近年來，數字經濟的發(fā)展不斷催生出新技術、新產業(yè)、新業(yè)態(tài)、新模式，數據作為一種新的生產要素，已然成為數字經濟的核心。同時，針對數據的攻擊、竊取、劫持、濫用等現象層出不窮，數據安全風險日益嚴峻，給經濟、政治、社會等各領域帶來巨大風險。如何強化數據安全治理能力，建立數據安全治理模式，構建數據治理體系，為數據安全治理營造良好環(huán)境，成為當前亟需解決的問題。

　　作為在數據安全領域深耕二十余載的企業(yè)，保旺達立足于客戶本質需求，結合國家數據安全政策要求，以數據主權確權為核心，先后推出了保旺達數據安全治理解決方案、安全大腦綜合解決方案、安全中臺解決方案等，圍繞數據安全監(jiān)管、數據安全防護、數據安全運營三大模塊構建了完整的數據安全保護鏈條，實現了全流程及全要素的數據安全保護。

　　近日，江蘇保旺達軟件技術有限公司首席技術官盧偉，圍繞數據安全治理的思路、數據安全治理體系的構建、數據安全治理的困難、數據安全治理未來的常態(tài)等方面，與記者展開深入溝通和交流，相關問題和回答展示如下，以饗讀者。

　　記者：您是如何理解現階段的數據安全的？

　　盧偉：目前，國家高度重視數據安全，在很多方面給予了規(guī)劃和要求?！吨腥A人民共和國數據安全法》《中華人民共和國個人信息保護法》的出臺，明確了數據安全主管機構的監(jiān)管職責，建立健全數據安全協同治理體系，提高了數據安全的保障能力，讓數據安全有法可依、有章可循，為數字化經濟的安全健康發(fā)展提供了有力支撐。隨著社會信息化應用程度不斷加深，技術和應用場景不斷創(chuàng)新，我國加強了對大數據的監(jiān)管力度，進一步細化了相關法律法規(guī)，這是一個動態(tài)的發(fā)展過程。

　　雖然現階段仍存在立法不完善、技術創(chuàng)新能力薄弱、國際合作不足、治理乏力等問題，相較于數字化、網絡化階段中的靜態(tài)數據安全特征，智能化階段中的數據安全問題更具復雜性、動態(tài)性、平衡性和整體性等特點?；跀祿手笖导壴鲩L和常態(tài)化跨境流通的形勢，數據的流通廣泛分布于國家、企業(yè)、社會組織與公民個人之間，基于對傳統治理結構的調整，更為平權化、多元化的治理模式正在崛起。

　　因此，建立完善、可持續(xù)的數據安全治理管控體系是關鍵所在。為避免出現數據安全產品功能分散和數據安全能力“孤島化”的問題，不能一蹴而就地只靠單品來治理。在建立治理體系過程中，一方面，要能覆蓋到用戶現有的治理能力，避免造成投資的浪費；另一方面，在保障合規(guī)性的基礎上，還要能滿足其業(yè)務發(fā)展的需求，這是一個周期性工程，重點是隨著企業(yè)用戶訴求及防護重點發(fā)生變化，能夠幫助其動態(tài)地構建科學合理的數據安全治理體系。

　　記者：為滿足國家對數據治理的要求，實現數據資產的有效管理，應該采取怎樣的治理思路？

　　盧偉：從國家法律法規(guī)及行業(yè)監(jiān)管要求來看，治理思路會有不同，但本質上是一致的。

　　第一，要明確治理對象。數據治理是以數據生產要素為對象，包括靜態(tài)數據、動態(tài)數據、結構化數據及非結構化數據等。需要強調的是，數據治理對象是海量分布在各個系統中的數據，這些源于不同系統的數據往往在數據代碼標準、數據格式、數據標識等方面存在一定的差異，甚至可能存在錯誤的數據。

　　第二，要明確治理范圍。數據安全治理工作以數據為核心，涉及政府、企業(yè)、個人等各類參與主體，覆蓋全生命周期中的各種過程和狀態(tài)。治理范圍決定了后續(xù)要采取相關的治理措施的力度。范圍既可以說是某些業(yè)務系統，例如從前端事務處理系統、后端業(yè)務數據庫到終端的數據分析，也可以指某些行業(yè)的產品升級、技術創(chuàng)新等。

　　第三，要明確治理方法和策略。這主要包括管理和技術兩個方面。從管理角度來講，要明確數據治理的相關組織、機構、崗位、人員、職責、規(guī)范、流程，從頂層起步進行宏觀路線的規(guī)劃和設計，形成一套完整的從梳理到管理再到控制的方法論。這就要求數據安全治理的責任組織牽頭去完善相應的規(guī)范和流程，積極主動地籌劃和開展系統化的數據安全治理工作，確保企業(yè)或組織能夠有效應對數據時代的各種安全挑戰(zhàn)。從技術角度來講，數據治理涉及發(fā)現、防護、運營等多個環(huán)節(jié)。技術建設為治理保障、組織建設和制度流程的抓手和落地保障。例如，在基于業(yè)務場景分析數據全生命周期的風險之后，就會得到相應的安全需求，進而需要數據標簽、數據加密、數據防泄漏、數據脫敏、數據水印、數據備份恢復、數據安全擦除與銷毀等技術手段。

　　第四，要明確治理覆蓋數據生命周期。這需要對標業(yè)務場景，適時開展需求分析和風險評估工作。例如，當運維人員通過類似于堡壘機的安全設備去訪問后臺數據庫時，在這樣的場景下，需要對數據采取什么樣的防護手段；當業(yè)務系統之間發(fā)生交互時，如果是通過接口、程序或者是機器人完成的，在這種場景下，數據會有什么樣的特點，需要怎樣去防護等。所以要積極探索先進技術在業(yè)務場景中的創(chuàng)新應用，提升數據安全的管控能力。

　　第五，要明確評估效果。前期明確了相關的管理、技術手段等工作，并在此基礎上投入了相關的安全治理策略和工具，那么最后就要對產生的效果，以及是否能夠確切解決業(yè)務場景下的痛點和訴求進行評估。

　　記者：如何建設科學合理的數據安全治理體系？

　　盧偉：保旺達在數據安全領域擁有十幾年的積累和沉淀，通過長期對大量客戶的咨詢規(guī)劃建設需求的總結，發(fā)現他們對數據安全治理有著天然的需求。在不斷處理客戶數據所面臨的動態(tài)威脅與風險及在入侵環(huán)節(jié)、入侵方式、入侵目標的不斷演進的場景下，我們總結出自己的數據安全治理理念，幫助企業(yè)構建完整合理的數據安全治理體系。

　　第一，定規(guī)范。我們常說的“無規(guī)矩不成方圓”，也同樣運用于數據治理領域。先要確定數據治理的基本法則，這也為之后的管理工作提供了非常重要的依據。在定規(guī)范的過程中，要把所涉及數據生命周期的業(yè)務場景的相關訴求定義清楚，例如，數據資產的基本信息及數據分類的規(guī)范、數據分級的規(guī)范、數據外發(fā)的規(guī)范、數據審批的流程、數據訪問的流程等。在定規(guī)范的過程中，要切記能夠適應復雜的數據使用場景，并區(qū)分風險等級進行精細化規(guī)范設計，在對新問題時快速響應，輸出解決方案。

　　第二，摸家底。在此階段，企業(yè)要搞清楚自身有哪些類型的數據、數據在各業(yè)務系統和應用上的分布情況、數據量的大小規(guī)模和增長速率、數據按照企業(yè)規(guī)范或行業(yè)標準應認定為什么類型與級別、數據在企業(yè)內部及外部的共享情況和流動路徑等內容，否則，數據安全治理工作的開展就會找不到頭緒，抓不住重點，難以全面覆蓋重要數據?！凹业住泵逡院缶涂梢孕纬善髽I(yè)的數據資產目錄，基于數據資產目錄可有序、高效地開展數據安全治理工作。

　　第三，強管控。該階段側重于基于業(yè)務流程的數據安全架構，能夠實現用戶審批、數據授權、安全使用、數據審計的全過程管控。在此階段，更多的是體現對工具的依賴性。通過依靠工具來完成數據安全治理階段所需要的策略、能力、方法等。而依賴工具的類型更偏向于類似數據庫脫敏、數據水印、數據加密、數據訪問控制等產品，同時還包括訪問數據的主體，例如賬號、程序等。企業(yè)在這個階段需要著重提升防護能力的建設，滿足在不同業(yè)務場景下數據防護體系的要求。

　　第四，重運營。目前，數據安全運營逐漸成為企業(yè)數據安全團隊與業(yè)務溝通、項目推進及價值輸出（賦能）的窗口，運營能力作為數據安全的核心，數據、模型和工具作為實施手段，該階段重點在于通過運營實現對業(yè)務的價值輸出目標。在此階段，通過對風險管控能力把控、真實的業(yè)務風險場景提煉、法律法規(guī)的遵從性、安全管理與合規(guī)團隊聯合推進度等分析和應對，對整個數據安全運營的效果進行評估，給出相應的指導意見。

　　記者：您認為政企單位在數據安全治理中面臨著哪些困難？

　　盧偉：作為數字經濟和信息社會的核心資源，數據在不斷流動中產生著巨大的價值。不同類型的數據，其級別和價值均不同，不能等同視之，應根據數據的重要性、價值指數予以區(qū)別對待。因此，數據的分級分類是數據安全治理的第一步。事實上，很多企業(yè)都不清楚自身到底擁有哪些數據，哪些是敏感數據或重要數據，甚至都不知曉數據存儲在什么位置，這給數據安全治理帶來了諸多難題和挑戰(zhàn)。

　　第一，數據安全治理體系不規(guī)范，甚至缺乏體系治理的意識。很多企業(yè)缺乏從決策層到技術層，從管理制度到工具支撐，這種自上而下貫穿整個組織架構的完整鏈條，而且，組織內的各個層級之間未對數據安全治理的目標和宗旨取得共識，也未采取合理和適當的措施，未能以最有效的方式保護信息資源。例如，有的企業(yè)在數據量成倍增加的同時，對“如何識別數據”“數據用到哪里去了”“數據最后從哪里給了誰再到哪里去”等基本問題還一臉茫然，也沒有具體的負責人和直接責任人來進行統籌和管理等。

　　第二，缺乏對數據分類分級的治理能力。實行數據分類分級是保障數據安全的前提，也是數據安全治理過程中極為重要的一環(huán)。開展數據安全的第一步就是要識別數據、基于業(yè)務特點進行數據的分類和分級，這是后續(xù)數據保護策略部署的基礎。常見的數據分類維度包括公民個人維度、公共管理維度、信息傳播維度、組織經營維度、行業(yè)領域維度，從國家數據安全角度可將數據分為一般數據、重要數據、核心數據共三個級別。對企業(yè)相關管理人員而言，如何判定數據類別和重要程度是一個不小的難題和挑戰(zhàn)。

　　第三，缺乏相應的治理手段。數據必須要在共享使用中，才能產生更大的價值。因此，對于數據的保護不應該只是靜態(tài)的，而要更加注重流動數據的治理。數據流動的安全隱患與數據的可獲取性及可遷移性相關。例如，在與銀行、支付寶、微信等不同系統的接口發(fā)生交互時，數據相當于給第三方的系統接口調用了動態(tài)化數據，這給管理員帶來了更大的治理難度，因為他不清楚應采取何種手段和方法進行有效的動態(tài)數據治理。

　　第四，缺乏體系化、系統化指導。在企業(yè)對數據治理基礎工作告一段落后，多數企事業(yè)單位未對數據治理進行體系化指導，不確定下一步治理工作的發(fā)力點。缺乏數據治理的體系化建設，必然會導致商業(yè)智能價值鏈受阻。因此，政企單位要想在數字化轉型中抓住機遇，數據治理體系建設勢在必行，這是基礎而又關鍵的一環(huán)。

　　記者：未來數據安全治理的常態(tài)是怎樣的？

　　盧偉：宏觀上講，從法律法規(guī)到相應的標準規(guī)范，再到監(jiān)管要求，可以看出對數據安全的規(guī)范越來越明確，要求也越來越細，創(chuàng)新性的安全廠商也將越來越多。在這種環(huán)境下，廠商的研究領域會更加聚焦，技術研究也會愈加深入，相應的投入也就水漲船高，從而衍生出更多高精進的數據安全企業(yè)，進而研制出更多更好的產品，提供更加優(yōu)質的服務。這對現有的數據安全廠商來說，未必不是好事，能讓其深耕賽道，持續(xù)發(fā)力，在這個領域產生更多的創(chuàng)新成果，助力用戶提升數據安全治理能力。

　　應用上講，數據處理環(huán)節(jié)的脫敏技術和數據交換環(huán)節(jié)的權限管理、安全代理也逐步成熟，數據分類和密鑰管理產品處于高速發(fā)展期，數據傳輸環(huán)節(jié)的產品已經非常成熟，例如，數據防泄漏產品、數據庫脫敏產品等。這些產品更多的是針對數據本體研發(fā)的，然而，在數字經濟浪潮化的背景下，隨著業(yè)務的復雜度不斷提升，風險及合規(guī)視角下的數據安全需要應對更豐富多樣的應用場景，保護的數據對象范疇也不斷外延。

　　體系上講，數據安全將不再是一個組織內部的事情，而是需要構建一個科學的數據安全治理體系，才能有效地保障數據安全，管控數據安全風險。這摒棄了傳統的單品突破的治理方式，更多地聚焦業(yè)務場景和用戶體驗。這就要求廠商把數據安全治理當做周期性工作來做，要不斷投入、不斷改善、持續(xù)提升，然后再不斷投入，形成一項有序、動態(tài)、可持續(xù)發(fā)展的系統工程。

　　記者：在數據安全治理方面，保旺達有哪些積累和沉淀？

　　盧偉：在數據安全治理的工作中，保旺達不斷深耕賽道，持續(xù)進行技術創(chuàng)新，實行安全產品和服務雙驅動戰(zhàn)略。一方面，保旺達成立了自己的研究院，重點對最新、最前沿的技術進行研究，結合我們現有的產品，去幫助用戶解決更復雜業(yè)務場景下的安全痛點，或者在復雜的業(yè)務模型下，能夠帶來的安全管理價值。在這個過程中，輸出了關于5G、人工智能等新技術的解決方案，而且能夠成熟運用到自身現有的產品組件中去。另一方面，我們還有獨立的網絡空間安全實驗室，根據國際通用的ATT&CK模型，研發(fā)出“觀云”“御雷”“探?！薄俺孙L”四大安全模型，對用戶在安全服務的監(jiān)測、研判、預警、處置等方面提供了很大助力。

　　依靠實驗室，我們還開展了數據安全評估工作，通過數據安全評估的服務，能夠快速地幫助用戶去建立數據安全相關的風險評估手段，從而快速地找出當前業(yè)務系統所存在的風險短板，以及包括有針對性的去提升相應的建設能力需求，在數據安全風險治理方面，為用戶帶來實質性的改變和提升。

　　保旺達多年來堅持自主可控的信息安全技術研發(fā)，構建了完整的數據安全產品體系和網絡安全防護體系，產品獲得國家級保密認證以及入選了國產信息產品名錄。安全產品已廣泛應用于運營商31個省份，護航100萬+終端用戶、網絡設備及物聯網設備的數字安全，每天提供身份鑒別與訪問管理服務超3000萬人次。自主研發(fā)的涉密產品信息交換平臺是目前市場上唯一實現內外網數據安全交換的軟件產品，切實解決了涉密單位數據在流轉、分發(fā)過程中的安全問題。

　　此外，保旺達每年投入大量的資金和人力開展與產品國產化相關的研發(fā)工作。新產品從設計階段就充分考慮對于國產化軟件特別是操作系統、中間件、數據庫基礎三大件的適配。目前，部分產品已完成了對國產主流操作系統及數據庫的適配。未來，保旺達將進一步強化在研發(fā)領域的技術創(chuàng)新能力，堅持以客戶價值為導向，聚焦數據安全方向，打造更多、更優(yōu)秀、具備產業(yè)帶動性的產品和解決方案，為企業(yè)數字化轉型保駕護航。