云計算��、大數(shù)據(jù)��、IOT����、人工智能等新技術(shù)掀起的數(shù)字化轉(zhuǎn)型��,帶來全新的網(wǎng)絡(luò)威脅和安全需求�,驅(qū)動互聯(lián)網(wǎng)行業(yè)從技術(shù)思想、方法論到產(chǎn)業(yè)思維進行演進�,推動我們重新審視現(xiàn)有的安全防護模式。
在CTDC 2018首席技術(shù)官領(lǐng)袖峰會期間����,安華金和CTO楊海峰接受媒體獨家專訪,針對數(shù)據(jù)安全治理�����,結(jié)合安華金和數(shù)據(jù)安全全線產(chǎn)品���,以及基于方案積累所提出的“數(shù)據(jù)安全治理”框架����,提供了部分應(yīng)對思路。
一����、數(shù)據(jù)安全治理的背景
記者:
安華金和在數(shù)據(jù)安全領(lǐng)域已經(jīng)深耕多年,今天您在會上的分享談到數(shù)據(jù)安全治理�����,能否請您談一談這套理念提出的背景是什么�����?
楊海峰:
安華金和長期(9年)專注在數(shù)據(jù)安全技術(shù)和產(chǎn)品積累�����,形成了覆蓋敏感數(shù)據(jù)發(fā)現(xiàn)��、數(shù)據(jù)分類分級����、敏感數(shù)據(jù)保護、數(shù)據(jù)庫安全加固���、數(shù)據(jù)庫審計與監(jiān)控�����、異常行為分析這樣一條完整的數(shù)據(jù)安全保護產(chǎn)品線����。這些產(chǎn)品的背后,是用戶對數(shù)據(jù)安全保護的需求和痛點�,他們希望能夠形成體系化的數(shù)據(jù)安全保護思路、理念和技術(shù)支撐�����,來幫助企業(yè)形成有效的數(shù)據(jù)保護方案�,不希望是簡單的頭痛醫(yī)頭��,更不是盲目的上一堆安全產(chǎn)品����,達不到保護效果,白白投入�。
二、數(shù)據(jù)安全治理的價值和實踐
記者:
數(shù)據(jù)安全治理對于用戶而言價值何在�?數(shù)據(jù)安全治理的實踐的過程是怎樣的��?
楊海峰:
數(shù)據(jù)安全治理首先是一套先進的數(shù)據(jù)安全理念—讓數(shù)據(jù)使用更安全����,強調(diào)數(shù)據(jù)在使用中的保護�����,其目標是安全地使用數(shù)據(jù)���,合理的發(fā)揮數(shù)據(jù)價值���。
數(shù)據(jù)安全治理是一套先進的數(shù)據(jù)安全框架,為用戶提供了體系化的數(shù)據(jù)安全保護思路:以敏感數(shù)據(jù)為中心���,通過數(shù)據(jù)安全狀況摸底(梳理)��,了解敏感數(shù)據(jù)分布和使用情況���,了解安全現(xiàn)狀和風險;然后結(jié)合企業(yè)自身使用敏感數(shù)據(jù)的場景�,建立敏感數(shù)據(jù)保護措施,建立針對使用場景的數(shù)據(jù)防護措施�����;最后對數(shù)據(jù)的使用情況,進行審計和監(jiān)控��,實現(xiàn)合規(guī)性監(jiān)察能力�����,保護措施有效性評估和優(yōu)化能力���。通過理解和實施這一框架����,能夠幫助解決不知道哪些數(shù)據(jù)需要保護���,更不知道如何保護這一困擾管理者的最大煩惱,同時也避免了盲目的���、過度的使用安全產(chǎn)品�����,既達不到效果�,又增加管理者負擔的尷尬。
數(shù)據(jù)安全治理還是一套技術(shù)支撐和產(chǎn)品體系��,涵蓋了從敏感數(shù)據(jù)發(fā)現(xiàn)����、數(shù)據(jù)分類分級、數(shù)據(jù)庫漏洞掃描��,到面向敏感數(shù)據(jù)的數(shù)據(jù)加密�����、數(shù)據(jù)脫敏保護�����,圍繞業(yè)務(wù)系統(tǒng)���、數(shù)據(jù)運維��、開發(fā)測試����、BI分析、數(shù)據(jù)分發(fā)��、內(nèi)部應(yīng)用等敏感數(shù)據(jù)使用場景的防護手段�����,到提供敏感數(shù)據(jù)操作監(jiān)控����、行為分析和異常告警、安全合規(guī)性審計等監(jiān)控和審計能力���。提供了全面覆蓋框架的各個階段的落地能力����。
這里我們簡單的列舉一個案例�,通過這一案例希望讀者能夠了解具體的價值和實踐。
客戶面臨GDPR(歐盟一般數(shù)據(jù)保護法案)的合規(guī)監(jiān)管要求���,首先要滿足的是對涉及個人隱私數(shù)據(jù)的“數(shù)據(jù)收集最小化”和“數(shù)據(jù)處理目的限制”這兩個最基本的原則,但問題是無論安全管理者還是大數(shù)據(jù)技術(shù)人員����,并不了解企業(yè)到底收集了哪些個人隱私數(shù)據(jù),這些數(shù)據(jù)都被保存在哪里,是否收集了不該收集的隱私數(shù)據(jù)��,對這些隱私數(shù)據(jù)是如何使用和處理的�����、是否符合收集的目的��?要回答這些問題�,需要通過技術(shù)手段,進行數(shù)據(jù)安全狀況摸底和梳理:
1)通過敏感數(shù)據(jù)自動發(fā)現(xiàn)技術(shù)���,對企業(yè)的IT系統(tǒng)進行探測����、掃描發(fā)現(xiàn)所有的數(shù)據(jù)庫�,并對數(shù)據(jù)庫中的數(shù)據(jù)進行掃描采樣和分析,最終發(fā)現(xiàn)所有的個人隱私數(shù)據(jù)����,了解這些隱私數(shù)據(jù)都保存在哪些表中。
2)通過數(shù)據(jù)庫訪問流量分析技術(shù)����,對所有個人隱私數(shù)據(jù)的訪問進行分析和梳理��,形成隱私數(shù)據(jù)訪問狀況報告�����。通過該報告���,安全管理者可以了解到:
A:哪些隱私數(shù)據(jù)沒有被使用(例如婚姻狀況),這些數(shù)據(jù)的收集違背了最小化原則����,應(yīng)及時的清理刪除。
B:企業(yè)中存在哪些非業(yè)務(wù)系統(tǒng)使用了個人隱私數(shù)據(jù)����,這些系統(tǒng)訪問隱私數(shù)據(jù)的目的是否與數(shù)據(jù)收集的目的是一致的,如果不一致���,則應(yīng)及時的進行整改�,或采用技術(shù)手段����,保證系統(tǒng)使用的是經(jīng)過脫敏后的數(shù)據(jù)。
三����、GDPR對國內(nèi)企業(yè)的影響
記者:
GDPR的生效對國內(nèi)的企業(yè)有影響嗎?
楊海峰:
GDPR對國內(nèi)的一些標準和法律也產(chǎn)生了較大的影響���,包括現(xiàn)在我國的網(wǎng)絡(luò)安全法律����,也能看到一些GDPR的影子�,像“個人信息保護法草案”,這里面的很多要求和GDPR存在很多關(guān)聯(lián)性�����,但是具體到實施和監(jiān)管�,以及對法案的解讀上還是會存在一定差異,畢竟國情不一樣���,那么在法案的實施和細節(jié)的解釋上也會有一定差異���。
四、數(shù)據(jù)安全治理理念貫徹推廣和落地
記者:
安華金和作為中國數(shù)據(jù)安全治理理念的提出者與倡導者��,如何將這一理念在行業(yè)領(lǐng)域持續(xù)貫穿下去�?
楊海峰:
在數(shù)據(jù)安全治理理念的貫徹推廣和落地過程中�����,非常重要的是要建立起廣泛的����、對該理念認同的生態(tài)合作��;為此�����,安華金和作為組長單位���,聯(lián)合業(yè)界的多個領(lǐng)域的安全廠商���,成立了數(shù)據(jù)安全治理工作組,這一生態(tài)中包含:
1)政府���、行業(yè)監(jiān)管機構(gòu)��;
2)具備數(shù)據(jù)收集和處理能力的平臺廠商如云平臺��、SaaS平臺廠商等��;
3)在數(shù)據(jù)處理的完整鏈條中各個環(huán)節(jié)提供數(shù)據(jù)保護技術(shù)的安全廠商���。
產(chǎn)品咨詢:4000 258 365 
