安全419《数据安全治理解决方案》系列访谈——亿赛通篇

在数据流通的整个过程中，数据的安全治理是基础，在海量高价值数据资产面临各种内外威胁面前，数据安全更需要体系化的建设思路。《数据安全法》明确提出，维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。
 
作为从国外引入的理念，数据安全治理在国内市场的推广、应用过程中衍生出了不同的理解思考和实施路径，安全419推出《数据安全治理解决方案》系列访谈选题，聚焦企业用户真实需求和挑战，通过挖掘分享行业中有价值的解决方案及服务，力求帮助企业用户在数据安全建设工作中提供有益参考。本期，我们走进北京亿赛通科技发展有限责任公司（以下简称 亿赛通），观察他们在该领域的思考和实践。
 
亿赛通成立于2003年，以“分·放·管·服”数据安全建设理念为核心，对综合数据、商业数据、视频专网数据、工业数据、大数据、云数据等进行全方位多维度管理。全线产品覆盖云、网、端三大类应用场景，60款+精细化产品模块，打造集数据安全合规、数据安全治理、数据安全防护、数据安全流转、数据库安全、安全服务为一体的数据安全领域综合解决方案。

数据安全治理将体系化实现对数据安全风险的主动防御
 
目前，企业用户对数据安全治理的认知度和接受度已经有较大提高，亿赛通表示，一方面，数字经济时代数据的价值日益重要，与此同时数据安全风险也越来越高，用户真正需要的是安全能力、安全效果的提升，而不是安全设备、软件等产品的堆砌。目前数据安全市场主流产品品类繁多，例如数据防泄露、数据脱敏、数据加密、数据水印等，但是随着企业部署的数据安全单点产品数量的增多，越来越多缺乏关联性的数据安全工具正在成为企业数据安全治理面临的最大挑战之一。安全工具的碎片化导致产品性能和价值承诺难以兑现，亟须建立一套综合性、全方位、有效果的数据安全治理体系，实现对数据安全风险的主动防御。
 
另一方面，国家日益重视数据安全建设，相关政策法规的密级发布，出于安全合规的角度，也需要建设一个综合性的解决方案。从当前发展的阶段来看，这也是数据安全治理的主要驱动力之一。根据《2022年中国企业数据安全现状调查报告》显示，在企业进行数据安全能力建设时53%为合规驱动。另外数据安全事件驱动占到25%，业务发展驱动占到21%。随着近年来我国数据安全相关法律法规体系的完善和落地，合规需求将在很长一段时间内成为企业数据安全能力建设的主要驱动力。
 
与此同时，随着网络威胁和数据泄露事件的不断增长，数据安全事件和业务发展驱动的占比不断提高，用户观念逐渐由被动防御转变到主动防御，已经不满足于堵窟窿式的安全建设，而希望建立自己的防御体系防患于未然，这表明企业对数据安全治理的内需也在逐步扩大。
 
在亿赛通看来，数据安全治理以“人”和“数据”为中心，从技术到产品、从策略到管理，提供完整的产品与服务支撑，实现业务与安全的深层融合。整个数据安全治理过程从决策层到技术层，从管理制度到技术支撑，将现有的各个独立的数据安全技术和功能整合，构建了自上而下、全流程、可闭环的完整链条。其可分为三个方面：
 
一是数据安全管理建设：即以组织人员管理和流程制度制定两个方面进行规划和搭建，针对不同业务场景细化安全管理制度、办法、流程以及相关指南手册等；

二是数据安全能力建设：以多数据安全能力模块与数据安全统一管控平台相结合的方式，保障信息系统落地数据分类分级管理，重要数据的访问身份管理、使用行为检测和泄露防护，加强重要数据和敏感字段保护；

三是数据安全持续运营：在数据产生、使用、传输、共享、存储和销毁的全生命周期进行评估，识别数据在各个状态的风险，并针对数据安全风险进行安全加固。
 
“通过数据安全治理，应该是达到一个对数据的全生命周期做到事前预警、事中监控、事后分析，全面提升数据安全管理与防护水平的目标。”他们进一步总结，为治理数据安全风险，就需要综合性管理平台，从存储、传输、共享等各阶段对结构化数据和非结构化数据进行安全防护能力建设，建立数据安全体系化、平台化势在必行。
 


开展数据安全治理是需求侧、供给侧、监管侧多方的共同责任
 
“虽然数据安全治理对于达到一个良好的数据安全目标颇有价值，但需要指出的是，企业用户目前在数据安全治理上的投入有限。”亿赛通解释道，数据安全治理需要的不仅仅是一两台安全设备能够解决的问题，而需要企业从制度体系建设、安全设备搭建、安全意识培训等方方面面采取行动。这对于用户来说无疑是一个大工程，中小型企业无法通过一期建设实现目标。因此目前开展数据安全治理的主要是在受到较强监管的政府、电信、金融和医疗行业。虽然中小型企业并没有一期完成整个数据安全治理的全部体系搭建的能力，但是有越来越多的企业重视数据安全，通过场景化的方式逐步搭建数据安全治理体系。
 
企业在开展数据安全治理实践时，也面临着具体的问题与挑战，首先大部分的企业在开展数据安全建设时都以解决特定问题为导向，实施单点式建设、补丁式管理，缺少全局思考。其次，管理制度重制定、轻落实的现象比较突出，由于数据安全的管理部门与业务部门的目标不一致，在开展数据安全治理时安全策略将难以落实。另外，企业还普遍存在缺乏专业的数据安全技术人员，数据安全意识低的问题。
 
而做好数据安全治理的关键，不仅仅只关系到企业，也是员工、安全供应商和监管机构共同的责任。
 
从用户的角度，不仅要关注外部安全建设也需要关注内部安全建设。根据相关机构数据统计，当前泄密事件超过80%的发生均与内部人员有关，例如内部员工有意或无意间向其他人员透露或提供了公司机密文件；又或是员工以及数据管理员不注重数据的传输和储存，导致数据在流转中丢失。因此在进行数据安全治理时，不能够仅仅只上设备，也需要搭建数据安全制度并进行安全培训，从根本上提高对数据安全的重视。
 
从供应商的角度，数据安全治理需要从竞争走向竞合，不同的供应商之间应该充分开展合作。企业的数据安全治理建设往往不是一步完成的，更多的是分期部署不同的安全产品，在进行整体的数据安全治理方案时，应充分发挥不同友商的安全优势，而不是通过产品替代的方式浪费企业资源。“各自为战”的数据安全平台容易阻滞风险的关联分析，无法实现数据安全的长期稳定运营。
 
从监管的角度，监管部门需要出台完善的法律法规，使得数据安全建设做到有法可依，同时监管部门也应对所管理的辖区内的企业开展数据安全检查和评估，充分保证数据安全按照法律制度进行开展。
 
以“分·放·管·服”理念进行数据安全治理建设
 
作为专注于数据安全领域的专业厂商，面对数据安全治理实践的挑战，亿赛通在业内提出以“分·放·管·服”的理念进行建设，以数据识别发现、安全防护、安全检测、管理与风险响应为建设路径，重要数据分类分级资产表为核心的分阶段系统化实现数据安全建设保障与数据安全运营闭环管理。其在2021年推出数据安全运营管理平台，依托于“服务+平台+能力组件”的方式实现数据安全的综合治理，平台的主要功能包括：
 
• 资产管理：平台通过网络探测、自动扫描等方式对网络环境中的数据资产进行梳理完成数据资产台账；然后根据企业数据资产的数据价值、特征及行业分布，进行数据分类分级，梳理出本单位的核心数据资产。在此基础之上还会对数据源进行风险扫描、检测分析、整改建议等报告输出；
 
• 策略运营：依据扫描识别后形成的分类分级清单为不同主体（人）与客体（数据）之间定义不同的安全策略，确保数据按照类别与级别进行差异化防护；
 
• 智能分析：通过平台接入的多源异构数据，对云、网、端的结构化、非结构化、半结构化数据进行关联分析、血缘分析、人物画像分析，形成全网数据追踪溯源能力；
 
• 响应处置：通过事件编排与策略响应自动化将海量安全日志进行事件预处理，并根据丰富的运营经验固化处置流程，降低处置响应时间，为客户降本增效；
 
• 态势感知：通过大屏的方式，多维度、实时展示当前资产详情，帮助运营者关注局部安全更能建立统筹全局的数据安全观，提供清晰的可视化安全状况辅助管理决策。
 
据亿赛通介绍，数据安全运营管理平台的应用是数据安全治理从点到线、再从线到面的过程，平台的五大能力同时也遵循IPDRR（识别、防御、检测、响应、恢复）能力框架模型，可以为客户提供一个中心、多种安全管理和防护能力，帮助安全管理人员落地安全管理和技术体系的结合，达到数据安全运营管理工作闭环，最终实现数据安全可视、可管、可控、可溯的目标。



整体上，亿赛通的数据安全理念正是以“分·放·管·服”和以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系，帮助企业形成扎实可靠的综合数据安全能力，为企业数据资产从产生价值到保值、增值的建立重要保障。
 
从业务源头落实对数据分类分级、对人分权分责，制定和实施不同的策略，通过放管结合，构建动态的、主动的、智能的、可运营的数据安全服务于业务的体系，形成“分放管服”的正反馈闭环。从制度层和技术层同时入手，制度主要指导数据安全体系建设，做到有规可依，技术主要保障制度实施，做到有规必依，违规必纠；通过技术不断发现风险，以填补制度漏洞，优化制度，通过制度对技术创新提要求，形成制度和技术的循环优化闭环。
 
我们看到，数据安全治理已经普遍从单点防护转为全生命周期防护，而体系化、平台化安全产品很有可能成为未来企业数据安全治理中的抓手。亿赛通作为整合各种数据安全工具、技术与服务的数据安全综合厂商，无疑是这个赛道颇具希望的竞跑者。