omniture

数据安全治理为什么难以落地?

2022-03-28 15:11

\" src=
刚刚结束的两会政府报告中,提出了要强化网络安全、数据安全和个人信息保护。毫无悬念,今年数据安全仍是关乎组织战略制定与发展的重要命题。数据驱动着发展,同时也暗藏风险,数据安全问题是个人到企业到国家层面都高度重视的问题。

由CIO时代、新基建创新研究院与数世咨询联手打造的全新直播间《安全说》,将邀请网安领域的专家和知名CIO,共同围绕“第二届数字安全大会”、大会主题“人机合智”等数据安全相关的热点话题持续推出系列对话访谈,共同探讨数字安全的新态势。

3月18日,以“数据安全治理为什么难以落地”为主题的第二期《安全说》直播顺利举行。本场直播由CIO时代联合创始人兼COO、新基建创新研究院秘书长刘晶主持,邀请数世咨询的创始人&CEO李少鹏、霍因科技创始人吕颖轩做客直播间,进行了主题交流和探讨,共话数据安全治理的路径和发展趋势。

2020年,中央首次明确“数据成为第五大生产要素”,数据安全的重要性毋庸置疑。近年来,许多安全厂商也都在争相发力数据安全,尤其是数据安全治理的概念被很多人接受。但无论从用户的普遍反应还是厂商的声音来看, 除了一些工具类产品,真正的DSG体系似乎很难落地。
 

 【对话访谈】

刘晶: 数据安全和数据治理安全有什么区别?

李少鹏:数字安全的概念是以网络安全为基础手段,以数据安全为核心目的。进入数据时代,全国都在建大数据局、政数局,目的就是要将数据价值充分释放出来,推动社会经济发展和人类文明进步。所以,数据在被定义为第五大生产要素后,数据安全的重要性就不言而喻。不可忽视的是数据安全固然重要,但其落地和实施还面临巨大挑战。

“数据安全”和“数据安全治理”从定义上来看,数据安全指的一个事物的名称,而数据安全治理是一个活动过程,本身是不具可比性的。 


刘晶:如果没有做好数据治理,那是否做好数据安全治理呢?

李少鹏:业界普遍认为只有做好数据治理的工作,数据安全治理的工作才能做好。但这又面临了第二个问题, 数据治理是一个宏大的工程,随着《数据安全法》、《个人隐私保护法》等法律法规的相应出台,企业经营就需要满足安全合规。在实现安全合规过程中,你把数据治理工作那层完成了,就会付出昂贵的成本,用户是不愿意承担这个时间、人力或财务成本的。

因此“数据安全治理”的概念或是逻辑关系应该是数据大于治理,治理大于安全,换句话说就是治理当中应该有安全、有业务、有效率。网络安全是管理层面的内容,属于治理的一部分,用治理的概念做安全显然就是“大炮打蚊子”。所以我认为,关注的重点应当从 “数据安全治理”到“数据治理的安全能力”的转换。

吕颖轩:从Gartner定义上来看,在IT策略、经营策略层面上来看,数据安全治理是一个庞大的概念,顶层设计非常繁重。霍因科技一直在做数据治理工作,将数据治理分为三类:一是业务类,如智能制造、BI;二是效率类,如降本增效、流程再造;三是目前大火的安全合规类。霍因现有的诸多客户已把数据使用过程中如何安全合规、不违规、不违法作为了数据治理的一个重要驱动力。所以,在我看来,一定是数据治理先行,安全后行。

在霍因多年的行业实践中发现,许多客户会去做数据治理的本职工作,但数据治理本身的一些短板,前期如数据咨询方面的工作量会占到整个治理过程的90%,消耗巨大;客户在做业务层面的数据治理时,诉求多为数据使用混乱,希望通过治理去校正它;在相关的安全法律法规出台后,数据治理又多了一项重点--安全合规。

安全合规是可以作为整个数据治理过程的切入点,同时也是一个基座,这也是数据治理服务商可以看重的一片蓝海。

其实,数据安全是需要懂业务,懂数据业务,需要了解数据的态势,我们要有能力把数据市场化的前提上,再去部署数据安全。因此,我认为正确的方法可以在数据治理方法论上去 “瘦身”,从比较精简的咨询业务开始,以安全合规为目的,将它的顶层设计再“瘦身”化,然后再辅助一些AI的工具去实现落地。所以,霍因科技提出了“安全驱动的数据治理”这一理念。


刘晶:为什么安全是数据治理的第一驱动力?

李少鹏:从本质上看,大家对于数据安全的基本需求是合规。但在实际落地中,部分用户在数字化转型中进行一些基础的数据治理工作时,会卡在安全合规上,这部分用户是我们潜在的市场用户。

目前的网络安全来自政策驱动约占70%,而数据安全一定有99%来自合规驱动。因此,不能因为数据治理难度大就不做,甚至连安全也不管了。正确的做法应该是反其道而行之。在典型行业的数据安全治理中,合规是安全的第一驱动力,因为它天然的会跟效率、成本等产生矛盾。数据安全治理应当分类分级,应依照行业的不同,场景不同,级别就不一样。

吕颖轩:从我们的市场经验来看,数据安全治理的目标客户分为两种:

一类是经历过数据治理阶段,无论最终的效果如何,但这类客户都会有一个基本的数据治理基础,只是需要补足数据安全方面的短板,所以传统数据安全治理体系更适合;

第二类客户是没有经历过数据治理工作,但是希望安全合规为目标,同时完成数据业务+数据安全治理工作。这时就需要通过安全驱动的数据治理方法论(就是数据治理+安全能力),针对安全合规类的目标做数据治理实践,其他系统再进行复制。

数据安全治理的基础是不光解决安全问题,还能解决业务问题,所以它以数据管理目标是非常清晰的。市面上传统的数据安全产品一般被称为安全工具或安全治理,它们并不关注数据管理的需求;也有一些是涉及数据管理某一阶段的安全工作,比如出口安全控制,敏感数据发现等。但是并没有解决客户对于数据管理的真正痛点——如何通过安全更好的完成数据治理目标。

现在市面上有很多号称数据安全治理产品,一些客户也买过,但大部分还只是网安的建设思路,用传统的敏感数据扫描,出个扫描报告。数据上该有的问题并没有真正解决,数据不敢轻易上行,也不知道怎么上行。为什么?因为它本身没有从数据治理的理念出发,仅用傻瓜式规则扫描并不解决真正的数据管理问题。

发现数据问题后该怎么处置、用什么方式处置、处置方式是否合规等等这些问题要用数据管理的理念,做项目全周期的设计,里面包含数据咨询,安全咨询,产品配合。所以数据安全治理不只是为了检查,是真正要解决数据管理中的安全问题——也就是安全驱动的数据治理。


刘晶:网络安全与数据安全的区别是什么呢?

吕颖轩:数据安全是等保的最基础要求。传统的网安思路是不解决数据安全问题的,它是典型的筑墙防守,在业务的外围去筑一道城墙,不管是防火墙,是WAF,其本质都是在业务或者说它的资产的外围形成保护,它的原则是尽量不要去干扰业务。网安的核心聚焦于流量,我们可以基于流量有许多产品,可以不断升级,可以更加人工智能化。

现在真正的数据安全叫数安,必须正视的事实是沿用传统思路已经走不通。所以我们必须将数据的业务和态势看得足够清楚,深入到应用层,才能真正地去做数据安全。如果不了解数据资产,不清楚业务管理中的敏感数据在哪里,不知道相同数据资产在流转过程中的不同安全等级,那数据安全防护就无从说起了。

目前,我们将保护的数据分为了两类:第一类是个人隐私数据,相对清晰的;第二类企业机密数据,它分为商业数据、经营数据、研发数据等等,这些数据具有极重的一些行业属性,是靠机械学习所积累能力。

所以,数据安全一定是具备行业属性,你要积累这个行业里面一些数据的能力,你才可以去做好数据安全防护。


刘晶:霍因科技在数据治理安全中聚焦的行业有哪些?

吕颖轩:霍因目前聚焦的行业是泛电力行业中的物联网、新能源、电子装备制造等等。它们的数据特性是数据标准相对清晰,我们可以通过机器学习的能力将泛电力行业中的数据进行场景化解读,在数据治理里,难点在于场景的理解,通过将数据场景解读并标准化后,我们就可以对同行业客户中类似的数据进行快速的数据安全治理动作,也就是我前面提到的“数据治理方法论”的瘦身。

以前经常会提到数据的全生命周期,我认为数据不一定是全生命周期的事情,不光只有计算和流转场景。如果要检查是否分级,那它的静态存储数据就不需要检查了吗?不,它是基于全量全域去检查所有的分类数据,这对于安全行业来讲难度是很高的,安全追求的是非短板效应,而全量和全域是传统数据治理的基础性工作。


刘晶:数据治理安全中重点关注的有哪些?

李少鹏:我们建立了那么多安全体系,有一点不对就会被打穿,安全的结构特别是不对称的,攻击者和防御者完全是不对称的,防御者需要cover一切,攻击者只需要搞定一点。

整个的数据安全市场,到目前为止,我认为最该关注是企业级数据安全。为什么这么说呢?你看我们能力图谱。数据作为资产,有网络就会有敏感数据,就需要将其保护起来。但现在,要求数据开放流动,所以运营商、医疗数据,包括公安数据都要共享,这给人类社会带来了巨大转变。但现在隐私计算能力的不足,我们还不能实现落地。

隐私计算,它一定是跟数据的流动性是有直接相关的。我们将重点聚焦在数据的开放性上,首先企业自身先用,各个不同的部门将数据应用起来,在有限共享范围内与业务合作伙伴和用户实现数据开放。我认为,在未来三五年内数据安全的落地价值将在这里。当然,未来隐私计算成熟后,数据可全社会范围内流动时,之前提到的问题就解决了。

在实现数据治理安全上,我认为还是标准先行或是白皮书先行。所以,数世咨询会与霍因科技联合发布《数据治理安全能力白皮书》。这不是数据安全治理,而是数据治理安全能力的白皮书。同时,我也希望跟有相同安全理念的数据安全厂商共同来完成。


【互动问答】

直播间的观众们积极踊跃地提出了很多问题,在稍后的互动问答环节,数世咨询的创始人、CEO李少鹏和霍因科技创始人吕颖轩也进行了详尽生动的解答,下面精选两个观众的问题进行回顾:

1、如何实现数据资产化?

吕颖轩: 数据如何资产化最终还是离不开数据治理。数据是分为不同形态的,它在ODS层(贴源层),在DW层(靠数仓层),以及最后的数据超市都是文件形态,只有越往上走它的资产化程度才会越高。

因此,它是经过繁重的清洗和质量治理过程,去逐步形成数据资产化。换句话说,数据资产化不是个安全问题,是一个数据治理问题。但它也是一个安全的基础问题。

2、如果公司在做完数据安全治理之后,再做数据治理,会遇到哪些困难?

吕颖轩:DSG在进行中,大概率的应该是满足了我们所说的诸多场景中的一、二个场景,因此,场景上的内容都不会丢弃,我觉得其实可以根据场景来划分,根据不同场景来划分。

例如,他已经做过数据流转,我通过一个关口的思想怎么去控制,捣乱基层格式,如何找到它转发的合法性和合规性,可以在计算、数据交换、数据存储的场景下,我们再去做数据安全治理。

 

关于霍因科技:
 

\" src=


霍因科技聚焦在安全合规驱动下的数据治理方案,通过CDC下一代数据安全理论(Consult-Discover-Control),采用场景化能力复用及机器学习能力,将数据治理与数据安全管理能力融合。

从客户数据业务的咨询与法规理解和导入,到基于机器学习技术与大数据湖仓技术为企业构建安全的数据管理环境,再到基于生态的全面安全控制。霍因科技通过“Consult-Discover-Control”理念为政企客户实践数据管理及安全合规方案。

霍因科技:安全驱动的数据治理优势:

1. 全域:结构化数据、非结构化数据(文件/音视频)

2. 全场景:个人隐私数据、企业数据(商业数据、生产数据、经营数据...)

3. 全链路:数据在采集、存储、处理、交换、管理等全链路上的安全管理

消息来源:CIO时代网