五年前,一个凉风习习的夏夜。在街边撸串的北京安华金和科技有限公司创始人兼CEO刘晓韬,脑海中浮现出一个新概念——数据安全治理。在烟雾缭绕中抛出话题,别人没太当回事,但他自己却认真了。
2016年,安华金和在中国首次提出并倡导针对“数据安全治理”的理论研究与体系建设;2017年,首届中国数据安全治理高峰论坛召开,且连续举办三届,成为中国数据安全治理实践与普及发展的重要平台。
无独有偶。Gartner在《2015年数据安全技术成熟度曲线》报告中也使用了“数据安全治理(Data Security Governance)”一词,可见安华金和在寻道路上并不孤单。
得道者多助。5月13日,以“数据之光 · 安全未来”为主题的第四届中国数据安全治理高峰论坛在北京举行。峰会的组织机构阵容强大:在中国保密协会、中国计算机学会计算机安全专业委员会的指导下,由中国(中关村)网络安全与信息化产业联盟、中国保密协会产业分会共同主办,北京安华金和科技有限公司及网络安全与信息化产业联盟数据安全治理专业委员会承办,中国计算机学会抗恶劣环境计算机专委会协办,国家信息中心、全球能源互联网研究院信息通信研究所等提供支持。
国家部委、主管部门领导,行业专家、学者,权威研究机构、知名安全厂商及各行业客户代表近千名业界精英云集峰会现场,共同围绕“数据安全治理”展开内容分享、成果发布、技术研讨与合作交流。
治理变革与法规护航
伴随互联网的蓬勃发展与信息化建设的不断深入,信息安全、网络安全的重要性已成为产业乃至国家层面的共识。不过,数据安全直到近几年才因频发且愈演愈烈的安全问题事件而备受关注,针对数据安全的“治理”尚处于探索阶段。
应用环境的日趋复杂,凸显数据安全治理的紧迫性。如火如荼的新基建一方面加速推动数字化转型、网络化重构、智能化提升与产业化升级;但与此同时,新基建下万物互联,网络攻击也从数字空间延伸到物理空间,继而对网络和数据安全提出严峻挑战。沈昌祥院士在主题发言中表示:“必须积极应对网络空间各种新的威胁,全面筑牢数据安全防线。”
新技术、新模式的广泛应用也是数据安全风险曝露的诱因之一,如何在安全与发展之间找到合理的平衡点,是数据安全治理的当务之急。工信部网络安全产业发展中心副主任李新社认为,数据安全治理更多的是管理问题而非技术问题,进行数据治理的目的应该落到数字经济和社会安全协同发展上来。
法律体系的护航与合规制度的约束,是数据安全治理行稳致远的重要保障。数据安全相关法律及等保2.0颁布实施以来,我国在数据安全领域取得了一定的实践成果。公安部信息安全等级保护评估中心技术部主任任卫红指出,政府部门、行业机构、用户及安全厂商应当承担起各自的责任,针对数据安全保护义务深化落实等级保护制度,从而推动数据安全治理能力的提升。
近日,《数据安全法(草案)》、《个人信息保护法(草案)》均进入二次审议阶段,这将为数据安全治理提供依法合规的新标杆。中科院信息工程研究所大数据安全研究室主任王伟平认为,大数据时代的数据安全尤为重要,治理需要系统化的思维与建设框架,兼顾数据的安全性与可用性,应用属性密码和共享学习等技术,保障各类数据共享场景的安全。
继2018、2019年先后发布《数据安全治理白皮书》1.0和2.0版,本届峰会再次重磅推出《数据安全治理白皮书》3.0版(点击阅读原文了解详情)——这既是二十家专业参编单位对数据安全治理思考与实践经验的集中呈现,也对数据安全治理的未来之路提出了明确的指引。中国(中关村)网络安全与信息化产业联盟数据安全治理专业委员会主任、北京安华金和科技有限公司创始人兼CEO刘晓韬认为,针对数据安全如何体系化、具体化落地,以及怎样使用新的安全技术来满足各类数据应用场景的安全需求,都将成为数据安全治理实践方面的新挑战。
行业挑战与突围之策
国家层面的高度重视与法规体系的日益完善,以及政府、金融、能源、教育、医疗、运营商等行业用户的积极实践,都为数据安全治理迈上新台阶创造了良好的条件。但刘晓韬坦言:“对数据安全厂商来说,面临的挑战依然很多。”
第一,在促进数据共享的同时满足合规性并非易事。在网络安全方面,已经形成了比较成熟的体系,大家干起来得心应手。但数据安全的整个体系怎么建,很多时候仍处于较为迷茫的状态。
举个例子:数据分类分级非常复杂,跟数据规模和多样性都有关系——有些用户的数据库就有一万多个,里面可能有几千万个表、十几亿个字段。如何将分类分级的标签打到具体的字段上?安全咨询服务商通常在政策和法规上提供指引,但对数据打标这种“苦活”、“累活”,就缺乏足够的技术和服务手段了。
第二,很多用户陆续上马单一场景化的产品,涵盖数据的审计、脱敏、保护等,但缺乏体系化的概念,离统一化、平台化更是相去甚远。
特别是用户以前买的很多产品可能来自多家公司,它们之间数据的交互流通非常困难。运营商行业有一些平台化的招标正在落地,但最后有多少具体化的方案能落到实处,还存在较大变数。
第三,数据安全运营的人才梯队建设,存在青黄不接的现象。历经多年积累,网络安全领域储备了一定数量的人才,但数据安全领域的人才,无论是厂商端还是用户端,目前都比较短缺。
第四,从数据处理技术本身来看,过去这些年在数据保护、安全防护方面走得快一点;但如果从数据的共享流动角度看,隐私计算、多方计算、联邦学习等技术尚处于发展初期,产业化的程度还有待提高。
面对诸多行业难题,需要兼具前瞻眼光与执行能力的安全厂商进行有针对性的探索。与传统以安全技术能力建设为主要目标的解决方案相比,安华金和数据安全运营管控平台(DSP)将管理和运营体系提升到与技术能力建设同等的高度。
刘晓韬认为,想要构建综合性的数据安全平台,参与到相关数据安全建设中的角色必然是多样的。除传统意义上利用技术工具来执行操作的数据使用人员外,数据安全的管理方和运营监管方也要具备相应的手段来完成自身角色所承担的任务,实现“管理、技术、运营”三个体系相辅相成,共同将整体解决方案真正落地。
在安全能力建设的前期,“安全管控”无疑是建设的重点;而伴随管控手段的逐步完善,如何将安全管控日常化,以及怎样在持续使用中优化相关措施和策略,从而令前期对安全能力建设的投入发挥更大的价值,则成为后续建设的重点。
安华金和通过构建数据安全运营管控平台,将数据安全运营提升到一个全新的高度——即通过运营让安全监测与安全管控更具目的性,让客户不止于“能用”,还要感到“好用”,并“持续地用起来”。
数据安全治理的实践落地非一日之功。尽管路途颠簸,但前方的风景是最好的召唤。