隨著大數(shù)據(jù)時(shí)代的到來(lái),數(shù)據(jù)價(jià)值的深度應(yīng)用成為助力企業(yè)發(fā)展的重要源動(dòng)力。在企業(yè)的數(shù)字化轉(zhuǎn)型過(guò)程中,加強(qiáng)數(shù)據(jù)治理、深化數(shù)據(jù)開(kāi)發(fā)、保障數(shù)據(jù)安全成為釋放數(shù)據(jù)價(jià)值的關(guān)鍵環(huán)節(jié),而強(qiáng)化數(shù)據(jù)安全對(duì)企業(yè)的數(shù)字化轉(zhuǎn)型和升級(jí)起著至關(guān)重要的作用。
基于此,CIO時(shí)代、新基建創(chuàng)新研究院聯(lián)合霍因科技推出”霍因安全觀”系列線(xiàn)上微課堂,詳細(xì)介紹數(shù)據(jù)安全治理的方法論、先進(jìn)技術(shù)、典型案例及實(shí)踐成果,展現(xiàn)數(shù)據(jù)安全治理的全生命周期管理,助力企業(yè)的數(shù)字化轉(zhuǎn)型與升級(jí)。
在CIO時(shí)代、新基建創(chuàng)新研究院與數(shù)世咨詢(xún)聯(lián)手打造的《安全說(shuō)》直播欄目中,呂穎軒作為特邀嘉賓空降第二期節(jié)目,圍繞主題“數(shù)據(jù)安全治理為什么難以落地”分享了目前霍因在數(shù)據(jù)安全治理中的方法論以及研發(fā)的最新先進(jìn)技術(shù)的介紹。
數(shù)據(jù)治理需要安全驅(qū)動(dòng)與伴行
數(shù)據(jù)安全是需要懂業(yè)務(wù),懂?dāng)?shù)據(jù),需要了解數(shù)據(jù)的態(tài)勢(shì),在數(shù)據(jù)市場(chǎng)化的前提下去部署數(shù)據(jù)安全。不論是從Gartner的定義,還是在IT策略、經(jīng)營(yíng)策略層面上來(lái)看,數(shù)據(jù)安全治理都是一個(gè)龐大的概念,頂層設(shè)計(jì)非常繁重。
從霍因多年的行業(yè)實(shí)踐中發(fā)現(xiàn),許多客戶(hù)會(huì)有意識(shí)的去做數(shù)據(jù)治理的工作,但數(shù)據(jù)治理本身的一些短板也會(huì)導(dǎo)致問(wèn)題產(chǎn)生,前期如數(shù)據(jù)咨詢(xún)方面的工作量會(huì)占到整個(gè)治理過(guò)程的90%,消耗巨大;客戶(hù)在做業(yè)務(wù)層面的數(shù)據(jù)治理時(shí),訴求多為數(shù)據(jù)使用混亂,希望通過(guò)治理去校正它;同時(shí),在相關(guān)的安全法律法規(guī)出臺(tái)后,數(shù)據(jù)治理又多了一項(xiàng)重點(diǎn)——安全合規(guī)。
所以,霍因?qū)?shù)據(jù)治理分成三類(lèi):一是業(yè)務(wù)類(lèi),如智能制造、BI;二是效率類(lèi),如降本增效、流程再造;三是安全合規(guī)類(lèi)。就目前已服務(wù)的客戶(hù)來(lái)看,越來(lái)越多的客戶(hù)把數(shù)據(jù)使用過(guò)程中,如何做到安全合規(guī)、不違規(guī)、不違法作為數(shù)據(jù)治理的一個(gè)重要驅(qū)動(dòng)力。
霍因科技在業(yè)內(nèi)提出了“安全驅(qū)動(dòng)的數(shù)據(jù)治理”這一理念:從數(shù)據(jù)治理方法論上去 “瘦身”,從比較精簡(jiǎn)的咨詢(xún)業(yè)務(wù)開(kāi)始,以安全合規(guī)為目的,將數(shù)據(jù)治理的頂層設(shè)計(jì)“瘦身”化,并通過(guò)一些AI工具輔助實(shí)現(xiàn)落地。
“在我看來(lái),一定是數(shù)據(jù)治理先行,安全后行。安全合規(guī)是可以作為整個(gè)數(shù)據(jù)治理過(guò)程的切入點(diǎn),同時(shí)也是一個(gè)基座,是數(shù)據(jù)治理服務(wù)商可以看重的一片藍(lán)海。“ 霍因科技創(chuàng)始人呂穎軒說(shuō)。
數(shù)據(jù)安全治理需要聚焦業(yè)務(wù)
數(shù)據(jù)安全是等保的最基礎(chǔ)要求。傳統(tǒng)的網(wǎng)安思路遵循的原則是盡量不要去干擾業(yè)務(wù),屬于典型的筑墻防守,在業(yè)務(wù)的外圍去筑一道城墻,不管是防火墻或是WAF,其本質(zhì)都是在業(yè)務(wù)或者在資產(chǎn)外圍形成保護(hù),并未真正的解決數(shù)據(jù)安全問(wèn)題。
所以,真正的數(shù)據(jù)安全必須正視的事實(shí)是沿用傳統(tǒng)思路已經(jīng)走不通,必須將數(shù)據(jù)的業(yè)務(wù)和態(tài)勢(shì)看得足夠清楚,并深入到應(yīng)用層,才能真正地去做數(shù)據(jù)安全。如果不了解數(shù)據(jù)資產(chǎn),不清楚業(yè)務(wù)管理中的敏感數(shù)據(jù)在哪里,不知道相同數(shù)據(jù)資產(chǎn)在流轉(zhuǎn)過(guò)程中的不同安全等級(jí),那數(shù)據(jù)安全防護(hù)就無(wú)從說(shuō)起了。
目前,數(shù)據(jù)保護(hù)的類(lèi)型有兩種:一是個(gè)人隱私數(shù)據(jù);二是企業(yè)機(jī)密數(shù)據(jù),它又分為商業(yè)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、研發(fā)數(shù)據(jù)等,這些數(shù)據(jù)具有極重的行業(yè)屬性,需要靠機(jī)器學(xué)習(xí)來(lái)積累能力。
所以,數(shù)據(jù)安全一定要具備行業(yè)屬性,通過(guò)積累這個(gè)行業(yè)里面一些數(shù)據(jù)的能力,才能做好數(shù)據(jù)安全防護(hù)。
在數(shù)據(jù)治理中,場(chǎng)景的理解是一個(gè)難點(diǎn)。以霍因科技目前聚焦的泛電力行業(yè)(如物聯(lián)網(wǎng)、新能源、電子裝備制造等)來(lái)講,數(shù)據(jù)特性是數(shù)據(jù)標(biāo)準(zhǔn)相對(duì)清晰,霍因科技可以基于機(jī)器學(xué)習(xí)的能力,將泛電力行業(yè)中的數(shù)據(jù)進(jìn)行場(chǎng)景化解讀,并進(jìn)行標(biāo)準(zhǔn)化,然后將數(shù)據(jù)安全治理理念與實(shí)踐快速?gòu)?fù)制到同行業(yè)其它客戶(hù)的治理工作中,這也是我們提到的數(shù)據(jù)治理方法論上的瘦身。
數(shù)據(jù)安全治理加速數(shù)據(jù)管理目標(biāo)達(dá)成
數(shù)據(jù)安全治理的目標(biāo)客戶(hù)可分為兩種:
一類(lèi)是經(jīng)歷過(guò)數(shù)據(jù)治理,這類(lèi)客戶(hù)會(huì)有一個(gè)基本的數(shù)據(jù)治理基礎(chǔ),只需要補(bǔ)足數(shù)據(jù)安全方面的短板即可,所以傳統(tǒng)數(shù)據(jù)安全治理體系更適合;
另一類(lèi)是沒(méi)有經(jīng)歷過(guò)數(shù)據(jù)治理,這類(lèi)客戶(hù)是希望以安全合規(guī)為目標(biāo),同時(shí)完成數(shù)據(jù)業(yè)務(wù)+數(shù)據(jù)安全治理工作。因此,通過(guò)安全驅(qū)動(dòng)的數(shù)據(jù)治理方法論(就是數(shù)據(jù)治理+安全能力),針對(duì)安全合規(guī)類(lèi)的目標(biāo)做數(shù)據(jù)治理實(shí)踐,其他系統(tǒng)再進(jìn)行復(fù)制。
所以,數(shù)據(jù)管理目標(biāo)是非常清晰的,不光要解決安全問(wèn)題,還要解決業(yè)務(wù)問(wèn)題。現(xiàn)在市面上的一些數(shù)據(jù)安全治理產(chǎn)品,還是基于網(wǎng)安建設(shè)思路,并沒(méi)有從數(shù)據(jù)治理的理念出發(fā),僅僅涉及數(shù)據(jù)管理某一階段的安全工作,比如出口安全控制,敏感數(shù)據(jù)發(fā)現(xiàn)等,但關(guān)注重點(diǎn)不在數(shù)據(jù)管理的需求,這就沒(méi)有解決客戶(hù)對(duì)于“如何通過(guò)安全更好的完成數(shù)據(jù)治理目標(biāo)”的痛點(diǎn)。
霍因科技認(rèn)為,數(shù)據(jù)安全治理要從業(yè)務(wù)出發(fā),解決數(shù)據(jù)+安全的問(wèn)題,通過(guò)數(shù)據(jù)治理+安全能力相結(jié)合,以安全驅(qū)動(dòng)的數(shù)據(jù)治理方法論,可針對(duì)安全合規(guī)類(lèi)的目標(biāo)做數(shù)據(jù)治理實(shí)踐,其他系統(tǒng)再進(jìn)行復(fù)制,從而實(shí)現(xiàn)數(shù)據(jù)安全的治理。
數(shù)據(jù)安全治理的頂層設(shè)計(jì)理念
發(fā)現(xiàn)數(shù)據(jù)問(wèn)題后該怎么處置、用什么方式處置、處置方式是否合規(guī)等這些問(wèn)題應(yīng)基于數(shù)據(jù)管理的理念,做項(xiàng)目全周期的設(shè)計(jì),里面會(huì)包含數(shù)據(jù)咨詢(xún),安全咨詢(xún),產(chǎn)品配合等。
“業(yè)界提到的數(shù)據(jù)的全生命周期,在我看來(lái)數(shù)據(jù)不一定是全生命周期的事情,不是只有計(jì)算和流轉(zhuǎn)場(chǎng)景。如果要檢查是否分級(jí),那它的靜態(tài)存儲(chǔ)數(shù)據(jù)就不需要檢查了嗎?” 霍因科技創(chuàng)始人呂穎軒說(shuō),“不,安全追求的是非短板效應(yīng),它應(yīng)該是基于全量全域去檢查所有的分類(lèi)數(shù)據(jù),這也是傳統(tǒng)數(shù)據(jù)治理的基礎(chǔ)性工作。”
“業(yè)界提到的數(shù)據(jù)的全生命周期,在我看來(lái)數(shù)據(jù)不一定是全生命周期的事情,不是只有計(jì)算和流轉(zhuǎn)場(chǎng)景。如果要檢查是否分級(jí),那它的靜態(tài)存儲(chǔ)數(shù)據(jù)就不需要檢查了嗎?” 霍因科技創(chuàng)始人呂穎軒說(shuō),“不,安全追求的是非短板效應(yīng),它應(yīng)該是基于全量全域去檢查所有的分類(lèi)數(shù)據(jù),這也是傳統(tǒng)數(shù)據(jù)治理的基礎(chǔ)性工作。”
關(guān)于霍因科技
霍因科技是一家專(zhuān)注在為企業(yè)客戶(hù)提供數(shù)據(jù)安全的方案/服務(wù)提供商。率先提出下一代數(shù)據(jù)安全理論CDC(Consult-Discover-Control),服務(wù)聚焦于安全合規(guī)驅(qū)動(dòng)下的數(shù)據(jù)治理方案,采用場(chǎng)景化能力復(fù)用及機(jī)器學(xué)習(xí)能力,將數(shù)據(jù)治理與數(shù)據(jù)安全管理能力融合。
基于“Consult-Discover-Control”理念,霍因科技為眾多政企客戶(hù)提供實(shí)踐數(shù)據(jù)管理及安全合規(guī)方案:從客戶(hù)數(shù)據(jù)業(yè)務(wù)的咨詢(xún)、法規(guī)理解和導(dǎo)入著手,基于機(jī)器學(xué)習(xí)技術(shù)與大數(shù)據(jù)湖倉(cāng)技術(shù)為企業(yè)構(gòu)建安全的數(shù)據(jù)管理環(huán)境,從而實(shí)現(xiàn)基于生態(tài)的全面安全控制。霍因科技在安全驅(qū)動(dòng)數(shù)據(jù)治理方面的優(yōu)勢(shì):
1. 全域:結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文件/音視頻)
2. 全場(chǎng)景:個(gè)人隱私數(shù)據(jù)、企業(yè)數(shù)據(jù)(商業(yè)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)...)
3. 全鏈路:數(shù)據(jù)在采集、存儲(chǔ)、處理、交換、管理等全鏈路上的安全管理