专访 | 安华金和杨海峰:数据安全治理的目标-k8凯发游戏

专访 | 安华金和杨海峰:数据安全治理的目标
作者:安华金和 发布时间:2018-10-23

云计算、大数据、iot、人工智能等新技术掀起的数字化转型,带来全新的网络威胁和安全需求,驱动互联网行业从技术思想、方法论到产业思维进行演进,推动我们重新审视现有的安全防护模式。

在ctdc 2018首席技术官领袖峰会期间,安华金和cto杨海峰接受媒体独家专访,针对数据安全治理,结合安华金和数据安全全线产品,以及基于方案积累所提出的“数据安全治理”框架,提供了部分应对思路。

专访.jpg


一、数据安全治理的背景

记者:

安华金和在数据安全领域已经深耕多年,今天您在会上的分享谈到数据安全治理,能否请您谈一谈这套理念提出的背景是什么?

杨海峰:

安华金和长期(9年)专注在数据安全技术和产品积累,形成了覆盖敏感数据发现、数据分类分级、敏感数据保护、数据库安全加固、数据库审计与监控、异常行为分析这样一条完整的数据安全保护产品线。这些产品的背后,是用户对数据安全保护的需求和痛点,他们希望能够形成体系化的数据安全保护思路、理念和技术支撑,来帮助企业形成有效的数据保护方案,不希望是简单的头痛医头,更不是盲目的上一堆安全产品,达不到保护效果,白白投入。

二、数据安全治理的价值和实践

记者:

数据安全治理对于用户而言价值何在?数据安全治理的实践的过程是怎样的?

杨海峰:

数据安全治理首先是一套先进的数据安全理念—让数据使用更安全,强调数据在使用中的保护,其目标是安全地使用数据,合理的发挥数据价值。

数据安全治理是一套先进的数据安全框架,为用户提供了体系化的数据安全保护思路:以敏感数据为中心,通过数据安全状况摸底(梳理),了解敏感数据分布和使用情况,了解安全现状和风险;然后结合企业自身使用敏感数据的场景,建立敏感数据保护措施,建立针对使用场景的数据防护措施;最后对数据的使用情况,进行审计和监控,实现合规性监察能力,保护措施有效性评估和优化能力。通过理解和实施这一框架,能够帮助解决不知道哪些数据需要保护,更不知道如何保护这一困扰管理者的最大烦恼,同时也避免了盲目的、过度的使用安全产品,既达不到效果,又增加管理者负担的尴尬。

数据安全治理还是一套技术支撑和产品体系,涵盖了从敏感数据发现、数据分类分级、数据库漏洞扫描,到面向敏感数据的数据加密、数据脱敏保护,围绕业务系统、数据运维、开发测试、bi分析、数据分发、内部应用等敏感数据使用场景的防护手段,到提供敏感数据操作监控、行为分析和异常告警、安全合规性审计等监控和审计能力。提供了全面覆盖框架的各个阶段的落地能力。

这里我们简单的列举一个案例,通过这一案例希望读者能够了解具体的价值和实践。

客户面临gdpr(欧盟一般数据保护法案)的合规监管要求,首先要满足的是对涉及个人隐私数据的“数据收集最小化”和“数据处理目的限制”这两个最基本的原则,但问题是无论安全管理者还是大数据技术人员,并不了解企业到底收集了哪些个人隐私数据,这些数据都被保存在哪里,是否收集了不该收集的隐私数据,对这些隐私数据是如何使用和处理的、是否符合收集的目的?要回答这些问题,需要通过技术手段,进行数据安全状况摸底和梳理:

1)通过敏感数据自动发现技术,对企业的it系统进行探测、扫描发现所有的数据库,并对数据库中的数据进行扫描采样和分析,最终发现所有的个人隐私数据,了解这些隐私数据都保存在哪些表中。

2)通过数据库访问流量分析技术,对所有个人隐私数据的访问进行分析和梳理,形成隐私数据访问状况报告。通过该报告,安全管理者可以了解到:

a:哪些隐私数据没有被使用(例如婚姻状况),这些数据的收集违背了最小化原则,应及时的清理删除。

b:企业中存在哪些非业务系统使用了个人隐私数据,这些系统访问隐私数据的目的是否与数据收集的目的是一致的,如果不一致,则应及时的进行整改,或采用技术手段,保证系统使用的是经过脱敏后的数据。

三、gdpr对国内企业的影响

记者:

gdpr的生效对国内的企业有影响吗?

杨海峰:

gdpr对国内的一些标准和法律也产生了较大的影响,包括现在我国的网络安全法律,也能看到一些gdpr的影子,像“个人信息保护法草案”,这里面的很多要求和gdpr存在很多关联性,但是具体到实施和监管,以及对法案的解读上还是会存在一定差异,毕竟国情不一样,那么在法案的实施和细节的解释上也会有一定差异。

四、数据安全治理理念贯彻推广和落地

记者:

安华金和作为中国数据安全治理理念的提出者与倡导者,如何将这一理念在行业领域持续贯穿下去?

杨海峰:

在数据安全治理理念的贯彻推广和落地过程中,非常重要的是要建立起广泛的、对该理念认同的生态合作;为此,安华金和作为组长单位,联合业界的多个领域的安全厂商,成立了数据安全治理工作组,这一生态中包含:

1)政府、行业监管机构;

2)具备数据收集和处理能力的平台厂商如云平台、saas平台厂商等;

3)在数据处理的完整链条中各个环节提供数据保护技术的安全厂商。


网站地图