《中華人民共和國(guó)數(shù)據(jù)安全法》已于2021年9月1日正式實(shí)施，與之配套的《中華人民共和國(guó)個(gè)人信息保護(hù)法》也已經(jīng)于2021年11月1日起正式施行。2021年可謂是數(shù)據(jù)安全的元年，也是數(shù)據(jù)安全大規(guī)模合規(guī)建設(shè)的開(kāi)始，標(biāo)志著中國(guó)數(shù)據(jù)安全市場(chǎng)的主要推動(dòng)力也將從風(fēng)險(xiǎn)控制需求全面轉(zhuǎn)向合規(guī)建設(shè)需求。如何符合《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》要求，如何切實(shí)緩解數(shù)據(jù)安全風(fēng)險(xiǎn)，成為各行業(yè)、各地區(qū)、各組織、各部門(mén)需要解決的首要問(wèn)題之一。

　　《數(shù)據(jù)安全法》第四條規(guī)定“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”在這種背景下，各組織應(yīng)該如何開(kāi)展數(shù)據(jù)安全治理工作和如何完善自身的數(shù)據(jù)安全保障能力呢？圍繞著這一問(wèn)題，本期牛人訪(fǎng)談，我們邀請(qǐng)到天融信科技集團(tuán)副總裁王鵬，圍繞數(shù)據(jù)安全治理話(huà)題展開(kāi)了一系列討論與分享。

　　王鵬

　　天融信科技集團(tuán)副總裁、廣東省網(wǎng)絡(luò)空間安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委員、中國(guó)信息安全測(cè)評(píng)認(rèn)證中心CISP-DSG講師及教材主要編撰者。

　　在網(wǎng)絡(luò)及數(shù)據(jù)安全領(lǐng)域有20余年工作經(jīng)驗(yàn)，多年來(lái)為國(guó)內(nèi)眾多重要的政府機(jī)構(gòu)、央企等用戶(hù)提供專(zhuān)業(yè)的網(wǎng)絡(luò)安全咨詢(xún)、數(shù)據(jù)安全治理等服務(wù)，對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)及數(shù)據(jù)安全發(fā)展、隱私保護(hù)等法規(guī)、標(biāo)準(zhǔn)有深入研究。

　　數(shù)據(jù)安全發(fā)展至今已有十多年的歷史了，從最初企業(yè)內(nèi)部人為的對(duì)數(shù)據(jù)關(guān)注、重視到對(duì)不同數(shù)據(jù)的分級(jí)分類(lèi)，再到數(shù)據(jù)安全治理產(chǎn)品的引入和發(fā)展，您是如何理解現(xiàn)階段的數(shù)據(jù)安全的？

　　王鵬：

　　要理解什么是“數(shù)據(jù)安全”，首先要清楚數(shù)據(jù)安全、網(wǎng)絡(luò)安全和信息安全涉及的概念和它們間的聯(lián)系。

　　首先，我們需要清楚什么是“數(shù)據(jù)”、什么是“信息”。“信息”本質(zhì)上屬于邏輯概念，信息是價(jià)值的本質(zhì)；而“數(shù)據(jù)”是一個(gè)實(shí)體概念，按照《數(shù)據(jù)安全法》的定義：“數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。”因此數(shù)據(jù)是信息的承載形式，同樣的信息可以用不同的介質(zhì)、方式承載。數(shù)據(jù)安全治理，治理的對(duì)象是“數(shù)據(jù)”，因此我們要明確有哪些數(shù)據(jù)承載形式，比如：數(shù)據(jù)庫(kù)、文件、存儲(chǔ)介質(zhì)等，如此管理才會(huì)更具象。另外，還要搞清楚，這些承載形式所記錄的信息價(jià)值、重要程度及其遭到破壞后可能造成的危害程度等；而個(gè)人信息保護(hù)時(shí)，則需要衡量數(shù)據(jù)中所承載的“信息”與個(gè)人實(shí)體的關(guān)聯(lián)關(guān)系。

　　對(duì)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的關(guān)系，網(wǎng)絡(luò)本質(zhì)上是數(shù)據(jù)承載、傳輸、處理的主要環(huán)境，也是網(wǎng)絡(luò)安全攻防對(duì)抗的戰(zhàn)場(chǎng)。數(shù)據(jù)安全是無(wú)法孤立于網(wǎng)絡(luò)安全而獨(dú)立存在的，如果網(wǎng)絡(luò)安全得不到保障，數(shù)據(jù)安全保護(hù)是無(wú)從談起的。《數(shù)據(jù)安全法》第二十七條也明確規(guī)定了“利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。”這也明確了數(shù)據(jù)安全與網(wǎng)絡(luò)安全的關(guān)系。

　　我們?cè)谧鰯?shù)據(jù)安全治理時(shí)，需要全盤(pán)考慮，將網(wǎng)絡(luò)安全防護(hù)措施與數(shù)據(jù)安全管控需求統(tǒng)一起來(lái)，治理后會(huì)同時(shí)滿(mǎn)足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，乃至其他相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)及規(guī)范要求。

　　針對(duì)目前行業(yè)需求，以及相關(guān)法律法規(guī)的影響，您認(rèn)為數(shù)據(jù)安全治理應(yīng)該是怎樣的？要想滿(mǎn)足國(guó)家對(duì)數(shù)據(jù)治理的要求、實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的有效管理，應(yīng)該采取怎樣的治理思路？

　　王鵬：

　　數(shù)據(jù)安全治理本質(zhì)上是推進(jìn)數(shù)據(jù)安全建設(shè)、提升數(shù)據(jù)安全保障能力的過(guò)程。需要解決幾個(gè)關(guān)鍵問(wèn)題：1、我們有什么數(shù)據(jù)？2、這些在什么環(huán)境下采集和處理？3、處理這些數(shù)據(jù)的目的是什么？4、數(shù)據(jù)在什么場(chǎng)景下使用？5、需要防范哪些風(fēng)險(xiǎn)？6、要做到什么程度、達(dá)成何種目標(biāo)？7、我們?cè)撛趺醋觯康鹊取?/p>

　　從天融信的實(shí)際經(jīng)驗(yàn)出發(fā)，我們?cè)?012年提出了“以數(shù)據(jù)為中心的安全體系建設(shè)”理念， 將數(shù)據(jù)安全治理分為六個(gè)主要內(nèi)容：數(shù)據(jù)安全治理評(píng)估、數(shù)據(jù)安全組織建設(shè)、數(shù)據(jù)安全管理建設(shè)、數(shù)據(jù)安全技術(shù)建設(shè)、數(shù)據(jù)安全運(yùn)營(yíng)建設(shè)和數(shù)據(jù)安全監(jiān)管建設(shè)。

　　請(qǐng)您詳述數(shù)據(jù)安全治理的六個(gè)主要內(nèi)容是什么，用戶(hù)通過(guò)這一整個(gè)的治理過(guò)程可以達(dá)到怎樣的數(shù)據(jù)安全治理效果？

　　王鵬：

　　其中，數(shù)據(jù)安全治理評(píng)估主要通過(guò)人工和自動(dòng)化的手段幫助用戶(hù)了解當(dāng)前的業(yè)務(wù)關(guān)系、數(shù)據(jù)資產(chǎn)及其流動(dòng)關(guān)系，理清當(dāng)前數(shù)據(jù)安全的主要風(fēng)險(xiǎn)及解決的優(yōu)先級(jí)，以此設(shè)定數(shù)據(jù)安全建設(shè)的目標(biāo)及策略；

　　數(shù)據(jù)安全組織建設(shè)是落實(shí)數(shù)據(jù)安全責(zé)任的過(guò)程，是成功開(kāi)展數(shù)據(jù)安全建設(shè)的前提，這個(gè)過(guò)程要將數(shù)據(jù)安全分工細(xì)化到人；

　　數(shù)據(jù)安全管理建設(shè)是管理體系、機(jī)制和方法的構(gòu)建過(guò)程，確定在數(shù)據(jù)安全體系中人、技術(shù)及操作過(guò)程的關(guān)系及具體執(zhí)行方法，是數(shù)據(jù)安全建設(shè)的基礎(chǔ)；

　　數(shù)據(jù)安全技術(shù)建設(shè)是對(duì)管理體系的延續(xù)，技術(shù)作為具體的執(zhí)行方式，需要和管理要求及流程保持一致，這不僅僅是采用技術(shù)產(chǎn)品的問(wèn)題，更多的是要將這些技術(shù)產(chǎn)品、手段有機(jī)整合起來(lái)；

　　數(shù)據(jù)安全運(yùn)營(yíng)是數(shù)據(jù)安全能力的保持和改進(jìn)過(guò)程，需要在運(yùn)營(yíng)中監(jiān)測(cè)數(shù)據(jù)安全威脅事件及風(fēng)險(xiǎn)，快速發(fā)現(xiàn)、快速處置、快速恢復(fù)，同時(shí)溯源分析、審計(jì)核查等過(guò)程也可以幫助企業(yè)不斷改進(jìn)數(shù)據(jù)安全體系；

　　數(shù)據(jù)安全監(jiān)管是企業(yè)自身管理的需要也是維護(hù)國(guó)家安全、社會(huì)秩序、公民合法權(quán)益的需要，數(shù)字時(shí)代的監(jiān)管需要建立在高效的監(jiān)管工具的基礎(chǔ)上，打通企業(yè)和政府的信息傳遞渠道。

　　通過(guò)以上數(shù)據(jù)安全治理咨詢(xún)服務(wù)過(guò)程，可以幫助用戶(hù)快速梳理數(shù)據(jù)、評(píng)估環(huán)境、驗(yàn)證能力、確定目標(biāo)、建立體系、設(shè)計(jì)策略，整合數(shù)據(jù)安全管理規(guī)范、控制過(guò)程、數(shù)據(jù)保護(hù)措施及網(wǎng)絡(luò)安全能力，實(shí)現(xiàn)數(shù)據(jù)差異化保護(hù)。

　　例如：梳理數(shù)據(jù)，需要建立覆蓋企業(yè)全局的數(shù)據(jù)資產(chǎn)的分類(lèi)分級(jí)清單；評(píng)估環(huán)境，需要將企業(yè)的業(yè)務(wù)、相關(guān)系統(tǒng)及數(shù)據(jù)安全保護(hù)措施進(jìn)行場(chǎng)景描述及風(fēng)險(xiǎn)分析；確定目標(biāo)，則需要根據(jù)企業(yè)的行業(yè)特征、合規(guī)要求及業(yè)務(wù)使命等因素，確定未來(lái)數(shù)據(jù)安全要達(dá)到的能力水平；設(shè)計(jì)策略，宏觀上需要明確不同類(lèi)別數(shù)據(jù)在不同場(chǎng)景下需要采取哪些控制措施及保護(hù)程度，微觀上則需要確定不同的技術(shù)產(chǎn)品需要怎樣配置等。

　　您認(rèn)為企業(yè)用戶(hù)在建設(shè)以數(shù)據(jù)為中心的安全體系中面臨著哪些困難？應(yīng)該如何解決？

　　王鵬：

　　從我的經(jīng)驗(yàn)來(lái)看，建設(shè)以數(shù)據(jù)為中心的安全體系、實(shí)現(xiàn)數(shù)據(jù)安全的綜合治理，其難點(diǎn)主要表現(xiàn)在組織協(xié)調(diào)問(wèn)題、安全意識(shí)問(wèn)題、流程協(xié)同問(wèn)題、策略管理問(wèn)題、技術(shù)手段問(wèn)題、審計(jì)改進(jìn)問(wèn)題等六個(gè)方面。

　　組織協(xié)調(diào)方面：剛才也提到了數(shù)據(jù)安全治理需要多部門(mén)協(xié)同，但很多組織都是“煙囪式”的組織形式，跨部門(mén)的協(xié)調(diào)難度很大，且科技部門(mén)和業(yè)務(wù)部門(mén)的協(xié)調(diào)關(guān)系也不對(duì)等，需要建立一個(gè)統(tǒng)一的數(shù)據(jù)安全管理組織；

　　安全意識(shí)方面：數(shù)據(jù)安全治理需要業(yè)務(wù)部門(mén)、使用部門(mén)的共同參與，需要提高他們的網(wǎng)絡(luò)安全及數(shù)據(jù)安全意識(shí)，科技部門(mén)也需要抓緊培訓(xùn)數(shù)據(jù)安全的專(zhuān)業(yè)人才隊(duì)伍；

　　流程協(xié)同方面：數(shù)據(jù)安全涉及到采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀等多個(gè)階段，涉及眾多應(yīng)用場(chǎng)景，比如數(shù)據(jù)跨境、數(shù)據(jù)交易、數(shù)據(jù)公開(kāi)等，這需要建立統(tǒng)一的協(xié)同機(jī)制才能有效管控；

　　策略管理方面：一致性對(duì)于數(shù)據(jù)安全策略來(lái)講十分重要，而實(shí)際情況是不同的業(yè)務(wù)系統(tǒng)、安全設(shè)備往往是由不同的團(tuán)隊(duì)、人員管理的，策略的一致性需要良好的管控；

　　技術(shù)手段方面：目前多數(shù)組織已經(jīng)完成了網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)，具備了基本的安全防護(hù)能力，但網(wǎng)絡(luò)安全措施的手段主要針對(duì)網(wǎng)絡(luò)流量，且控制粒度一般較低，很少針對(duì)數(shù)據(jù)本身進(jìn)行內(nèi)容級(jí)、行為級(jí)控制，對(duì)數(shù)據(jù)安全復(fù)雜的場(chǎng)景管控需求來(lái)講往往是不夠的，需要補(bǔ)充手段，且需要進(jìn)行有機(jī)整合；

　　審計(jì)改進(jìn)方面：多數(shù)組織都能按照《網(wǎng)絡(luò)安全法》要求完成日志記錄的工作，但往往缺乏有效的、人工參與的審計(jì)，先進(jìn)的組織會(huì)引入態(tài)勢(shì)感知、行為分析等系統(tǒng)，但其分析模型一般相對(duì)簡(jiǎn)單，很難滿(mǎn)足數(shù)據(jù)安全管控的需求。

　　您認(rèn)為如果從企業(yè)自身角度出發(fā)，企業(yè)用戶(hù)在實(shí)施具體的數(shù)據(jù)治理方案前應(yīng)做哪些準(zhǔn)備工作？

　　王鵬：

　　如果從企業(yè)角度考慮數(shù)據(jù)安全治理，應(yīng)首先著重加強(qiáng)數(shù)據(jù)中心的安全控制，確保數(shù)據(jù)的處理環(huán)境是安全可靠的，能夠?qū)馆^強(qiáng)的滲透性攻擊，應(yīng)對(duì)數(shù)據(jù)價(jià)值集中化造成的風(fēng)險(xiǎn)集中問(wèn)題，先把明顯、關(guān)鍵的問(wèn)題解決掉，比如應(yīng)對(duì)勒索病毒、防范數(shù)據(jù)篡改及破壞等；其次，要重點(diǎn)落實(shí)數(shù)據(jù)分類(lèi)分級(jí)管控機(jī)制，應(yīng)以網(wǎng)絡(luò)及數(shù)據(jù)安全技術(shù)措施為基礎(chǔ)，以數(shù)據(jù)安全管控平臺(tái)為依托，建立動(dòng)態(tài)的內(nèi)容識(shí)別、價(jià)值判定、數(shù)據(jù)分類(lèi)及安全分級(jí)、風(fēng)險(xiǎn)評(píng)估分析能力，并能夠采用標(biāo)簽化、屬性化的控制機(jī)制對(duì)數(shù)據(jù)的使用過(guò)程進(jìn)行管控，以應(yīng)對(duì)數(shù)據(jù)的流動(dòng)性及不斷演化的問(wèn)題，避免人工管控的低效，提升數(shù)據(jù)安全管控效率及效能；第三，要重點(diǎn)管控?cái)?shù)據(jù)的交換過(guò)程，包括內(nèi)部跨部門(mén)、跨系統(tǒng)的數(shù)據(jù)共享，內(nèi)部對(duì)外提供數(shù)據(jù)，對(duì)公眾開(kāi)放數(shù)據(jù)等多種情況，應(yīng)建立完善的制度流程及技術(shù)控制機(jī)制。

　　《數(shù)據(jù)安全法》的出臺(tái)和實(shí)施對(duì)未來(lái)數(shù)據(jù)安全保護(hù)技術(shù)的發(fā)展有什么影響？安全廠(chǎng)商對(duì)此有何看法？應(yīng)如何應(yīng)對(duì)？

　　王鵬：

　　可以肯定的是，《數(shù)據(jù)安全法》的實(shí)施對(duì)安全廠(chǎng)商及安全產(chǎn)業(yè)都是有積極作用的。《數(shù)據(jù)安全法》明顯刺激了數(shù)據(jù)安全市場(chǎng)需求的增長(zhǎng)，各廠(chǎng)商在數(shù)據(jù)安全方面也會(huì)有更多的研發(fā)及技術(shù)投入，對(duì)整個(gè)產(chǎn)業(yè)生態(tài)發(fā)展有很強(qiáng)的推進(jìn)作用。但另一方面，《數(shù)據(jù)安全法》的合規(guī)建設(shè)也面臨很大的技術(shù)挑戰(zhàn)，對(duì)安全建設(shè)所最終交付的能力會(huì)有更高要求，這需要從理論、技術(shù)及管理等方面積極創(chuàng)新，也需要安全廠(chǎng)商不斷整合技術(shù)及服務(wù)資源，持續(xù)提升交付水平。

　　《數(shù)據(jù)安全法》的出臺(tái)和實(shí)施，代表著未來(lái)網(wǎng)絡(luò)和數(shù)據(jù)安全的合規(guī)發(fā)展趨勢(shì)，數(shù)字時(shí)代以數(shù)據(jù)為主要生產(chǎn)要素的產(chǎn)業(yè)合作使得企業(yè)的安全問(wèn)題不再是孤立存在的，任何的安全問(wèn)題都有可能直接影響到公民利益、社會(huì)秩序和國(guó)家安全。如何打通一個(gè)完整的數(shù)據(jù)安全管控鏈條是我們需要共同面臨的問(wèn)題，這需要與各行業(yè)客戶(hù)、監(jiān)管部門(mén)的廣泛協(xié)同，也需要產(chǎn)業(yè)鏈上下游的深入合作，共同營(yíng)造開(kāi)放創(chuàng)新的數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)。

　　安全牛評(píng)

　　數(shù)據(jù)安全的三駕馬車(chē)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》已全部實(shí)施，在這一背景下，企業(yè)需要進(jìn)一步嚴(yán)格對(duì)數(shù)據(jù)安全的防護(hù)要求。

　　企業(yè)在數(shù)據(jù)安全上通常面臨著從何下手的問(wèn)題，因此各大廠(chǎng)商均推出數(shù)據(jù)安全治理方案，以一種體系化交付的模式，解決用戶(hù)的問(wèn)題。企業(yè)在進(jìn)行數(shù)據(jù)安全治理前，一定要做的是對(duì)自身的業(yè)務(wù)和風(fēng)險(xiǎn)的評(píng)估工作，以服務(wù)為開(kāi)始厘清思路，以服務(wù)為結(jié)束實(shí)現(xiàn)持續(xù)的防護(hù)。企業(yè)的數(shù)據(jù)安全能力不是一蹴而就的，而是應(yīng)該與業(yè)務(wù)緊密結(jié)合，安全建設(shè)隨著業(yè)務(wù)發(fā)展而動(dòng)態(tài)變化。通過(guò)技術(shù)產(chǎn)品和人員意識(shí)結(jié)合的方式，提升數(shù)據(jù)安全能力。