當今全球進入數(shù)據(jù)經(jīng)濟時代，數(shù)據(jù)資源成為推動各國產(chǎn)業(yè)發(fā)展和商業(yè)創(chuàng)新的動力源泉。與此同時，數(shù)據(jù)資源面臨的安全威脅也日益嚴峻，數(shù)據(jù)開放利用與數(shù)據(jù)安全治理成為“一個硬幣的兩面”，兩者缺一不可。因此，面對數(shù)據(jù)安全威脅日益嚴峻的態(tài)勢，為確保在大數(shù)據(jù)時代下敏感數(shù)據(jù)的安全，著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，數(shù)據(jù)安全治理能力的提升迫在眉睫。

　　作為一家專注于數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè)，昂楷科技針對數(shù)據(jù)安全所面臨的挑戰(zhàn)，提出以數(shù)據(jù)安全治理為中心的安全防護方案，重點從數(shù)據(jù)全生命周期的角度闡述了數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)中的安全風險以及防護措施，為大數(shù)據(jù)環(huán)境下敏感數(shù)據(jù)的安全提供全方位的保障，并致力于讓人們放心地享受大數(shù)據(jù)。

　　近日，深圳昂楷科技有限公司副總經(jīng)理李四階，圍繞數(shù)據(jù)安全治理的基本思路、數(shù)據(jù)安全落地的現(xiàn)狀及難點、數(shù)據(jù)安全治理方案的客戶價值等方面，與記者展開深入溝通和交流，相關(guān)問題和回答展示如下，以饗讀者。

　　INTERVIEW

　　01

　　本刊記者 ：

　　數(shù)據(jù)安全治理的基本思路是什么？

　　李四階 ：

　　網(wǎng)絡(luò)信息安全的發(fā)展經(jīng)歷了從終端安全、網(wǎng)絡(luò)安全進入數(shù)據(jù)安全的幾個階段，曾經(jīng)我們只需保護好承載數(shù)據(jù)的系統(tǒng)，后來伴隨數(shù)據(jù)的使用流動，我們需要在不同的場景和業(yè)務(wù)中去考慮數(shù)據(jù)特定的安全需求，由此誕生了品類繁多的數(shù)據(jù)安全產(chǎn)品。

　　現(xiàn)在，數(shù)據(jù)上升到資產(chǎn)、基礎(chǔ)設(shè)施的層面，數(shù)據(jù)量級正在以幾何速度暴漲，數(shù)據(jù)蘊含的價值并非以往任一時代能夠比擬的，如果我們僅僅使用雇傭保安、裝防盜門等形式的安全管控，一方面，單一的、孤島式的防護無法對抗持續(xù)激增的風險威脅；另一方面，以管控為目標的安全原則將會對數(shù)據(jù)的流通利用產(chǎn)生明顯的阻礙。

　　而數(shù)據(jù)安全治理的思路，強調(diào)安全不再是一個純技術(shù)和產(chǎn)品層面上的安全，而是組織規(guī)范、管理制度和產(chǎn)品工具的完美整合，以呈現(xiàn)整體的、有策略的安全體系。同時，安全防御長期以來強調(diào)的是為業(yè)務(wù)提供保障，在數(shù)據(jù)時代，數(shù)據(jù)就是業(yè)務(wù)的核心驅(qū)動力以及業(yè)務(wù)本身，因此，我們需要跳出以往著眼于系統(tǒng)、網(wǎng)絡(luò)的安全思維，重新以數(shù)據(jù)為中心來進行安全的建設(shè)，達到精細化和貼身式的防守。

　　INTERVIEW

　　02

　　本刊記者 ：

　　請您談?wù)剶?shù)據(jù)安全治理落地實踐的現(xiàn)狀。

　　李四階  ：

　　數(shù)據(jù)安全治理是一套很宏大的框架，類似于我們生活的城市中會出現(xiàn)打砸搶燒，每家每戶裝上防彈玻璃、非必要就閉門不出并不能有效杜絕意外的出現(xiàn)，社會的運轉(zhuǎn)也將陷入僵局。站在公共安全治理的角度，我們會組建公檢法體系，會有軍隊來提供保障，會出臺法律政策，會建立公共設(shè)施和安檢制度等，既有組織策略，也有技術(shù)手段，還有協(xié)同聯(lián)動。數(shù)據(jù)安全治理也一樣，但將其落地實施到一個具體的企業(yè)中，形成貫穿于整個組織架構(gòu)的完整鏈條，絕非易事。

　　數(shù)據(jù)安全治理本質(zhì)上就是一套自上而下的多層框架，涵蓋決策層到技術(shù)層，它要求企業(yè)建立安全政策和組織保障；評估企業(yè)自身面臨的安全風險，對不同等級的風險設(shè)定不同的管理政策；針對安全風險控制，制定相應(yīng)策略，內(nèi)部進行資源匹配，這里面將涉及具體的技術(shù)工具；通過安全評估及具體指標衡量，以確保風險得到有效管理，否則需要重新糾偏，以此形成一個完整的閉環(huán)。

　　從戰(zhàn)略高度來指導(dǎo)數(shù)據(jù)安全治理，好處在于宏觀的控制和推進，但在美好的愿景之下，它的推進難度、執(zhí)行效率極大地依賴于該項目在企業(yè)中的重要性和地位、企業(yè)組織架構(gòu)是否足夠成熟優(yōu)越、企業(yè)成員的安全意識是否與此高度匹配等因素。而在現(xiàn)實情況中，我國大部分企事業(yè)單位的 IT 建設(shè)、組織建設(shè)在過去長期處于“重發(fā)展輕安全”的狀態(tài)，在此基礎(chǔ)上直接落地數(shù)據(jù)安全治理有些“水土不服”“不接地氣”。

　　INTERVIEW

　　03

　　本刊記者 ：

　　昂楷科技如何把控數(shù)據(jù)行業(yè)痛點？

　　李四階  ：

　　數(shù)據(jù)庫破壞的形式有三種：一是對數(shù)據(jù)庫的結(jié)構(gòu)性破壞，導(dǎo)致數(shù)據(jù)庫無法正常運行，數(shù)據(jù)庫是信息化系統(tǒng)的核心，數(shù)據(jù)庫無法正常工作，系統(tǒng)即無法正常工作；二是對數(shù)據(jù)進行定向惡意篡改以達到自己的目的，這方面的問題比較隱蔽，大家談的比較少，但危害極大；三是核心數(shù)據(jù)的盜取，這是廣為討論的問題，其本質(zhì)就是信息泄露。

　　這三種破壞形式組合起來興風作浪，其外在的危害表現(xiàn)錯綜復(fù)雜，總結(jié)起來有幾個典型危害：其一，國家重要部門或企事業(yè)單位機密被別有用心的他國竊取，或重要信息化系統(tǒng)、工業(yè)控制系統(tǒng)被迫癱瘓，將嚴重影響國家的政治、經(jīng)濟，甚至國民安全；其二，企業(yè)核心數(shù)據(jù)泄密或信息化系統(tǒng)不能正常運行導(dǎo)致企業(yè)競爭力下降、聲譽受損，甚至破產(chǎn)；其三，個人隱私泄露導(dǎo)致財產(chǎn)損失，甚至付出生命的代價。

　　因此，行業(yè)迫切需要對數(shù)據(jù)安全的破壞行為做到有效防護；構(gòu)建事前預(yù)防、事中攔截、事后取證三位一體的積極防護體系。該防護體系的核心是將不可見的破壞之源，做到準確可視、進而做到自主可控，并且要平衡好效率和安全、穩(wěn)定與安全、開放與安全的矛盾關(guān)系；還要有發(fā)展性，能夠適應(yīng)大數(shù)據(jù)、云計算、萬物互聯(lián)的信息化架構(gòu)及技術(shù)發(fā)展帶來的新挑戰(zhàn)！

　　面對行業(yè)迫切需求以及未來發(fā)展帶來的各種挑戰(zhàn)，從國家機關(guān)、企事業(yè)單位的數(shù)據(jù)安全防護方案建設(shè)方面來講，應(yīng)該打破從前“以外防為主建立防護邊界系統(tǒng)”的老思路，建立終端、外防、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系；尤其重要的是數(shù)據(jù)安全態(tài)勢感知系統(tǒng)，其作為整個防護體系的雷達探測和中樞指揮系統(tǒng)，是核心中的核心。數(shù)據(jù)安全態(tài)勢感知系統(tǒng)與原有的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)融為一體，建立全態(tài)勢的安全感知和統(tǒng)一指揮調(diào)度系統(tǒng)，能夠有效整合終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等各大系統(tǒng)，形成強大的聯(lián)動效應(yīng)。

　　昂楷科技正是按照這個建設(shè)思路，先從最核心的數(shù)據(jù)庫安全審計監(jiān)控產(chǎn)品開始研發(fā)，解決對數(shù)據(jù)庫攻擊行為及攻擊者的可視；進而打造數(shù)據(jù)庫漏洞檢測、數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫安全態(tài)勢感知系統(tǒng)，構(gòu)建針對數(shù)據(jù)庫的主動防御一體化解決方案。在設(shè)計系統(tǒng)方案時，積極研究最新前沿技術(shù)。目前，昂楷科技已率先支持后關(guān)系型數(shù)據(jù)庫的安全保護、Hadoop數(shù)據(jù)庫安全的保護、工業(yè)控制數(shù)據(jù)庫的安全保護，是第一個與公有云運營商聯(lián)合推出運營級的云數(shù)據(jù)庫安全審計監(jiān)控服務(wù)的企業(yè)。

　　INTERVIEW

　　04

　　本刊記者 ：

　　昂楷科技如何實踐數(shù)據(jù)安全治理？

　　李四階  ：

　　昂楷科技在幫助企業(yè)落地數(shù)據(jù)安全治理項目時，進行了很好的本土優(yōu)化，采用自上而下和自下而上的雙向結(jié)合循環(huán)路線。一方面，在策略上，從頂層起步進行宏觀路線的規(guī)劃，形成一套完整的從梳理到管理再到控制的方法論；另一方面，在執(zhí)行上，從大到小、從整體到局部，動態(tài)地、精細地逐步進行實施，比如，先進行“卡口”實現(xiàn)對基本面的安全控制，再結(jié)合對數(shù)據(jù)資產(chǎn)的梳理情況進行數(shù)據(jù)安全策略的智能化設(shè)置。

　　整體方案的構(gòu)成涵蓋了資產(chǎn)梳理、風險評估、主動防御、監(jiān)控審計、態(tài)勢感知、數(shù)據(jù)溯源、數(shù)據(jù)處理、聯(lián)動聯(lián)防等全面的能力，這些數(shù)據(jù)安全能力單元搭配SOC平臺、應(yīng)用安全、終端安全、網(wǎng)絡(luò)安全等安全能力單元，集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺上，實現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防，可以覆蓋數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀的全部流轉(zhuǎn)周期。

　　數(shù)據(jù)資產(chǎn)的明顯特征在于瞬息萬變，數(shù)據(jù)是高度靈活、高頻變動的，如果像盤點實物資產(chǎn)一樣去梳理數(shù)據(jù)資產(chǎn)，并根據(jù)梳理結(jié)果對數(shù)據(jù)進行管理控制，很難達到“與時俱進”的效果。因此，昂楷科技通過 AI 機器學(xué)習(xí)的方式持續(xù)地監(jiān)測數(shù)據(jù)本身實時變動情況，包括其格式、狀態(tài)、敏感性等維度，實現(xiàn)持續(xù)的智能化數(shù)據(jù)盤點，通過不斷地重塑企業(yè)數(shù)據(jù)資產(chǎn)，指導(dǎo)后續(xù)的安全動作，達到更精準、更靈敏、可持續(xù)性發(fā)展的安全防控效果。

　　INTERVIEW

　　05

　　本刊記者 ：

　　昂楷科技數(shù)據(jù)安全治理方案能夠給客戶帶來哪些價值？

　　李四階  ：

　　昂楷科技數(shù)據(jù)安全綜合治理解決方案讓客戶的大數(shù)據(jù)平臺實現(xiàn)精準可視、安全可控，以安全態(tài)勢感知平臺為樞紐，清晰掌握了平臺上數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)庫健康狀態(tài)以及敏感數(shù)據(jù)分布情況，對數(shù)據(jù)庫操作行為與敏感數(shù)據(jù)使用狀態(tài)進行實時監(jiān)控和及時告警，高敏數(shù)據(jù)和測試數(shù)據(jù)通過去隱私化以及訪問控制的方式確保安全可控，方案從整體上形成全面、準確審計以及安全防護體系的建設(shè)，以滿足客戶對安全事前防御、事中管控、事后溯源的安全管理需求。

　　事前防御階段。根據(jù)數(shù)據(jù)安全的管理制度及標準，對敏感數(shù)據(jù)如個人的手機號、住址、社保信息、公積金信息、房產(chǎn)信息、就診信息等，企業(yè)的納稅信息、股權(quán)信息等非公示項信息，實行事前識別并嚴格執(zhí)行訪問管控策略。

　　在不同訪問場景下，通過脫敏規(guī)則，對不同身份的運維人員訪問敏感數(shù)據(jù)中的身份證、銀行卡、電話號碼、姓名、住址等敏感信息進行掩碼處理，實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽，防止泄露敏感數(shù)據(jù)，同時不影響常規(guī)的數(shù)據(jù)遷移、備份等日常工作。

　　事中管控階段。使用數(shù)據(jù)庫防火墻屏蔽直接訪問數(shù)據(jù)庫的通道，可基于IP地址、時間、操作、關(guān)鍵字、數(shù)據(jù)庫賬號、語句長度、列名、表名、行數(shù)、注入特征庫等多種條件，制定靈活多變的數(shù)據(jù)防護策略。對于高危操作行為需提交申請，待審批通過后方可進行操作，同時，在操作過程中，要進行監(jiān)控審計，阻斷異常和違規(guī)的數(shù)據(jù)修改、刪除等操作，達到在數(shù)據(jù)使用過程中有效防止敏感數(shù)據(jù)泄露和被非法篡改的目的。

　　事后溯源階段。通過數(shù)據(jù)庫審計，對數(shù)據(jù)分析人員、應(yīng)用管理及運維人員、DBA、普通用戶、管理員的數(shù)據(jù)訪問行為進行全記錄，判斷行為的合規(guī)性，同時可以通過審計操作與數(shù)據(jù)庫審計進行關(guān)聯(lián)分析對比，以三層關(guān)聯(lián)精準定位到人，準確判斷是否存在違規(guī)行為，做到事后可溯源、可分析。

　　INTERVIEW

　　06

　　本刊記者 ：

　　昂楷科技如何持續(xù)保持對數(shù)據(jù)的支持能力？

　　李四階  ：

　　昂楷科技一直保持對新一代數(shù)據(jù)庫的快速支持能力，并同時追蹤區(qū)塊鏈、分布式數(shù)據(jù)庫的發(fā)展演進，憑借團隊對數(shù)據(jù)庫安全的基礎(chǔ)性攻防研究能力以及對新 IT 架構(gòu)的支持響應(yīng)能力，緊跟數(shù)據(jù)庫技術(shù)的發(fā)展，實現(xiàn)對新數(shù)據(jù)庫及安全威脅的快速響應(yīng)并采取有效技術(shù)措施應(yīng)對，同時參與安全標準制定，共建數(shù)據(jù)安全長城。

　　昂楷科技基于“不做‘關(guān)系型’產(chǎn)品”這一思想，自2016年開始，面向用戶和合作伙伴，推出了“尋找不一樣的VIP”活動。活動理念在于只要有數(shù)據(jù)安全需求的用戶在數(shù)據(jù)安全方面遇到了難題，或找不到滿意的產(chǎn)品，那他就是昂楷科技的VIP客戶，昂楷科技不僅免費幫助其解決難題，還給予獎品答謝。通過這種方式，不但為用戶解決了自身的數(shù)據(jù)安全問題，昂楷科技也能夠?qū)崟r準確地把握用戶在數(shù)據(jù)安全方面的真實需求，同時通過解決各種難題提升自身的產(chǎn)品技術(shù)實力，實現(xiàn)雙方互利共贏。

　　目前，昂楷數(shù)據(jù)安全綜合治理解決方案已應(yīng)用在政府、金融、證券、醫(yī)療衛(wèi)生、教育、電力等行業(yè)，服務(wù)于兩千多家客戶，其中包括：廣東省公安廳、云南省公安廳、湖北省公安廳、東北電力大學(xué)、北京協(xié)和醫(yī)院、北京安貞醫(yī)院、江蘇蘇豪國際等。據(jù)透露，昂楷科技實行項目制方式運營，并于2019年已達數(shù)千萬元營收。

　　昂楷科技成立至今，團隊已達220余人，其中技術(shù)研發(fā)團隊占據(jù)近100人，核心團隊來自華為、華賽等知名廠商的高管及技術(shù)骨干。

　　昂楷科技創(chuàng)始人兼CTO劉永波曾于1998年加入華為綜合接入產(chǎn)品線，并在華為將UA5000系列產(chǎn)品打造成為世界第一品牌，該產(chǎn)品為華為十大主力產(chǎn)品之一，年銷售額過百億元人民幣，成為華為海外市場的開路尖兵。

　　鑒于此，昂楷科技曾獲得華睿投資的A輪融資和海達投資的戰(zhàn)略投資，2020年7月宣布獲得奇安投資的獨家投資，2021年8月宣布獲得方廣資本的新一輪投資。完成多輪融資后的昂楷科技加速公司發(fā)展，加大對數(shù)據(jù)安全綜合治理解決方案的研發(fā)和服務(wù)升級的投入，擴大銷售渠道建設(shè)，同時，廣納英才、研發(fā)產(chǎn)品、拓展市場，發(fā)展數(shù)據(jù)安全新生態(tài)，共同推動國內(nèi)數(shù)據(jù)安全行業(yè)的發(fā)展。

　　INTERVIEW

　　07

　　本刊記者 ：

　　昂楷科技未來戰(zhàn)略的側(cè)重點是什么？

　　李四階  ：

　　當數(shù)據(jù)安全的策略、技術(shù)、措施都越來越智能和靈活，我們可以看到數(shù)據(jù)安全正逐漸與數(shù)據(jù)使用深度綁定在一起，趨向一種平衡的進化。整個行業(yè)已經(jīng)越過了非黑即白的強管控時代，當數(shù)據(jù)的量級和價值極大地凸顯，我們需要意識到，把數(shù)據(jù)關(guān)起來是一條“死”路，但是讓數(shù)據(jù)不受控地放飛，只會“死”得更快。這從頒布的《中華人民共和國數(shù)據(jù)安全法》中也能得到印證，這部在網(wǎng)絡(luò)安全行業(yè)發(fā)展過程中具有里程碑意義的法律，正是從統(tǒng)籌發(fā)展與安全的角度規(guī)定了必須在保證數(shù)據(jù)安全的前提下，對其進行挖掘、利用和創(chuàng)造，安全從附屬、外圍的邊緣屬性正式轉(zhuǎn)換為與數(shù)據(jù)業(yè)務(wù)伴生、嵌套、互相成就的共生屬性，這十分考驗數(shù)據(jù)安全的全局部署、技術(shù)創(chuàng)新和實施服務(wù)等能力。

　　昂楷科技的安全戰(zhàn)略向前發(fā)展，會更加側(cè)重于工程化的落地能力，它不再是一個產(chǎn)品級別的安全方案，而是與數(shù)據(jù)利用結(jié)合在一起的業(yè)務(wù)性質(zhì)的工程。近年來，在政府、公檢法司、能源電力、運營商、金融、教育、云端數(shù)據(jù)庫等多個領(lǐng)域，昂楷科技已幫助多家核心頭部客戶有效實施其數(shù)據(jù)安全治理方案，積累了不少工程標準化經(jīng)驗和服務(wù)經(jīng)驗，這也將成為他們未來助力各行業(yè)數(shù)字化轉(zhuǎn)型的一大核心優(yōu)勢。