《中華人民共和國數(shù)據(jù)安全法》已于2021年9月1日正式實施，與之配套的《中華人民共和國個人信息保護法》也已經(jīng)于2021年11月1日起正式施行。2021年可謂是數(shù)據(jù)安全的元年，也是數(shù)據(jù)安全大規(guī)模合規(guī)建設(shè)的開始，標(biāo)志著中國數(shù)據(jù)安全市場的主要推動力也將從風(fēng)險控制需求全面轉(zhuǎn)向合規(guī)建設(shè)需求。如何符合《數(shù)據(jù)安全法》及《個人信息保護法》要求，如何切實緩解數(shù)據(jù)安全風(fēng)險，成為各行業(yè)、各地區(qū)、各組織、各部門需要解決的首要問題之一。

　　《數(shù)據(jù)安全法》第四條規(guī)定“維護數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”在這種背景下，各組織應(yīng)該如何開展數(shù)據(jù)安全治理工作和如何完善自身的數(shù)據(jù)安全保障能力呢？圍繞著這一問題，本期牛人訪談，我們邀請到天融信科技集團副總裁王鵬，圍繞數(shù)據(jù)安全治理話題展開了一系列討論與分享。

　　王鵬

　　天融信科技集團副總裁、廣東省網(wǎng)絡(luò)空間安全標(biāo)準(zhǔn)化技術(shù)委員會委員、中國信息安全測評認(rèn)證中心CISP-DSG講師及教材主要編撰者。

　　在網(wǎng)絡(luò)及數(shù)據(jù)安全領(lǐng)域有20余年工作經(jīng)驗，多年來為國內(nèi)眾多重要的政府機構(gòu)、央企等用戶提供專業(yè)的網(wǎng)絡(luò)安全咨詢、數(shù)據(jù)安全治理等服務(wù)，對國內(nèi)外網(wǎng)絡(luò)及數(shù)據(jù)安全發(fā)展、隱私保護等法規(guī)、標(biāo)準(zhǔn)有深入研究。

　　數(shù)據(jù)安全發(fā)展至今已有十多年的歷史了，從最初企業(yè)內(nèi)部人為的對數(shù)據(jù)關(guān)注、重視到對不同數(shù)據(jù)的分級分類，再到數(shù)據(jù)安全治理產(chǎn)品的引入和發(fā)展，您是如何理解現(xiàn)階段的數(shù)據(jù)安全的？

　　王鵬：

　　要理解什么是“數(shù)據(jù)安全”，首先要清楚數(shù)據(jù)安全、網(wǎng)絡(luò)安全和信息安全涉及的概念和它們間的聯(lián)系。

　　首先，我們需要清楚什么是“數(shù)據(jù)”、什么是“信息”?！靶畔ⅰ北举|(zhì)上屬于邏輯概念，信息是價值的本質(zhì)；而“數(shù)據(jù)”是一個實體概念，按照《數(shù)據(jù)安全法》的定義：“數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。”因此數(shù)據(jù)是信息的承載形式，同樣的信息可以用不同的介質(zhì)、方式承載。數(shù)據(jù)安全治理，治理的對象是“數(shù)據(jù)”，因此我們要明確有哪些數(shù)據(jù)承載形式，比如：數(shù)據(jù)庫、文件、存儲介質(zhì)等，如此管理才會更具象。另外，還要搞清楚，這些承載形式所記錄的信息價值、重要程度及其遭到破壞后可能造成的危害程度等；而個人信息保護時，則需要衡量數(shù)據(jù)中所承載的“信息”與個人實體的關(guān)聯(lián)關(guān)系。

　　對于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的關(guān)系，網(wǎng)絡(luò)本質(zhì)上是數(shù)據(jù)承載、傳輸、處理的主要環(huán)境，也是網(wǎng)絡(luò)安全攻防對抗的戰(zhàn)場。數(shù)據(jù)安全是無法孤立于網(wǎng)絡(luò)安全而獨立存在的，如果網(wǎng)絡(luò)安全得不到保障，數(shù)據(jù)安全保護是無從談起的?！稊?shù)據(jù)安全法》第二十七條也明確規(guī)定了“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)?！边@也明確了數(shù)據(jù)安全與網(wǎng)絡(luò)安全的關(guān)系。

　　我們在做數(shù)據(jù)安全治理時，需要全盤考慮，將網(wǎng)絡(luò)安全防護措施與數(shù)據(jù)安全管控需求統(tǒng)一起來，治理后會同時滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》，乃至其他相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)及規(guī)范要求。

　　針對目前行業(yè)需求，以及相關(guān)法律法規(guī)的影響，您認(rèn)為數(shù)據(jù)安全治理應(yīng)該是怎樣的？要想滿足國家對數(shù)據(jù)治理的要求、實現(xiàn)數(shù)據(jù)資產(chǎn)的有效管理，應(yīng)該采取怎樣的治理思路？

　　王鵬：

　　數(shù)據(jù)安全治理本質(zhì)上是推進數(shù)據(jù)安全建設(shè)、提升數(shù)據(jù)安全保障能力的過程。需要解決幾個關(guān)鍵問題：1、我們有什么數(shù)據(jù)？2、這些在什么環(huán)境下采集和處理？3、處理這些數(shù)據(jù)的目的是什么？4、數(shù)據(jù)在什么場景下使用？5、需要防范哪些風(fēng)險？6、要做到什么程度、達成何種目標(biāo)？7、我們該怎么做？等等。

　　從天融信的實際經(jīng)驗出發(fā)，我們在2012年提出了“以數(shù)據(jù)為中心的安全體系建設(shè)”理念， 將數(shù)據(jù)安全治理分為六個主要內(nèi)容：數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織建設(shè)、數(shù)據(jù)安全管理建設(shè)、數(shù)據(jù)安全技術(shù)建設(shè)、數(shù)據(jù)安全運營建設(shè)和數(shù)據(jù)安全監(jiān)管建設(shè)。

　　請您詳述數(shù)據(jù)安全治理的六個主要內(nèi)容是什么，用戶通過這一整個的治理過程可以達到怎樣的數(shù)據(jù)安全治理效果？

　　王鵬：

　　其中，數(shù)據(jù)安全治理評估主要通過人工和自動化的手段幫助用戶了解當(dāng)前的業(yè)務(wù)關(guān)系、數(shù)據(jù)資產(chǎn)及其流動關(guān)系，理清當(dāng)前數(shù)據(jù)安全的主要風(fēng)險及解決的優(yōu)先級，以此設(shè)定數(shù)據(jù)安全建設(shè)的目標(biāo)及策略；

　　數(shù)據(jù)安全組織建設(shè)是落實數(shù)據(jù)安全責(zé)任的過程，是成功開展數(shù)據(jù)安全建設(shè)的前提，這個過程要將數(shù)據(jù)安全分工細化到人；

　　數(shù)據(jù)安全管理建設(shè)是管理體系、機制和方法的構(gòu)建過程，確定在數(shù)據(jù)安全體系中人、技術(shù)及操作過程的關(guān)系及具體執(zhí)行方法，是數(shù)據(jù)安全建設(shè)的基礎(chǔ)；

　　數(shù)據(jù)安全技術(shù)建設(shè)是對管理體系的延續(xù)，技術(shù)作為具體的執(zhí)行方式，需要和管理要求及流程保持一致，這不僅僅是采用技術(shù)產(chǎn)品的問題，更多的是要將這些技術(shù)產(chǎn)品、手段有機整合起來；

　　數(shù)據(jù)安全運營是數(shù)據(jù)安全能力的保持和改進過程，需要在運營中監(jiān)測數(shù)據(jù)安全威脅事件及風(fēng)險，快速發(fā)現(xiàn)、快速處置、快速恢復(fù)，同時溯源分析、審計核查等過程也可以幫助企業(yè)不斷改進數(shù)據(jù)安全體系；

　　數(shù)據(jù)安全監(jiān)管是企業(yè)自身管理的需要也是維護國家安全、社會秩序、公民合法權(quán)益的需要，數(shù)字時代的監(jiān)管需要建立在高效的監(jiān)管工具的基礎(chǔ)上，打通企業(yè)和政府的信息傳遞渠道。

　　通過以上數(shù)據(jù)安全治理咨詢服務(wù)過程，可以幫助用戶快速梳理數(shù)據(jù)、評估環(huán)境、驗證能力、確定目標(biāo)、建立體系、設(shè)計策略，整合數(shù)據(jù)安全管理規(guī)范、控制過程、數(shù)據(jù)保護措施及網(wǎng)絡(luò)安全能力，實現(xiàn)數(shù)據(jù)差異化保護。

　　例如：梳理數(shù)據(jù)，需要建立覆蓋企業(yè)全局的數(shù)據(jù)資產(chǎn)的分類分級清單；評估環(huán)境，需要將企業(yè)的業(yè)務(wù)、相關(guān)系統(tǒng)及數(shù)據(jù)安全保護措施進行場景描述及風(fēng)險分析；確定目標(biāo)，則需要根據(jù)企業(yè)的行業(yè)特征、合規(guī)要求及業(yè)務(wù)使命等因素，確定未來數(shù)據(jù)安全要達到的能力水平；設(shè)計策略，宏觀上需要明確不同類別數(shù)據(jù)在不同場景下需要采取哪些控制措施及保護程度，微觀上則需要確定不同的技術(shù)產(chǎn)品需要怎樣配置等。

　　您認(rèn)為企業(yè)用戶在建設(shè)以數(shù)據(jù)為中心的安全體系中面臨著哪些困難？應(yīng)該如何解決？

　　王鵬：

　　從我的經(jīng)驗來看，建設(shè)以數(shù)據(jù)為中心的安全體系、實現(xiàn)數(shù)據(jù)安全的綜合治理，其難點主要表現(xiàn)在組織協(xié)調(diào)問題、安全意識問題、流程協(xié)同問題、策略管理問題、技術(shù)手段問題、審計改進問題等六個方面。

　　組織協(xié)調(diào)方面：剛才也提到了數(shù)據(jù)安全治理需要多部門協(xié)同，但很多組織都是“煙囪式”的組織形式，跨部門的協(xié)調(diào)難度很大，且科技部門和業(yè)務(wù)部門的協(xié)調(diào)關(guān)系也不對等，需要建立一個統(tǒng)一的數(shù)據(jù)安全管理組織；

　　安全意識方面：數(shù)據(jù)安全治理需要業(yè)務(wù)部門、使用部門的共同參與，需要提高他們的網(wǎng)絡(luò)安全及數(shù)據(jù)安全意識，科技部門也需要抓緊培訓(xùn)數(shù)據(jù)安全的專業(yè)人才隊伍；

　　流程協(xié)同方面：數(shù)據(jù)安全涉及到采集、傳輸、存儲、處理、交換、銷毀等多個階段，涉及眾多應(yīng)用場景，比如數(shù)據(jù)跨境、數(shù)據(jù)交易、數(shù)據(jù)公開等，這需要建立統(tǒng)一的協(xié)同機制才能有效管控；

　　策略管理方面：一致性對于數(shù)據(jù)安全策略來講十分重要，而實際情況是不同的業(yè)務(wù)系統(tǒng)、安全設(shè)備往往是由不同的團隊、人員管理的，策略的一致性需要良好的管控；

　　技術(shù)手段方面：目前多數(shù)組織已經(jīng)完成了網(wǎng)絡(luò)安全等級保護建設(shè)，具備了基本的安全防護能力，但網(wǎng)絡(luò)安全措施的手段主要針對網(wǎng)絡(luò)流量，且控制粒度一般較低，很少針對數(shù)據(jù)本身進行內(nèi)容級、行為級控制，對數(shù)據(jù)安全復(fù)雜的場景管控需求來講往往是不夠的，需要補充手段，且需要進行有機整合；

　　審計改進方面：多數(shù)組織都能按照《網(wǎng)絡(luò)安全法》要求完成日志記錄的工作，但往往缺乏有效的、人工參與的審計，先進的組織會引入態(tài)勢感知、行為分析等系統(tǒng)，但其分析模型一般相對簡單，很難滿足數(shù)據(jù)安全管控的需求。

　　您認(rèn)為如果從企業(yè)自身角度出發(fā)，企業(yè)用戶在實施具體的數(shù)據(jù)治理方案前應(yīng)做哪些準(zhǔn)備工作？

　　王鵬：

　　如果從企業(yè)角度考慮數(shù)據(jù)安全治理，應(yīng)首先著重加強數(shù)據(jù)中心的安全控制，確保數(shù)據(jù)的處理環(huán)境是安全可靠的，能夠?qū)馆^強的滲透性攻擊，應(yīng)對數(shù)據(jù)價值集中化造成的風(fēng)險集中問題，先把明顯、關(guān)鍵的問題解決掉，比如應(yīng)對勒索病毒、防范數(shù)據(jù)篡改及破壞等；其次，要重點落實數(shù)據(jù)分類分級管控機制，應(yīng)以網(wǎng)絡(luò)及數(shù)據(jù)安全技術(shù)措施為基礎(chǔ)，以數(shù)據(jù)安全管控平臺為依托，建立動態(tài)的內(nèi)容識別、價值判定、數(shù)據(jù)分類及安全分級、風(fēng)險評估分析能力，并能夠采用標(biāo)簽化、屬性化的控制機制對數(shù)據(jù)的使用過程進行管控，以應(yīng)對數(shù)據(jù)的流動性及不斷演化的問題，避免人工管控的低效，提升數(shù)據(jù)安全管控效率及效能；第三，要重點管控數(shù)據(jù)的交換過程，包括內(nèi)部跨部門、跨系統(tǒng)的數(shù)據(jù)共享，內(nèi)部對外提供數(shù)據(jù)，對公眾開放數(shù)據(jù)等多種情況，應(yīng)建立完善的制度流程及技術(shù)控制機制。

　　《數(shù)據(jù)安全法》的出臺和實施對未來數(shù)據(jù)安全保護技術(shù)的發(fā)展有什么影響？安全廠商對此有何看法？應(yīng)如何應(yīng)對？

　　王鵬：

　　可以肯定的是，《數(shù)據(jù)安全法》的實施對安全廠商及安全產(chǎn)業(yè)都是有積極作用的?！稊?shù)據(jù)安全法》明顯刺激了數(shù)據(jù)安全市場需求的增長，各廠商在數(shù)據(jù)安全方面也會有更多的研發(fā)及技術(shù)投入，對整個產(chǎn)業(yè)生態(tài)發(fā)展有很強的推進作用。但另一方面，《數(shù)據(jù)安全法》的合規(guī)建設(shè)也面臨很大的技術(shù)挑戰(zhàn)，對安全建設(shè)所最終交付的能力會有更高要求，這需要從理論、技術(shù)及管理等方面積極創(chuàng)新，也需要安全廠商不斷整合技術(shù)及服務(wù)資源，持續(xù)提升交付水平。

　　《數(shù)據(jù)安全法》的出臺和實施，代表著未來網(wǎng)絡(luò)和數(shù)據(jù)安全的合規(guī)發(fā)展趨勢，數(shù)字時代以數(shù)據(jù)為主要生產(chǎn)要素的產(chǎn)業(yè)合作使得企業(yè)的安全問題不再是孤立存在的，任何的安全問題都有可能直接影響到公民利益、社會秩序和國家安全。如何打通一個完整的數(shù)據(jù)安全管控鏈條是我們需要共同面臨的問題，這需要與各行業(yè)客戶、監(jiān)管部門的廣泛協(xié)同，也需要產(chǎn)業(yè)鏈上下游的深入合作，共同營造開放創(chuàng)新的數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)。

　　安全牛評

　　數(shù)據(jù)安全的三駕馬車《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》已全部實施，在這一背景下，企業(yè)需要進一步嚴(yán)格對數(shù)據(jù)安全的防護要求。

　　企業(yè)在數(shù)據(jù)安全上通常面臨著從何下手的問題，因此各大廠商均推出數(shù)據(jù)安全治理方案，以一種體系化交付的模式，解決用戶的問題。企業(yè)在進行數(shù)據(jù)安全治理前，一定要做的是對自身的業(yè)務(wù)和風(fēng)險的評估工作，以服務(wù)為開始厘清思路，以服務(wù)為結(jié)束實現(xiàn)持續(xù)的防護。企業(yè)的數(shù)據(jù)安全能力不是一蹴而就的，而是應(yīng)該與業(yè)務(wù)緊密結(jié)合，安全建設(shè)隨著業(yè)務(wù)發(fā)展而動態(tài)變化。通過技術(shù)產(chǎn)品和人員意識結(jié)合的方式，提升數(shù)據(jù)安全能力。