回首2017-2018年,不難發現在數據安全領域有一個重要變化:數據安全治理理念經歷萌芽,開始傳播開來,并逐漸被客戶和行業認可。
數據安全治理是安華金和在2016年在國內率先提出來的,彼時,在全球范圍內只有Gartner對這個概念做了初步研究。2017年開始,隨著安華金和由數據庫安全朝著數據安全廠商的轉型,提出“數據安全治理”框架,提供涵蓋人員組織、安全策略、流程制定及技術支撐全方位的整體安全思路與方案。2017-2018年,作為數據安全治理工作組組長單位安華金和主導發起首屆中國數據安全治理高峰論壇,率先將數據安全治理理念在全國推廣開來。
于是,我們在這兩年也聽到了數據安全生態下更多組織、機構、企業發出了關于“數據安全治理”的聲音。比如,像阿里這樣的企業,也開始談數據安全治理。同時,國網網安處專門成立了數據安全治理的工作組,在稅務側也有專門的組織,這些都說明這個理念既是被數據安全生態所認可的,也是符合客戶認知的。樂觀預計,在客戶、安全企業、組織研究機構等各方的共同努力下,數據安全治理會加快從啟蒙到逐漸被社會廣泛認可的步伐,到2021年實現在全國大型企業中數據安全治理體系的構造。
安華金和CEO劉曉韜在談及數據安全未來前景的文章中就將數據安全治理作為數據安全3.0時代的中心內容。他認為3.0時代最關鍵的特征就是體系化安全。安全不再是一個純產品技術上的安全,實際上是組織規范+技術的完美整合,以呈現整體的安全。而數據安全治理正是是這樣一個體系化的安全解決思路。
2019年起始,在京舉行的數據安全治理專委會專家研討會上,來自網安、部委客戶、高校、安全廠商的領導、學者、專家們就結合各自領域針對數據安全治理各抒己見,提供了視角豐富的認知和看法。
安華金和作為數據安全治理專委會重要踐行方,在研討會上分享了在數據安全治理領域的技術思路和實踐案例。數據安全從以DBMS資產為中心的1.0時代到以數據為中心的2.0時代,再到以數據安全治理為中心的3.0時代,是數據安全建設的必然需求和發展趨勢。因為,隨著數據共享時代的到來,再來重新審視數據安全這一概念,我們談的就是數據環境下流動數據的安全。
現場,安華金和通過對某政務云數據安全治理案例的分享,總結了遵循“數據摸底→數據管控→行為稽核”這一數據安全治理技術路線開展數據安全項目建設所帶來的價值表現:
數據全面梳理:針對政務云平臺,同步規劃、同步建設,摸清建設過程中數據安全風險問題。
促進政務數據交換共享:摸清各委辦局數據底賬,并進行分類分級,促進數據共享交換。
保障政務數據安全有效使用:針對數據歸集、清洗、分發、共享開發等環節進行不同層次的防護。
全周期監控政務數據流轉問題:從數據進入到流動到流出,全站審計不留死角。
公安部網絡安全保衛局范春玲處長以《網絡安全等級保護新條例解讀》為主題,結合等保條例制度重要工作目標之一數據安全展開解讀分享,她指出,等保制度在接下來重點工作目標就是關鍵信息基礎設施保護和大數據安全,將網絡基礎設施、重要信息系統、網站、大數據中心、云計算平臺、物聯網、工控系統、公眾服務平臺等全部納入等保監管,保障重點領域、重點應用能夠在投入運行之前,風險能得到有效管控。其中,與公民個人隱私相關的數據保護是公安部的工作重點之一。在數據成為國家基礎戰略資源和社會基礎生產要素的今天,數據安全將成為新一代信息安全體系競爭的制高點。
來自教育部信息中心平臺運行處專家趙京則結合教育部具體的數據安全治理實踐進行了分享。首先,他通過ITRC數據泄露調查報告呈現了自2013年以來的全球教育數據泄露情況,逐年攀升的趨勢圖讓人不容樂觀。在全球范圍內,2017年半年事件已曝光的數據泄漏事件高達974起,數據泄漏記錄總數超過了5.54億條,而去年下半年數據泄漏事件和數據泄漏記錄總數分別為844起和4.24億條。而對原因進行分析,無外乎兩大問題:①沒有對數據的共享使用進行安全防護,內鬼作案;②利用了用戶對數據庫漏洞沒有防御措施,入侵拖庫。
面對嚴峻的形勢,教育部積極舉措,出臺數據管理辦法,采取數據安全防護措施來遏制數據泄露事件的發生。趙京通過分享教育部采取的數據安全治理解決思路和方案實踐,遵循①安全狀況摸底→②數據使用管控→③數據治理稽核為教育部的數據安全建設項目呈現了如下價值:
讓資產清晰化,將多年信息化建設過程中產生的數據進行了詳細的資產分析,提高數據管理水平;
數據安全可控,依據數據資產結果制定數據庫相關安全防護措施,整體提升數據安全能力;
集中審計管理,實時獲取安全風險并做出應對,針對業務特殊性制定符合業務邏輯安全策略,使數據安全落地更有針對性。
以上兩個分享分別從等保政策、項目實踐角度來看待數據安全和數據安全治理,北師大教授吳沈括則站在學術研究和國內外法規的視角來分享了自己對于數據安全治理的見解。他首先針對新一代信息技術與數據安全治理相關機遇和風險態勢做了分享,他認為,在數據共享時代,圍繞各類數據的利用,在新一代信息技術的普及應用過程中,人們不斷擁抱更多的發展機遇;另一方面,圍繞各類數據的保護,我們也面對著來源更為廣泛、程度更為深刻的安全風險。然后,他分別詳細介紹了歐盟、美國、中國三個不同背景環境下的政策制度、保護法案予以分析和解讀,最后,梳理了數據安全治理的風控合規啟示。為我們提供了一個看待數據安全治理的全球視角。
中國計算機學會計算機安全專業委員會主任嚴明在研討會的圓桌論壇環節對數據安全治理這種系統化的數據安全建設思路予以了肯定。他認為,數據安全治理應該是一個很專業很系統的大方案的概念,它一定是一個專業的領域,而治理得第一步也一定是要側重安全人員和組織的搭建與管理。只有先做好這一步,下面的技術落地才有保證。而從國家政策層面看,2019年了,距離我們一直期待的《關鍵信息基礎設施安全保護條例》的頒布肯定已經不遠了。近些年,無論從政策、制度、標準層面以及打造網絡安全強國的需求層面,都能看得出國家越發關注數據安全、關注大數據的安全,所以,數據安全將成為未來信息安全發展的重要領域。而數據安全治理則會施展其用武之地。
產品咨詢:4000 258 365 
