北京億賽通科技發展有限責任公司高級總監宋春嶺
宋春嶺簡介
宋春嶺,自 2007 年起從事信息安全產品研發設計工作。擔任企業多項重量級大項目的研發和項目實施,在產品架構部署和數據安全產品研發設計管理中有豐富實戰經驗。曾榮獲中國信息通信研究院雲大所數據安全推進計劃專家,中國計算機行業協會數據安全專業委員會專家委員,中關村科技園經濟技術創新標兵稱號。現任北京億賽通科技發展有限公司高級總監,負責數據安全產品的設計、技術研發方向擬定、技術標準制定。
隨着數字經濟的蓬勃發展,數據已經成為新時代的重要生產要素,並成為國家基礎性戰略資源。一方面,構建不同行業、領域規範化數據開發利用場景,提升各行業數據資源的價值,促進數字經濟產業集群發展成為大勢所趨;另一方面,數據安全和隱私保護問題愈發突出,數據流轉過程中暴露面風險急劇加大,面臨嚴峻的數據安全風險防護和合規監管要求形勢。在安全風險與監管合規雙重驅動下,如何促進數據發展與數據安全的平衡發展,企事業單位也在不斷開展數據安全治理工作,防止數據面臨的「走光風險」,由於數據頻繁產生與流轉帶來的數據安全防護複雜性,如何在數據釋放價值的同時,保障數據安全,推動平衡發展?企事業單位在數據安全治理實踐過程中,面臨著諸多的痛點和難題。近日,記者與北京億賽通科技發展有限責任公司高級總監宋春嶺圍繞數據安全治理現狀、數據安全治理難點分析、數據安全治理體系建設及數據安全防護技術研究等內容進行了詳細溝通和探討。
記者:請您談談,現階段數據安全治理狀況。
宋春嶺:在從業人員方面,中國的數據安全治理現狀需要專業人才涵蓋多個領域。首先是數據安全專家,他們負責制定數據安全策略、管理數據風險和實施數據安全控制措施。其次是網絡安全專家,他們負責保護網絡系統免受黑客攻擊和惡意軟件的侵害。另外,數據隱私專家、法律顧問和數據治理專家也扮演着重要的角色,他們確保數據處理符合法規和道德規範。數據安全治理還有近 200 萬人的缺口,為有志從事數據安全的人員提供了足夠大的空間。在理論方面,中國的數據安全治理借鑒了國際上的最佳實踐和先進的理論模型。同時,中國也基於自身國情和發展需求,制定了適用於本國的數據安全理論和指導原則。其中包括:數據安全風險管理體系、數據分類和標記、隱私保護、風險評估和風險管理、最小權限原則、數據生命周期管理等。已經形成自己的理論體系和標準。在技術方面,中國積極發展數據安全技術。這包括數據加密技術、密碼技術、身份認證技術、安全存儲和傳輸技術、數據脫敏和匿名化技術、數據分類分級、泄露防護技術等。同時,中國也在推動人工智能、區塊鏈等前沿技術與數據安全的結合,以提升數據安全的能力和效果。在產品方面,國家相關部門發佈了一系列的數據安全法律法規,國家、地方、行業的多級標準和認證體系,促進了數據安全產品的開發和使用。這些產品涵蓋了數據生命周期採集、存儲、傳輸、處理、交換和銷毀各個階段,能夠滿足不同行業和組織的數據安全需求。
記者:請您談談,政企單位在數據安全治理方面存在的難點。
宋春嶺:政企單位在數據安全治理方面存在以下 4 個主要難點:第一,政企單位需要處理和存儲大量的數據,增加了數據管理和安全保護的難度。第二,政企單位涉及多個利益相關方,需平衡各方的權益,並建立合理的數據安全管理機制。第三,缺乏專業數據安全人才,員工缺乏數據安全意識,影響數據安全的管理和保護。第四,數據安全技術和威脅不斷演進,政企單位需要持續應對技術的發展帶來的不斷變化的安全威脅。
如果要解決這些難題,需要綜合考慮技術、管理和意識等多個方面的因素,以確保數據的安全和合規,整個數據安全治理過程要從決策層到技術層,從管理制度到技術支撐,將現有的各個獨立的數據安全技術和功能整合,構建自上而下、全流程、可閉環的完整鏈條。具體來講,數據安全治理以「人」和「數據」為中心,從技術到產品、從策略到管理,提供完整的產品與服務支撐,實現業務與安全的深層融合。在人為層面,從決策層制定經營策略、IT策略,幫助企業用戶建立數據安全意識,區分職責權限。在數據層面,運用專業技術支撐,通過 AI 算法、關聯分析、密碼技術、訪問控制、數據標識等技術,採集分析各類安全設備結構化和非結構化日誌,探測、預測、發現威脅事件和風險,利用技術服務於制度,進而形成技術、制度不斷迭代的正循環,建立全面綜合的數據安全治理能力。
記者:請您談談,對數據安全治理體系的建設和實踐的建議。
宋春嶺:數據安全治理體系不僅僅是一套用工具組合的產品級解決方案,它構建了從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條,打造以「數據和人」為對象構建的數據治理、防護、流轉、運營的雙閉環體系,幫助企業形成紮實可靠的綜合數據安全能力,為企業數據資產從產生價值到保值、增值建立重要保障。
圖 1 億賽通數據安全治理體系框架具體來講,要制定明確的安全策略和流程。數據安全治理要制定清晰的數據安全策略和流程,包括數據分類、訪問控制、數據處理和存儲規範等方面,確保相關人員了解和遵守安全策略和流程,以保障數據的安全性。這方面也可以由第三方數據安全諮詢公司來梳理和制定。再者,要採用綜合技術保障措施,例如加密、防火牆、入侵檢測、預防系統、數據泄露防護等。而且要定期進行安全漏洞掃描和滲透測試,及時發現和修復潛在的漏洞和風險。此外,還要建立合理的訪問控制和權限管理機制。根據數據的敏感程度和用戶的角色,設置恰當的訪問權限和控制措施,然後採用強密碼策略、多因素身份驗證等方式,確保只有授權的人員可以訪問和處理數據。需要強調的是,數據安全治理中,加強數據監控和審計也十分必要。建立有效的數據監控機制,能夠實現對數據訪問和使用進行實時監控,及時發現異常行為,然後定期進行數據審計和日誌分析,確保數據的合規性和安全性。對於涉及第三方數據處理和存儲的情況,更要進行嚴格的風險評估和選擇,建立合適的合作和監管機制。確保第三方符合安全合規要求,並對其進行有效的監控和審計。另外,還要培養員工的安全意識和技能,加強員工數據安全能力培訓,提高他們在日常工作中的安全意識和行為,並定期組織模擬演練和應急演練,增強員工應對安全事件的能力。數據安全治理是一個持續的過程,需要根據實際情況和法規要求進行具體的定製化和調整,從而建設一種先進、自主、靈活、全面、智能的立體化數據安全防護體系,實現企業非結構化數據的有效管理和保護,有效保障數據資產的安全可控。
記者:請您談談,對用戶在數據安全治理方面的產品選型和能力評估的建議。
宋春嶺:首先,用戶應確切地了解自己的數據安全需求和目標。這包括需要保護的數據類型、安全合規要求、預算限制等,明確需求和目標將有助於用戶更好地匹配和評估相應的產品和解決方案。其次,用戶還應綜合考慮產品的安全功能和特性。這可能包括數據加密、終端管理、訪問認證控制、文件管理、數據存儲、泄露防護、流轉安全、備份等功能。確保產品提供的安全功能能夠滿足用戶的具體需求。另外,還要考慮選用的產品在規模擴展和系統兼容性方面的能力。用戶需要確保產品能夠適應未來安全需求的增長和變化,並與現有系統和技術環境兼容。同時,用戶應考慮產品供應商提供的服務和技術水平。可信賴的技術服務將有助於用戶在使用產品時獲得及時的支持和解決問題。需要強調的是,用戶在注重產品和服務的同時,也要更加註重關聯性的數據安全工具的建設。具體來講,需要基於數據安全合規要求、用戶的業務發展需要和風險承受能力等多重因素,通過平衡業務需求與風險,制定數據安全策略,對數據分級分類,對數據的全生命周期進行管理,從技術到產品、從策略到管理,提供完整的產品與服務支撐,實現業務與安全的深層融合。億賽通數據安全運營管理平台遵循 IPDRR(識別、防禦、檢測、響應、恢復)能力框架模型,可以為客戶提供一個中心、多種安全管理和防護能力,幫助安全管理人員落地安全管理和技術體系的結合,達到數據安全運營管理工作閉環,最終實現數據安全可視、可管、可控、可溯的目標。
圖 2 億賽通數據安全運營管理平台
記者:請您談談,億賽通在數據安全管理方面的實踐。
宋春嶺:億賽通在數據安全管理方面主要包括智能識別、智能防護、智能監測、智能運營。智能識彆強調工具智能識別為主、人工配合為輔的理念。通過數據嗅探、網絡解析、智能上報等方式梳理網絡中的數據庫、終端、文件服務、大數據及雲數據,形成數據資產清單。
智能防護則依據分類分級結果對不同級別的數據配置不同的安全策略,兼顧成本與安全。基於智能識別結果構建安全智能防護,不同的主體(組織、角色、人員等)對不同級別的客體(終端數據、網絡數據、雲端數據以及數據庫等)採取不同數據防護策略,對絕密數據、機密數據,採取文件加密、數據脫敏、數據水印等高強度管控技術措施,嚴格限制分享時間,建立數據接收方白名單;對內部不敏感數據只需要進行相關審計。智能監測是對於不同的能力節點的數據進行綜合審計分析,形成基於「人」和「事件」的風險畫像,完成數據流轉過程的高效審計,及時做好全局管理。智能監測通常包括:數據庫監測、網絡數據監測、終端數據監測、敏感數據分佈監測、用戶行為監測、API 接口監測、熱點應用監測及異常賬號監測。智能運營強調數據各個環節的互聯、互補、互通,通過對不同能力模塊的關聯分析來定位風險,通過事件編排處置風險,通過事件追溯完善策略。從而形成覆蓋事前預警、事中處置、事後分析的閉環管理。
記者:未來數據安全防護技術將延伸出哪些新的發展特點?
宋春嶺:總體來講,未來數據安全防護技術將延伸至 AI 和機器學習、區塊鏈、邊緣計算安全、數據隱私保護、多因素身份驗證和融合安全解決方案等方面。這些新的發展特點將為數據安全提供更強大、智能、綜合的保護。
具體來講,AI 和機器學習技術在數據安全領域的應用將進一步擴展。這些技術可以幫助檢測和分析大量的數據,識別出潛在的安全威脅和異常行為,並提供更快速、準確的安全響應和預測能力。區塊鏈技術方面,區塊鏈技術逐漸在數據安全領域發揮着重要作用。區塊鏈可以提供去中心化的數據存儲和交換,保障數據的不可篡改性和身份驗證。未來,區塊鏈技術還將廣泛應用於數據保護、身份認證和智能合約等方面,提供更強大、更安全的防護。數據隱私保護方面,數據隱私保護將成為數據安全的重要組成部分。隨着隱私法規的加強和用戶對個人數據保護需求的提升,數據安全技術將更注重個人隱私的管理和保護,包括匿名化技術、對抗數據分析和差分隱私等手段。多因素身份驗證方面,為了增強身份認證的安全性,多因素身份驗證將得到更廣泛的應用。未來的數據安全技術將推動更多的身份驗證方式,如指紋、虹膜掃描、聲紋識別等,以提供更強大的身份驗證保護。另外,綜合安全解決方案也將得到更多關注和應用,以應對不斷變化和複雜化的安全威脅。未來的數據安全技術將集成多種安全措施和技術,例如威脅情報、行為分析、入侵檢測和響應等,以提供更全面、協同的安全防護能力。
