導讀:CIO時代、新基建創(chuàng)新研究院聯(lián)合霍因科技推出”霍因安全觀”系列線上微課堂,詳細介紹數(shù)據(jù)安全治理的方法論、先進技術、典型案例及實踐成果,展現(xiàn)數(shù)據(jù)安全治理的全生命周期管理,助力企業(yè)的數(shù)字化轉型與升級。
隨著大數(shù)據(jù)時代的到來,數(shù)據(jù)價值的深度應用成為助力企業(yè)發(fā)展的重要源動力。在企業(yè)的數(shù)字化轉型過程中,加強數(shù)據(jù)治理、深化數(shù)據(jù)開發(fā)、保障數(shù)據(jù)安全成為釋放數(shù)據(jù)價值的關鍵環(huán)節(jié),而強化數(shù)據(jù)安全對企業(yè)的數(shù)字化轉型和升級起著至關重要的作用。
基于此,CIO時代、新基建創(chuàng)新研究院聯(lián)合霍因科技推出”霍因安全觀”系列線上微課堂,詳細介紹數(shù)據(jù)安全治理的方法論、先進技術、典型案例及實踐成果,展現(xiàn)數(shù)據(jù)安全治理的全生命周期管理,助力企業(yè)的數(shù)字化轉型與升級。
在CIO時代、新基建創(chuàng)新研究院與數(shù)世咨詢聯(lián)手打造的《安全說》直播欄目中,呂穎軒作為特邀嘉賓空降第二期節(jié)目,圍繞主題“數(shù)據(jù)安全治理為什么難以落地”分享了目前霍因在數(shù)據(jù)安全治理中的方法論以及研發(fā)的最新先進技術的介紹。
01 數(shù)據(jù)治理需要安全驅(qū)動與伴行
數(shù)據(jù)安全是需要懂業(yè)務,懂數(shù)據(jù),需要了解數(shù)據(jù)的態(tài)勢,在數(shù)據(jù)市場化的前提下去部署數(shù)據(jù)安全。不論是從Gartner的定義,還是在IT策略、經(jīng)營策略層面上來看,數(shù)據(jù)安全治理都是一個龐大的概念,頂層設計非常繁重。
從霍因多年的行業(yè)實踐中發(fā)現(xiàn),許多客戶會有意識的去做數(shù)據(jù)治理的工作,但數(shù)據(jù)治理本身的一些短板也會導致問題產(chǎn)生,前期如數(shù)據(jù)咨詢方面的工作量會占到整個治理過程的90%,消耗巨大;客戶在做業(yè)務層面的數(shù)據(jù)治理時,訴求多為數(shù)據(jù)使用混亂,希望通過治理去校正它;同時,在相關的安全法律法規(guī)出臺后,數(shù)據(jù)治理又多了一項重點——安全合規(guī)。
所以,霍因?qū)?shù)據(jù)治理分成三類:一是業(yè)務類,如智能制造、BI;二是效率類,如降本增效、流程再造;三是安全合規(guī)類。就目前已服務的客戶來看,越來越多的客戶把數(shù)據(jù)使用過程中,如何做到安全合規(guī)、不違規(guī)、不違法作為數(shù)據(jù)治理的一個重要驅(qū)動力。
霍因科技在業(yè)內(nèi)提出了“安全驅(qū)動的數(shù)據(jù)治理”這一理念:從數(shù)據(jù)治理方法論上去 “瘦身”,從比較精簡的咨詢業(yè)務開始,以安全合規(guī)為目的,將數(shù)據(jù)治理的頂層設計“瘦身”化,并通過一些AI工具輔助實現(xiàn)落地。
“在我看來,一定是數(shù)據(jù)治理先行,安全后行。安全合規(guī)是可以作為整個數(shù)據(jù)治理過程的切入點,同時也是一個基座,是數(shù)據(jù)治理服務商可以看重的一片藍海。“ 霍因科技創(chuàng)始人呂穎軒說。
02 數(shù)據(jù)安全治理需要聚焦業(yè)務
數(shù)據(jù)安全是等保的最基礎要求。傳統(tǒng)的網(wǎng)安思路遵循的原則是盡量不要去干擾業(yè)務,屬于典型的筑墻防守,在業(yè)務的外圍去筑一道城墻,不管是防火墻或是WAF,其本質(zhì)都是在業(yè)務或者在資產(chǎn)外圍形成保護,并未真正的解決數(shù)據(jù)安全問題。
所以,真正的數(shù)據(jù)安全必須正視的事實是沿用傳統(tǒng)思路已經(jīng)走不通,必須將數(shù)據(jù)的業(yè)務和態(tài)勢看得足夠清楚,并深入到應用層,才能真正地去做數(shù)據(jù)安全。如果不了解數(shù)據(jù)資產(chǎn),不清楚業(yè)務管理中的敏感數(shù)據(jù)在哪里,不知道相同數(shù)據(jù)資產(chǎn)在流轉過程中的不同安全等級,那數(shù)據(jù)安全防護就無從說起了。
目前,數(shù)據(jù)保護的類型有兩種:一是個人隱私數(shù)據(jù);二是企業(yè)機密數(shù)據(jù),它又分為商業(yè)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、研發(fā)數(shù)據(jù)等,這些數(shù)據(jù)具有極重的行業(yè)屬性,需要靠機器學習來積累能力。
所以,數(shù)據(jù)安全一定要具備行業(yè)屬性,通過積累這個行業(yè)里面一些數(shù)據(jù)的能力,才能做好數(shù)據(jù)安全防護。在數(shù)據(jù)治理中,場景的理解是一個難點。以霍因科技目前聚焦的泛電力行業(yè)(如物聯(lián)網(wǎng)、新能源、電子裝備制造等)來講,數(shù)據(jù)特性是數(shù)據(jù)標準相對清晰,霍因科技可以基于機器學習的能力,將泛電力行業(yè)中的數(shù)據(jù)進行場景化解讀,并進行標準化,然后將數(shù)據(jù)安全治理理念與實踐快速復制到同行業(yè)其它客戶的治理工作中,這也是我們提到的數(shù)據(jù)治理方法論上的瘦身。
03 數(shù)據(jù)安全治理加速數(shù)據(jù)管理目標達成
數(shù)據(jù)安全治理的目標客戶可分為兩種:
一類是經(jīng)歷過數(shù)據(jù)治理,這類客戶會有一個基本的數(shù)據(jù)治理基礎,只需要補足數(shù)據(jù)安全方面的短板即可,所以傳統(tǒng)數(shù)據(jù)安全治理體系更適合;另一類是沒有經(jīng)歷過數(shù)據(jù)治理,這類客戶是希望以安全合規(guī)為目標,同時完成數(shù)據(jù)業(yè)務+數(shù)據(jù)安全治理工作。因此,通過安全驅(qū)動的數(shù)據(jù)治理方法論(就是數(shù)據(jù)治理+安全能力),針對安全合規(guī)類的目標做數(shù)據(jù)治理實踐,其他系統(tǒng)再進行復制。
所以,數(shù)據(jù)管理目標是非常清晰的,不光要解決安全問題,還要解決業(yè)務問題。現(xiàn)在市面上的一些數(shù)據(jù)安全治理產(chǎn)品,還是基于網(wǎng)安建設思路,并沒有從數(shù)據(jù)治理的理念出發(fā),僅僅涉及數(shù)據(jù)管理某一階段的安全工作,比如出口安全控制,敏感數(shù)據(jù)發(fā)現(xiàn)等,但關注重點不在數(shù)據(jù)管理的需求,這就沒有解決客戶對于“如何通過安全更好的完成數(shù)據(jù)治理目標”的痛點。
霍因科技認為,數(shù)據(jù)安全治理要從業(yè)務出發(fā),解決數(shù)據(jù)+安全的問題,通過數(shù)據(jù)治理+安全能力相結合,以安全驅(qū)動的數(shù)據(jù)治理方法論,可針對安全合規(guī)類的目標做數(shù)據(jù)治理實踐,其他系統(tǒng)再進行復制,從而實現(xiàn)數(shù)據(jù)安全的治理。
04 數(shù)據(jù)安全治理的頂層設計理念
發(fā)現(xiàn)數(shù)據(jù)問題后該怎么處置、用什么方式處置、處置方式是否合規(guī)等這些問題應基于數(shù)據(jù)管理的理念,做項目全周期的設計,里面會包含數(shù)據(jù)咨詢,安全咨詢,產(chǎn)品配合等。
“業(yè)界提到的數(shù)據(jù)的全生命周期,在我看來數(shù)據(jù)不一定是全生命周期的事情,不是只有計算和流轉場景。如果要檢查是否分級,那它的靜態(tài)存儲數(shù)據(jù)就不需要檢查了嗎?” 霍因科技創(chuàng)始人呂穎軒說,“不,安全追求的是非短板效應,它應該是基于全量全域去檢查所有的分類數(shù)據(jù),這也是傳統(tǒng)數(shù)據(jù)治理的基礎性工作?!?/strong>
關于霍因科技
霍因科技是一家專注在為企業(yè)客戶提供數(shù)據(jù)安全的方案/服務提供商。率先提出下一代數(shù)據(jù)安全理論CDC(Consult-Discover-Control),服務聚焦于安全合規(guī)驅(qū)動下的數(shù)據(jù)治理方案,采用場景化能力復用及機器學習能力,將數(shù)據(jù)治理與數(shù)據(jù)安全管理能力融合。
基于“Consult-Discover-Control”理念,霍因科技為眾多政企客戶提供實踐數(shù)據(jù)管理及安全合規(guī)方案:從客戶數(shù)據(jù)業(yè)務的咨詢、法規(guī)理解和導入著手,基于機器學習技術與大數(shù)據(jù)湖倉技術為企業(yè)構建安全的數(shù)據(jù)管理環(huán)境,從而實現(xiàn)基于生態(tài)的全面安全控制?;粢蚩萍荚诎踩?qū)動數(shù)據(jù)治理方面的優(yōu)勢:
1. 全域:結構化數(shù)據(jù)、非結構化數(shù)據(jù)(文件/音視頻)
2. 全場景:個人隱私數(shù)據(jù)、企業(yè)數(shù)據(jù)(商業(yè)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營數(shù)據(jù)...)
3. 全鏈路:數(shù)據(jù)在采集、存儲、處理、交換、管理等全鏈路上的安全管理