構建數據安全綜合治理體系
——訪北京天空衛士網絡安全技術有限公司合伙人楊明非

本刊記者 王 超

當前，以數字科技為代表的新一輪科技革命和產業變革方興未艾，云計算、物聯網、區塊鏈、大數據等新興技術日益興盛，數據作為新的生產要素和生產資料，其地位和重要性日益凸顯。然而，數據在扮演著重要角色的同時，也面臨著重大的泄露風險與危機。

因此，依據數據安全法律法規，制定數據安全管理制度，建立數據安全管理體系，已成為數字經濟建設的必經之路。這需要企業以數據為中心，構建全方位的數據安全治理體系。在確保數據完整性、機密性、可用性的基礎上，要保證數據在采集、傳輸、存儲、使用、共享、銷毀過程中的合規合法，促進數據的增值和流轉，助力企業實現數據全生命周期的安全治理及防護。

天空衛士基于Gartner DSG框架，以合規要求為前提，在國內率先提出以“人”為中心的數據安全治理體系，通過平衡業務需求與風險，從資源發現到數據分類分級，再到數據安全策略的配置和執行，全方位地覆蓋數據安全治理周期的所有環節，從技術到產品、從策略到管理，提供完整的產品與服務支撐。

近日，北京天空衛士網絡安全技術有限公司董事、合伙人、高級技術總監楊明非，圍繞數據安全的現狀與挑戰、數據安全治理架構體系、用戶在數據安全治理方面的產品選型和能力評估等方面，與記者展開深入溝通和交流，相關問題和回答展示如下，以饗讀者。

記者：請您談談，近幾年數據安全行業的發展變化。

楊明非：從理論體系來講，數據安全治理與防護都是保護數據的安全。一般來講，數據安全主要專注于以數據為中心的保護方式和手段。

《中華人民共和國網絡安全法》頒布之前，數據安全行業可以說處在“黑暗期”。所謂的“黑暗期”，是指企業對數據安全的防護都是基于業務而自發進行，主要圍繞知識產權的保護，比如對源代碼、設計圖紙等方面的保護。對金融業而言，雖然有些受行業條例限制，但并沒有相關的法律法規進行硬性規定和約束。總的來說，數據安全事故發生后，企業不會受到法律法規等相關處罰。因此，在這段時間企業數據安全的保護大部分是在低優先級的情況下進行。

《中華人民共和國網絡安全法》頒布之后，數據安全成為網絡安全領域繞不開的話題，也重點規范了數據安全防護工作。作為我國網絡安全領域第一部基礎性法律，《中華人民共和國網絡安全法》對我國網絡安全保障工作作出了系統規定，也對數據安全提出了新規定和新要求，特別是涉及數據安全的個人信息保護、跨境數據傳輸評估、網絡安全等級保護等方面。此時，數據安全行業處在高速增長期，開啟了信息安全企業與網絡運行者、網絡監管者等多方群體密切協作的嶄新局面。

隨著互聯網行業專項整治行動的開展，受“滴滴事件”等相關事件的發酵和影響，數據安全行業越發受到社會廣泛關注，也不斷進入大眾的視線，引起了國家的關注和重視。2021年，隨著《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》的相繼出臺，更將數據安全領域的關注度和重視度推到新的高度。事實上，這兩部法律從提案、公開征求意見到正式發布實施，周期很短，數據安全領域的重要程度越來越凸顯。另外，在數字經濟及數字化轉型的背景下，伴隨大數據時代的來臨，自動駕駛、人工智能、人臉識別的不斷升級，數據已經成為重要的生產要素，數據創新、數據驅動業務發展的模式逐步成為主流，而此時的數據安全的特點與傳統的又有很大不同，未來將有廣闊的發展空間。

記者：數字化轉型給企業帶來了哪些變化，同時，在安全方面又面臨哪些挑戰？

楊明非：目前，數字化轉型已經逐步成為企業現代化的標志。從數據資產的角度來講，數字化轉型帶來的最大變化是讓企業過去被忽略的、沒有利用的數據都變成了數據資產。通過對數據進行采集、細化，分別從客戶的偏好、喜歡的程度或者人群、年齡等多方面進行整理、分析和研究，從而推動企業在業務、產品設計等方面的進步。

同時，這也讓數據安全面臨著重大挑戰。一是云計算、大數據的應用導致企業IT失去可視化。在數字化轉型中，云計算被大量使用于實現彈性的IT架構，基礎設施即服務（Infrastructure as a Service，IaaS）、軟件即服務（Software-asa-Service，SaaS）等模型大量使用后，使IT架構可視化程度大大降低。很多企業都不知道在什么位置存放什么樣的數據。二是互聯網及移動互聯網的發展與廣泛應用導致的企業安全邊界消失。數據分布在云、數據中心、終端、移動設備等各個位置，傳統的基于防火墻、入侵防御系統（Intrusion Prevention System，IPS）構建的企業安全邊界失效，更多企業員工、外包、第三方的數據來自互聯網，很難進行有效的數據保護。當企業安全的邊界消失的時候，數據安全隱患隨之分散。三是數據資產安全考慮不足。多數企業關注業務支撐系統的建設，沒有意識到數據資產已經分布到無邊界網絡中。傳統的IT系統安全建設主要考慮的是以網絡和威脅為主，缺乏原生的數據安全手段對數字化轉型帶來的海量數據資產進行保護。

這些都是企業在當前的網絡安全法、數據安全法、個人信息保護法等法律法規的合規要求和自身的知識產權保護等需求下的壓力點，一方面，企業需要積極進行數字化轉型來推動業務的發展；另一方面，需要對數據安全重新進行思考和布局來為數字化轉型保駕護航。

記者：在數字化背景下，企業如何構建科學合理的數據安全架構體系？

楊明非：構建數據安全架構的前提是一定要搞清楚需要解決的問題是什么。以前談數據安全體系，很多時候只是在談一個技術性的解決方案，比如病毒查殺，主要是在技術層面的處理，對帶毒的電腦、文件等進行查殺工作，也是屬于數據安全相關技術的一種。但考慮如今的數據安全，特別是按照分級分類篩選出企業數據資產的安全建設時，數據安全架構體系的建立更多的是與業務強關聯，解決的是一個業務性問題。比如，對制造業而言，數據安全架構體系的建立主要圍繞企業對設計開發、制圖等核心業務展開；對面向消費者的互聯網企業而言，數據安全架構體系的建設主要關注的是用戶個人隱私保護、研發源代碼等方面。

這與傳統IT的安全體系有很大的不同，數據安全的體系和業務緊密結合，這和數字化轉型所帶來的變化是一致的。具體而言，數據安全體系與業務的安全或者對業務的支撐應該是相輔相成的關系，而不是單方向命令式的關系。技術達不到的管理來補，管理達不到的用技術去填。特別是企業中負責數據安全的部門或小組，一定要和整個企業中的高層及業務部門有非常大的關聯，如風控、業務、營銷、生產研發等。這就需要高層的領導有足夠的認識再進行下一步動作，以取得比較好的效果。如果我們把數據安全當成是單一的IT項目去做，那么基本上是在做無用功，因為它實際上不能應用。

如今，我們再去看新的安全模型，是以“人”與“數據/行為”為中心提出的，圍繞數據資產為核心，從行為的可視化到數據存儲、使用和傳輸的可視化，再到最后形成數據安全整體規劃。我們并不是完全拋棄了過去的安全防護體系，只是通過數據資產安全的角度重新分析在企業安全體系中是否對數據安全有完善的支撐。我們關注于持續性的行為解析，因為所有的安全事件都是由人來驅動的。

為什么要做成持續性的？因為在過去的安全體系里很多都是一次性策略檢查模式，如同進城，所有的安全策略關鍵在城門，但只要敵人通過城門進入了城內，或者城門內本身就有內鬼，安全就很難得到保障。因此，我們要以數據資產為核心，對人們、對數據資產的操作做持續行為的監控，對于城內的人和事，我們會持續地監控其行為及敏感數據的存儲、使用和傳輸，從而發現其中的異常。這樣就形成一整套動態風險管控的安全體系，才能符合數字化轉型的業務需求，在安全管控和業務發展之間找到平衡點。

記者：對用戶在數據安全治理方面的產品選型和能力評估，您有什么建議？

楊明非：首先，企業在進行數據安全治理時，切忌過分依賴某一種技術或產品，因為目前數據安全治理的復雜度已遠遠超出了依賴單一技術或產品的覆蓋范圍，需要以體系化的思維和方法解決數據安全問題。其次，需要重視數據分級分類工作，也就是要清楚到底要保護什么，需要重點保護哪些重要數據，而不是對所有的數據一視同仁，采取同樣的手段和方式進行保護。否則，在進行數據安全治理時，很容易無的放矢，效果上也會事與愿違。明確以上兩個重點問題，我們從業務戰略與合規的要求入手時，對數據集進行分類分級，區分出敏感數據和數據資產。然后按照數據的存儲、使用和傳輸的情況制定整體的數據安全策略，策略可以通過對數據在哪里、如何被使用、被哪些人使用、如何被傳輸、如何被分析，需要進行審計、可視化或者保護等方面去定義。同時，定義相關的人員組織和規章制度，再根據需求選用相應的數據安全的產品和技術，比如哪些數據要用標簽實現可視化，什么地方要用數據庫審計或數據庫防火墻的保護。最后，通過不同產品的組合，從上至下，從企業的整個業務框架到IT構架，實現為整個數據資產安全性的體系編排統一的策略。

這樣一套流程下來，我們是按照一個數據安全治理的框架來進行企業的數據安全保護工作，而不是單純地從技術的角度出發去看數據安全。對企業的IT部門來說，可能更多關注的是在技術體系上的影響，比如技術環境、業務分布等。但在討論數據安全和數據資產安全的時候，我們要看其他很多與業務、合規等相關的概念和維度，以人在整個數據處理過程中的行為為尺度，才能知道如何去保護數據。需要強調的是，技術應該作為制度體系執行的支撐，而不是作為主導手段。

此外，天空衛士還總結了3點在數據安全治理體系建設中的經驗，可以給企業用戶提供參考。一是需要清晰了解與評估目前企業數據安全建設所處階段，不同的企業在IT框架建設成熟度、組織架構與制度管理的成熟度、業務發展的成熟度等方面都有所不同，對于和業務緊密相關的數據安全體系建設，需要準確評估企業當前的階段，再進行相應的建設工作。切勿完全照搬其他企業的經驗。二是數據分級分類任務容易建立“過大”的目標而導致難以達到理想成效。可優先通過識別核心業務、關鍵數據資產與暴露面，采用“技術工具+咨詢流程”分解實現；數據集規模、形態與企業的業務發展息息相關，應建立階段性目標與動態適應的數據分級分類體系；不是所有數據都需要保護，應該識別關鍵數據資產并平衡業務戰略目標。三是數據安全必須從企業的整體架構上統一設計，這個過程可能需要打破在傳統企業IT組織架構中的不同部門分而治之的組織結構，采用統一的規劃進行建設，而不是對每個單點進行獨立設計。

記者：針對人和數據的實時防護，天空衛士打造了怎樣的產品和方案？

楊明非：當前，多數企業正處于數字化轉型的過程中，會產生大量的數據資產，而這些數據資產隨時面臨著各種威脅。企業重要數據的泄露來源主要有三種：內部違規人員導致的外泄、內部惡意人員導致的外泄以及內部人員電腦/系統被入侵后導致的外泄。所有的安全事件都是由人引發的，其目標也都是企業的數據資產。

目前，網絡安全技術正面臨著一個轉折點，基于邊界的安全模型不再成立，基于規則的判別機制不再有效，圍繞傳統技術的安全工程也不再適用。未來的安全不能再像“進城”一樣，只針對網絡和威脅進行防護，而是需要一個自適應的安全體系，通過對人和數據的關注，持續、實時地進行分析，實現內部威脅主動防護。天空衛士ITP解決方案正是通過對行為和數據內容的分析，實現了以人為中心的數據安全體系建設。

技術在飛速發展，圍繞企業在數據安全治理過程中的難點與痛點，天空衛士從大型用戶的實際需求出發，按照最大程度實現自動化（Automatic Where Possible，AWP）的原則，傾力打造了覆蓋企業從數字化職場到遠程辦公，從傳統數據中心到IaaS、SaaS的云環境的全套數據安全治理自動化支撐技術平臺。在這個平臺上，企業可以以最小的人力資源投入，在充分利用人工智能、機器學習等手段的基礎上，盡可能地將重復的、復雜的工作交由平臺處理。首先，從數據資源發現與管理開始，對靜態和動態的數據進行發現、分析。通過自動化分類聚類和自動化標簽技術，對數據進行初加工處理。其次，再通過輔助人工制定數據的分類分級對象，并根據數據的使用人員角色、數據存儲的位置、傳輸方向等制定相應的數據安全策略。最后，將策略下發到位于數據中心的數據分級分類應用程序編程接口（Application Programming Interface，API）服務，或者是位于辦公職場的郵件網關、互聯網訪問網關、終端或者移動終端上，對數據在企業中的存儲、使用和傳輸情況進行分析。此外，通過對人員的持續性分析，獲得所有人員、實體設備的行為數據，實現對人員、設備與數據進行全面、持續的風險與信任的評估，發現其中潛在的風險，及時進行告警或者控制，最終保護企業對數據資產的安全使用，保障企業數字化轉型的進程。