本刊記者 王 超

盧偉，江蘇保旺達軟件技術有限公司首席技術官，網(wǎng)絡安全行業(yè)資深專家。曾多次參與國家有關部委網(wǎng)絡安全行業(yè)規(guī)范及電信運營商網(wǎng)絡安全規(guī)劃的編寫工作，在網(wǎng)絡空間安全、應用安全、數(shù)據(jù)安全領域有著深刻認知，主導過國家互聯(lián)網(wǎng)應急中心、中國移動、中國電信、中國聯(lián)通、中國鐵塔、國家電網(wǎng)等多家單位的網(wǎng)絡安全相關項目，覆蓋網(wǎng)絡空間對抗、數(shù)據(jù)安全治理、智慧化運維、5G安全等多個專業(yè)領域，其發(fā)表的《大數(shù)據(jù)安全架構(gòu)分析實踐》《基于北斗導航數(shù)據(jù)的智能監(jiān)測》等學術論文被國家核心期刊收錄。

近年來，數(shù)字經(jīng)濟的發(fā)展不斷催生出新技術、新產(chǎn)業(yè)、新業(yè)態(tài)、新模式，數(shù)據(jù)作為一種新的生產(chǎn)要素，已然成為數(shù)字經(jīng)濟的核心。同時，針對數(shù)據(jù)的攻擊、竊取、劫持、濫用等現(xiàn)象層出不窮，數(shù)據(jù)安全風險日益嚴峻，給經(jīng)濟、政治、社會等各領域帶來巨大風險。如何強化數(shù)據(jù)安全治理能力，建立數(shù)據(jù)安全治理模式，構(gòu)建數(shù)據(jù)治理體系，為數(shù)據(jù)安全治理營造良好環(huán)境，成為當前亟需解決的問題。

作為在數(shù)據(jù)安全領域深耕二十余載的企業(yè)，江蘇保旺達軟件技術有限公司（以下簡稱“保旺達”）立足于客戶本質(zhì)需求，結(jié)合國家數(shù)據(jù)安全政策要求，以數(shù)據(jù)主權確權為核心，先后推出了保旺達數(shù)據(jù)安全治理解決方案、安全大腦綜合解決方案、安全中臺解決方案等，圍繞數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)安全防護、數(shù)據(jù)安全運營三大模塊構(gòu)建了完整的數(shù)據(jù)安全保護鏈條，實現(xiàn)了全流程及全要素的數(shù)據(jù)安全保護。

近日，保旺達首席技術官盧偉圍繞數(shù)據(jù)安全治理的思路、數(shù)據(jù)安全治理體系的構(gòu)建、數(shù)據(jù)安全治理的困難、數(shù)據(jù)安全治理未來的常態(tài)等方面，與記者展開深入溝通和交流，相關問題和回答展示如下，以饗讀者。

記者：您是如何理解現(xiàn)階段的數(shù)據(jù)安全的？

盧偉：目前，國家高度重視數(shù)據(jù)安全，在很多方面給予了規(guī)劃和要求?！吨腥A人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》的出臺，明確了數(shù)據(jù)安全主管機構(gòu)的監(jiān)管職責，建立健全數(shù)據(jù)安全協(xié)同治理體系，提高了數(shù)據(jù)安全的保障能力，讓數(shù)據(jù)安全有法可依、有章可循，為數(shù)字化經(jīng)濟的安全健康發(fā)展提供了有力支撐。隨著社會信息化應用程度不斷加深，技術和應用場景不斷創(chuàng)新，我國加強了對大數(shù)據(jù)的監(jiān)管力度，進一步細化了相關法律法規(guī)，這是一個動態(tài)的發(fā)展過程。

現(xiàn)階段仍存在立法不完善、技術創(chuàng)新能力薄弱、國際合作不足、治理乏力等問題，相較于數(shù)字化、網(wǎng)絡化階段中的靜態(tài)數(shù)據(jù)安全特征，智能化階段中的數(shù)據(jù)安全問題更具復雜性、動態(tài)性、平衡性和整體性等特點?；跀?shù)據(jù)呈指數(shù)級增長和常態(tài)化跨境流通的形勢，數(shù)據(jù)的流通廣泛分布于國家、企業(yè)、社會組織與公民個人之間，基于對傳統(tǒng)治理結(jié)構(gòu)的調(diào)整，更為平權化、多元化的治理模式正在崛起。

因此，建立完善、可持續(xù)的數(shù)據(jù)安全治理管控體系是關鍵所在。為避免出現(xiàn)數(shù)據(jù)安全產(chǎn)品功能分散和數(shù)據(jù)安全能力“孤島化”的問題，不能一蹴而就地只靠單品來治理。在建立治理體系過程中，一方面，要能覆蓋到用戶現(xiàn)有的治理能力，避免造成投資的浪費；另一方面，在保障合規(guī)性的基礎上，還要能滿足其業(yè)務發(fā)展的需求，這是一個周期性工程，重點在于根據(jù)企業(yè)用戶不斷變化的訴求及防護重點，幫助其動態(tài)地構(gòu)建科學合理的數(shù)據(jù)安全治理體系。

記者：為滿足國家對數(shù)據(jù)治理的要求，實現(xiàn)數(shù)據(jù)資產(chǎn)的有效管理，應該采取怎樣的治理思路？

盧偉：從國家法律法規(guī)及行業(yè)監(jiān)管要求來看，治理思路會有不同，但本質(zhì)上是一致的。

第一，要明確治理對象。數(shù)據(jù)治理是以數(shù)據(jù)生產(chǎn)要素為對象，包括靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)等。需要強調(diào)的是，數(shù)據(jù)治理對象是海量分布在各個系統(tǒng)中的數(shù)據(jù)，這些源于不同系統(tǒng)的數(shù)據(jù)往往在數(shù)據(jù)代碼標準、數(shù)據(jù)格式、數(shù)據(jù)標識等方面存在一定的差異，甚至可能存在錯誤的數(shù)據(jù)。

第二，要明確治理范圍。數(shù)據(jù)安全治理工作以數(shù)據(jù)為核心，涉及政府、企業(yè)、個人等各類參與主體，覆蓋數(shù)據(jù)全生命周期中的各種過程和狀態(tài)。治理范圍決定了后續(xù)要采取相關的治理措施的力度。范圍既可以說是某些業(yè)務系統(tǒng)，例如從前端事務處理系統(tǒng)、后端業(yè)務數(shù)據(jù)庫到終端的數(shù)據(jù)分析，也可以指某些行業(yè)的產(chǎn)品升級、技術創(chuàng)新等。

第三，要明確治理方法和策略。這主要包括管理和技術兩個方面。從管理角度來講，要明確數(shù)據(jù)治理的相關組織、機構(gòu)、崗位、人員、職責、規(guī)范、流程，從頂層起步進行宏觀路線的規(guī)劃和設計，形成一套完整的從梳理到管理再到控制的方法論。這就要求數(shù)據(jù)安全治理的責任組織牽頭去完善相應的規(guī)范和流程，積極主動地籌劃和開展系統(tǒng)化的數(shù)據(jù)安全治理工作，確保企業(yè)或組織能夠有效應對數(shù)據(jù)時代的各種安全挑戰(zhàn)。從技術角度來講，數(shù)據(jù)治理涉及發(fā)現(xiàn)、防護、運營等多個環(huán)節(jié)。技術建設是治理保障、組織建設和制度流程的抓手和落地保障。例如，在基于業(yè)務場景分析數(shù)據(jù)全生命周期的風險之后，就會得到相應的安全需求，進而需要數(shù)據(jù)標簽、數(shù)據(jù)加密、數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)備份恢復、數(shù)據(jù)安全擦除與銷毀等技術手段。

第四，要明確治理覆蓋數(shù)據(jù)生命周期。這需要對標業(yè)務場景，適時開展需求分析和風險評估工作。例如，當運維人員通過類似于堡壘機的安全設備去訪問后臺數(shù)據(jù)庫時，在這樣的場景下，需要對數(shù)據(jù)采取什么樣的防護手段；當業(yè)務系統(tǒng)之間發(fā)生交互時，如果是通過接口、程序或者是機器人完成的，在這種場景下，數(shù)據(jù)會有什么樣的特點，需要怎樣去防護等。所以要積極探索先進技術在業(yè)務場景中的創(chuàng)新應用，提升數(shù)據(jù)安全的管控能力。

第五，要明確評估效果。前期明確了相關的管理、技術手段等工作，并在此基礎上投入了相關的安全治理策略和工具，那么最后就要對產(chǎn)生的效果，以及是否能夠確切解決業(yè)務場景下的痛點和訴求進行評估。

記者：如何建設科學合理的數(shù)據(jù)安全治理體系？

盧偉：保旺達在數(shù)據(jù)安全領域擁有十幾年的積累和沉淀，通過長期對大量客戶的咨詢規(guī)劃建設需求的總結(jié)，發(fā)現(xiàn)他們對數(shù)據(jù)安全治理有著天然的需求。在不斷處理客戶數(shù)據(jù)所面臨的動態(tài)威脅與風險及在入侵環(huán)節(jié)、入侵方式、入侵目標的不斷演進的場景下，我們總結(jié)出自己的數(shù)據(jù)安全治理理念，幫助企業(yè)構(gòu)建完整合理的數(shù)據(jù)安全治理體系。

第一，定規(guī)范。我們常說的“無規(guī)矩不成方圓”，也同樣適用于數(shù)據(jù)治理領域。先要確定數(shù)據(jù)治理的基本法則，這也為之后的管理工作提供了非常重要的依據(jù)。在定規(guī)范的過程中，要把所涉及數(shù)據(jù)生命周期的業(yè)務場景的相關訴求定義清楚，例如，數(shù)據(jù)資產(chǎn)的基本信息及數(shù)據(jù)分類的規(guī)范、數(shù)據(jù)分級的規(guī)范、數(shù)據(jù)外發(fā)的規(guī)范、數(shù)據(jù)審批的流程、數(shù)據(jù)訪問的流程等。在定規(guī)范的過程中，要切記能夠適應復雜的數(shù)據(jù)使用場景，并區(qū)分風險等級進行精細化規(guī)范設計，在應對新問題時能夠快速響應，輸出解決方案。

第二，摸家底。在此階段，企業(yè)要搞清楚自身有哪些類型的數(shù)據(jù)，數(shù)據(jù)在各業(yè)務系統(tǒng)和應用上的分布情況，數(shù)據(jù)量的大小規(guī)模和增長速率，數(shù)據(jù)按照企業(yè)規(guī)范或行業(yè)標準應認定為什么類型與級別，數(shù)據(jù)在企業(yè)內(nèi)部及外部的共享情況和流動路徑等內(nèi)容，否則，數(shù)據(jù)安全治理工作的開展就會找不到頭緒，抓不住重點，難以全面覆蓋重要數(shù)據(jù)?！凹业住泵逡院缶涂梢孕纬善髽I(yè)的數(shù)據(jù)資產(chǎn)目錄，基于數(shù)據(jù)資產(chǎn)目錄可有序、高效地開展數(shù)據(jù)安全治理工作。

第三，強管控。該階段側(cè)重于基于業(yè)務流程的數(shù)據(jù)安全架構(gòu)，能夠?qū)崿F(xiàn)用戶審批、數(shù)據(jù)授權、安全使用、數(shù)據(jù)審計的全過程管控。在此階段，更多的是體現(xiàn)對工具的依賴性。通過依靠工具來完成數(shù)據(jù)安全治理階段所需要的策略、能力、方法等。而依賴工具的類型更偏向于類似數(shù)據(jù)庫脫敏、數(shù)據(jù)水印、數(shù)據(jù)加密、數(shù)據(jù)訪問控制等產(chǎn)品，同時還包括訪問數(shù)據(jù)的主體，例如賬號、程序等。企業(yè)在這個階段需要著重提升防護能力的建設，滿足在不同業(yè)務場景下數(shù)據(jù)防護體系的要求。

第四，重運營。目前，數(shù)據(jù)安全運營逐漸成為企業(yè)數(shù)據(jù)安全團隊與業(yè)務溝通、項目推進及價值輸出（賦能）的窗口，運營能力作為數(shù)據(jù)安全的核心，數(shù)據(jù)、模型和工具作為實施手段，該階段重點在于通過運營實現(xiàn)對業(yè)務的價值輸出目標。在此階段，通過對風險管控能力把控、真實的業(yè)務風險場景提煉、法律法規(guī)的遵從性、安全管理與合規(guī)團隊聯(lián)合推進度等分析和應對，對整個數(shù)據(jù)安全運營的效果進行評估，給出相應的指導意見。

記者：您認為政企單位在數(shù)據(jù)安全治理中面臨著哪些困難？

盧偉：作為數(shù)字經(jīng)濟和信息社會的核心資源，數(shù)據(jù)在不斷流動中產(chǎn)生著巨大的價值。不同類型的數(shù)據(jù)，其級別和價值均不同，不能等同視之，應根據(jù)數(shù)據(jù)的重要性、價值指數(shù)予以區(qū)別對待。因此，數(shù)據(jù)的分級分類是數(shù)據(jù)安全治理的第一步。事實上，很多企業(yè)都不清楚自身到底擁有哪些數(shù)據(jù)，哪些是敏感數(shù)據(jù)或重要數(shù)據(jù)，甚至都不知曉數(shù)據(jù)存儲在什么位置，這給數(shù)據(jù)安全治理帶來了諸多難題和挑戰(zhàn)。

第一，數(shù)據(jù)安全治理體系不規(guī)范，甚至缺乏體系治理的意識。很多企業(yè)缺乏從決策層到技術層，從管理制度到工具支撐，這種自上而下貫穿整個組織架構(gòu)的完整鏈條，而且，組織內(nèi)的各個層級之間未對數(shù)據(jù)安全治理的目標和宗旨取得共識，也未采取合理和適當?shù)拇胧茨芤宰钣行У姆绞奖Ｗo信息資源。例如，有的企業(yè)在數(shù)據(jù)量成倍增加的同時，對“如何識別數(shù)據(jù)”“數(shù)據(jù)用到哪里去了”“數(shù)據(jù)最后從哪里給了誰再到哪里去”等基本問題還一臉茫然，也沒有具體的負責人和直接責任人來進行統(tǒng)籌和管理等。

第二，缺乏對數(shù)據(jù)分類分級的治理能力。實行數(shù)據(jù)分類分級是保障數(shù)據(jù)安全的前提，也是數(shù)據(jù)安全治理過程中極為重要的一環(huán)。開展數(shù)據(jù)安全的第一步就是要識別數(shù)據(jù)、基于業(yè)務特點進行數(shù)據(jù)的分類和分級，這是后續(xù)數(shù)據(jù)保護策略部署的基礎。常見的數(shù)據(jù)分類維度包括公民個人維度、公共管理維度、信息傳播維度、組織經(jīng)營維度、行業(yè)領域維度，從國家數(shù)據(jù)安全角度可將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)共三個級別。對企業(yè)相關管理人員而言，如何判定數(shù)據(jù)類別和重要程度是一個不小的難題和挑戰(zhàn)。

第三，缺乏相應的治理手段。數(shù)據(jù)必須要在共享使用中，才能產(chǎn)生更大的價值。因此，對于數(shù)據(jù)的保護不應該只是靜態(tài)的，而要更加注重流動數(shù)據(jù)的治理。數(shù)據(jù)流動的安全隱患與數(shù)據(jù)的可獲取性及可遷移性相關。例如，在與銀行、支付寶、微信等不同系統(tǒng)的接口發(fā)生交互時，數(shù)據(jù)相當于給第三方的系統(tǒng)接口調(diào)用了動態(tài)化數(shù)據(jù)，這給管理員帶來了更大的治理難度，因為他不清楚應采取何種手段和方法進行有效的動態(tài)數(shù)據(jù)治理。

第四，缺乏體系化、系統(tǒng)化指導。在企業(yè)對數(shù)據(jù)治理基礎工作告一段落后，多數(shù)企事業(yè)單位未對數(shù)據(jù)治理進行體系化指導，不確定下一步治理工作的發(fā)力點。缺乏數(shù)據(jù)治理的體系化建設，必然會導致商業(yè)智能價值鏈受阻。因此，政企單位要想在數(shù)字化轉(zhuǎn)型中抓住機遇，數(shù)據(jù)治理體系建設勢在必行，這是基礎而又關鍵的一環(huán)。

記者：未來數(shù)據(jù)安全治理的常態(tài)是怎樣的？

盧偉：宏觀上講，從法律法規(guī)到相應的標準規(guī)范，再到監(jiān)管要求，可以看出對數(shù)據(jù)安全的規(guī)范越來越明確，要求也越來越細，創(chuàng)新性的安全廠商也將越來越多。在這種環(huán)境下，廠商的研究領域會更加聚焦，技術研究也會愈加深入，相應的投入也就水漲船高，從而衍生出更多高精尖的數(shù)據(jù)安全企業(yè)，進而研制出更多更好的產(chǎn)品，提供更加優(yōu)質(zhì)的服務。這對現(xiàn)有的數(shù)據(jù)安全廠商來說，未必不是好事，能讓其深耕賽道，持續(xù)發(fā)力，在這個領域產(chǎn)生更多的創(chuàng)新成果，助力用戶提升數(shù)據(jù)安全治理能力。

應用上講，數(shù)據(jù)處理環(huán)節(jié)的脫敏技術和數(shù)據(jù)交換環(huán)節(jié)的權限管理、安全代理也逐步成熟，數(shù)據(jù)分類和密鑰管理產(chǎn)品處于高速發(fā)展期，數(shù)據(jù)傳輸環(huán)節(jié)的產(chǎn)品已經(jīng)非常成熟，例如，數(shù)據(jù)防泄露產(chǎn)品、數(shù)據(jù)庫脫敏產(chǎn)品等。這些產(chǎn)品更多的是針對數(shù)據(jù)本體研發(fā)的，然而，在數(shù)字經(jīng)濟浪潮下，隨著業(yè)務的復雜度不斷提升，風險及合規(guī)視角下的數(shù)據(jù)安全需要應對更豐富多樣的應用場景，保護的數(shù)據(jù)對象范疇也不斷外延。

體系上講，數(shù)據(jù)安全將不再是一個組織內(nèi)部的事情，而是需要構(gòu)建一個科學的數(shù)據(jù)安全治理體系，才能有效地保障數(shù)據(jù)安全，管控數(shù)據(jù)安全風險。這摒棄了傳統(tǒng)的單品突破的治理方式，更多地聚焦業(yè)務場景和用戶體驗。這就要求廠商把數(shù)據(jù)安全治理當作周期性工作來做，要不斷投入、不斷改善、持續(xù)提升，然后再不斷投入，形成一項有序、動態(tài)、可持續(xù)發(fā)展的系統(tǒng)工程。

記者：在數(shù)據(jù)安全治理方面，保旺達有哪些積累和沉淀？

盧偉：在數(shù)據(jù)安全治理的工作中，保旺達不斷深耕賽道，持續(xù)進行技術創(chuàng)新，實行安全產(chǎn)品和服務雙驅(qū)動戰(zhàn)略。一方面，保旺達成立了自己的研究院，重點對最新、最前沿的技術進行研究，結(jié)合我們現(xiàn)有的產(chǎn)品，去幫助用戶解決更復雜業(yè)務場景下的安全痛點，或者在復雜的業(yè)務模型下，能夠帶來的安全管理價值。在這個過程中，輸出了關于5G、人工智能等新技術的解決方案，而且能夠成熟運用到自身現(xiàn)有的產(chǎn)品組件中去。另一方面，我們還有獨立的網(wǎng)絡空間安全實驗室，根據(jù)國際通用的ATT&CK模型，研發(fā)出“觀云”“御雷”“探?！薄俺孙L”四大安全模型，對用戶在安全服務的監(jiān)測、研判、預警、處置等方面提供了很大助力。

依靠實驗室，我們還開展了數(shù)據(jù)安全評估工作，通過數(shù)據(jù)安全評估的服務，能夠快速地幫助用戶建立數(shù)據(jù)安全相關的風險評估手段，從而快速地找出當前業(yè)務系統(tǒng)所存在的風險短板，以及包括有針對性地提升相應的建設能力需求，在數(shù)據(jù)安全風險治理方面，為用戶帶來實質(zhì)性的改變和提升。

保旺達多年來堅持自主可控的信息安全技術研發(fā)，構(gòu)建了完整的數(shù)據(jù)安全產(chǎn)品體系和網(wǎng)絡安全防護體系，產(chǎn)品獲得國家級保密認證以及入選了國產(chǎn)信息產(chǎn)品名錄。安全產(chǎn)品已廣泛應用于運營商31個省份，護航100萬+終端用戶、網(wǎng)絡設備及物聯(lián)網(wǎng)設備的數(shù)字安全，每天提供身份鑒別與訪問管理服務超3000萬人次。自主研發(fā)的涉密產(chǎn)品信息交換平臺是目前市場上唯一實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交換的軟件產(chǎn)品，切實解決了涉密單位數(shù)據(jù)在流轉(zhuǎn)、分發(fā)過程中的安全問題。

此外，保旺達每年投入大量的資金和人力開展與產(chǎn)品國產(chǎn)化相關的研發(fā)工作。新產(chǎn)品從設計階段就充分考慮對于國產(chǎn)化軟件特別是操作系統(tǒng)、中間件、數(shù)據(jù)庫基礎三大件的適配。目前，部分產(chǎn)品已完成了對國產(chǎn)主流操作系統(tǒng)及數(shù)據(jù)庫的適配。未來，保旺達將進一步強化在研發(fā)領域的技術創(chuàng)新能力，堅持以客戶價值為導向，聚焦數(shù)據(jù)安全方向，打造更多、更優(yōu)秀、具備產(chǎn)業(yè)帶動性的產(chǎn)品和解決方案，為企業(yè)數(shù)字化轉(zhuǎn)型保駕護航。