如婚姻狀況),這些數據的收集違背了最小化原則,應及時的清理刪除。
B:企業中存在哪些非業務系統使用了個人隱私數據,這些系統訪問隱私數據的目的是否與數據收集的目的是一致的,如果不一致,則應及時的進行整改,或采用技術手段,保證系統使用的是經過脫敏后的數據。
記者:
GDPR的生效對國內的企業有影響嗎?
楊海峰:
GDPR對國內的一些標準和法律也產生了較大的影響,包括現在我國的網絡安全法律,也能看到一些GDPR的影子,像“個人信息保護法草案”,這里面的很多要求和GDPR存在很多關聯性,但是具體到實施和監管,以及對法案的解讀上還是會存在一定差異,畢竟國情不一樣,那么在法案的實施和細節的解釋上也會有一定差異。
記者:
安華金和作為中國數據安全治理理念的提出者與倡導者,如何將這一理念在行業領域持續貫穿下去?
楊海峰:
在數據安全治理理念的貫徹推廣和落地過程中,非常重要的是要建立起廣泛的、對該理念認同的生態合作;為此,安華金和作為組長單位,聯合業界的多個領域的安全廠商,成立了數據安全治理工作組,這一生態中包含:
1)政府、行業監管機構;
2)具備數據收集和處理能力的平臺廠商如云平臺、SaaS平臺廠商等;
3)在數據處理的完整鏈條中各個環節提供數據保護技術的安全廠商。
產品咨詢:4000 258 365 
