云計(jì)算、大數(shù)據(jù)、IOT、人工智能等新技術(shù)掀起的數(shù)字化轉(zhuǎn)型，帶來全新的網(wǎng)絡(luò)威脅和安全需求，驅(qū)動(dòng)互聯(lián)網(wǎng)行業(yè)從技術(shù)思想、方法論到產(chǎn)業(yè)思維進(jìn)行演進(jìn)，推動(dòng)我們重新審視現(xiàn)有的安全防護(hù)模式。

在CTDC 2018首席技術(shù)官領(lǐng)袖峰會(huì)期間，918搏天堂CTO楊海峰接受媒體獨(dú)家專訪，針對(duì)數(shù)據(jù)安全治理，結(jié)合918搏天堂數(shù)據(jù)安全全線產(chǎn)品，以及基于方案積累所提出的“數(shù)據(jù)安全治理”框架，提供了部分應(yīng)對(duì)思路。

一、數(shù)據(jù)安全治理的背景

記者：

918搏天堂在數(shù)據(jù)安全領(lǐng)域已經(jīng)深耕多年，今天您在會(huì)上的分享談到數(shù)據(jù)安全治理，能否請(qǐng)您談一談這套理念提出的背景是什么？

楊海峰：

918搏天堂長期（9年）專注在數(shù)據(jù)安全技術(shù)和產(chǎn)品積累，形成了覆蓋敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分類分級(jí)、敏感數(shù)據(jù)保護(hù)、數(shù)據(jù)庫安全加固、數(shù)據(jù)庫審計(jì)與監(jiān)控、異常行為分析這樣一條完整的數(shù)據(jù)安全保護(hù)產(chǎn)品線。這些產(chǎn)品的背后，是用戶對(duì)數(shù)據(jù)安全保護(hù)的需求和痛點(diǎn)，他們希望能夠形成體系化的數(shù)據(jù)安全保護(hù)思路、理念和技術(shù)支撐，來幫助企業(yè)形成有效的數(shù)據(jù)保護(hù)方案，不希望是簡單的頭痛醫(yī)頭，更不是盲目的上一堆安全產(chǎn)品，達(dá)不到保護(hù)效果，白白投入。

二、數(shù)據(jù)安全治理的價(jià)值和實(shí)踐

記者：

數(shù)據(jù)安全治理對(duì)于用戶而言價(jià)值何在？數(shù)據(jù)安全治理的實(shí)踐的過程是怎樣的？

楊海峰：

數(shù)據(jù)安全治理首先是一套先進(jìn)的數(shù)據(jù)安全理念—讓數(shù)據(jù)使用更安全，強(qiáng)調(diào)數(shù)據(jù)在使用中的保護(hù)，其目標(biāo)是安全地使用數(shù)據(jù)，合理的發(fā)揮數(shù)據(jù)價(jià)值。

數(shù)據(jù)安全治理是一套先進(jìn)的數(shù)據(jù)安全框架，為用戶提供了體系化的數(shù)據(jù)安全保護(hù)思路：以敏感數(shù)據(jù)為中心，通過數(shù)據(jù)安全狀況摸底（梳理），了解敏感數(shù)據(jù)分布和使用情況，了解安全現(xiàn)狀和風(fēng)險(xiǎn)；然后結(jié)合企業(yè)自身使用敏感數(shù)據(jù)的場景，建立敏感數(shù)據(jù)保護(hù)措施，建立針對(duì)使用場景的數(shù)據(jù)防護(hù)措施；最后對(duì)數(shù)據(jù)的使用情況，進(jìn)行審計(jì)和監(jiān)控，實(shí)現(xiàn)合規(guī)性監(jiān)察能力，保護(hù)措施有效性評(píng)估和優(yōu)化能力。通過理解和實(shí)施這一框架，能夠幫助解決不知道哪些數(shù)據(jù)需要保護(hù)，更不知道如何保護(hù)這一困擾管理者的最大煩惱，同時(shí)也避免了盲目的、過度的使用安全產(chǎn)品，既達(dá)不到效果，又增加管理者負(fù)擔(dān)的尷尬。

數(shù)據(jù)安全治理還是一套技術(shù)支撐和產(chǎn)品體系，涵蓋了從敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)庫漏洞掃描，到面向敏感數(shù)據(jù)的數(shù)據(jù)加密、數(shù)據(jù)脫敏保護(hù)，圍繞業(yè)務(wù)系統(tǒng)、數(shù)據(jù)運(yùn)維、開發(fā)測(cè)試、BI分析、數(shù)據(jù)分發(fā)、內(nèi)部應(yīng)用等敏感數(shù)據(jù)使用場景的防護(hù)手段，到提供敏感數(shù)據(jù)操作監(jiān)控、行為分析和異常告警、安全合規(guī)性審計(jì)等監(jiān)控和審計(jì)能力。提供了全面覆蓋框架的各個(gè)階段的落地能力。

這里我們簡單的列舉一個(gè)案例，通過這一案例希望讀者能夠了解具體的價(jià)值和實(shí)踐。

客戶面臨GDPR（歐盟一般數(shù)據(jù)保護(hù)法案）的合規(guī)監(jiān)管要求，首先要滿足的是對(duì)涉及個(gè)人隱私數(shù)據(jù)的“數(shù)據(jù)收集最小化”和“數(shù)據(jù)處理目的限制”這兩個(gè)最基本的原則，但問題是無論安全管理者還是大數(shù)據(jù)技術(shù)人員，并不了解企業(yè)到底收集了哪些個(gè)人隱私數(shù)據(jù)，這些數(shù)據(jù)都被保存在哪里，是否收集了不該收集的隱私數(shù)據(jù)，對(duì)這些隱私數(shù)據(jù)是如何使用和處理的、是否符合收集的目的？要回答這些問題，需要通過技術(shù)手段，進(jìn)行數(shù)據(jù)安全狀況摸底和梳理：

1）通過敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)技術(shù)，對(duì)企業(yè)的IT系統(tǒng)進(jìn)行探測(cè)、掃描發(fā)現(xiàn)所有的數(shù)據(jù)庫，并對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行掃描采樣和分析，最終發(fā)現(xiàn)所有的個(gè)人隱私數(shù)據(jù)，了解這些隱私數(shù)據(jù)都保存在哪些表中。

2）通過數(shù)據(jù)庫訪問流量分析技術(shù)，對(duì)所有個(gè)人隱私數(shù)據(jù)的訪問進(jìn)行分析和梳理，形成隱私數(shù)據(jù)訪問狀況報(bào)告。通過該報(bào)告，安全管理者可以了解到：

A：哪些隱私數(shù)據(jù)沒有被使用（例如婚姻狀況），這些數(shù)據(jù)的收集違背了最小化原則，應(yīng)及時(shí)的清理刪除。

B：企業(yè)中存在哪些非業(yè)務(wù)系統(tǒng)使用了個(gè)人隱私數(shù)據(jù)，這些系統(tǒng)訪問隱私數(shù)據(jù)的目的是否與數(shù)據(jù)收集的目的是一致的，如果不一致，則應(yīng)及時(shí)的進(jìn)行整改，或采用技術(shù)手段，保證系統(tǒng)使用的是經(jīng)過脫敏后的數(shù)據(jù)。

三、GDPR對(duì)國內(nèi)企業(yè)的影響

記者：

GDPR的生效對(duì)國內(nèi)的企業(yè)有影響嗎？

楊海峰：

GDPR對(duì)國內(nèi)的一些標(biāo)準(zhǔn)和法律也產(chǎn)生了較大的影響，包括現(xiàn)在我國的網(wǎng)絡(luò)安全法律，也能看到一些GDPR的影子，像“個(gè)人信息保護(hù)法草案”，這里面的很多要求和GDPR存在很多關(guān)聯(lián)性，但是具體到實(shí)施和監(jiān)管，以及對(duì)法案的解讀上還是會(huì)存在一定差異，畢竟國情不一樣，那么在法案的實(shí)施和細(xì)節(jié)的解釋上也會(huì)有一定差異。

四、數(shù)據(jù)安全治理理念貫徹推廣和落地

記者：

918搏天堂作為中國數(shù)據(jù)安全治理理念的提出者與倡導(dǎo)者，如何將這一理念在行業(yè)領(lǐng)域持續(xù)貫穿下去？

楊海峰：

在數(shù)據(jù)安全治理理念的貫徹推廣和落地過程中，非常重要的是要建立起廣泛的、對(duì)該理念認(rèn)同的生態(tài)合作；為此，918搏天堂作為組長單位，聯(lián)合業(yè)界的多個(gè)領(lǐng)域的安全廠商，成立了數(shù)據(jù)安全治理工作組，這一生態(tài)中包含：

1）政府、行業(yè)監(jiān)管機(jī)構(gòu)；

2）具備數(shù)據(jù)收集和處理能力的平臺(tái)廠商如云平臺(tái)、SaaS平臺(tái)廠商等；

3）在數(shù)據(jù)處理的完整鏈條中各個(gè)環(huán)節(jié)提供數(shù)據(jù)保護(hù)技術(shù)的安全廠商。