本刊記者 王 超

隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)和人工智能驅(qū)動的新一輪全球科技變革成為現(xiàn)實，數(shù)據(jù)在其中扮演著愈發(fā)重要的角色。與此同時，數(shù)據(jù)安全問題愈發(fā)突出和嚴(yán)峻，數(shù)據(jù)泄露、勒索等安全事件頻發(fā)，對個人隱私安全、組織權(quán)益、社會穩(wěn)定、國家安全等造成了嚴(yán)重威脅，如何保障數(shù)據(jù)的安全開發(fā)和利用，成為全社會關(guān)注的焦點話題。

事實上，政企單位的安全管理和防護(hù)措施更多針對網(wǎng)絡(luò)層面。隨著數(shù)據(jù)的價值凸顯，數(shù)據(jù)成為黑客和不法分子的目標(biāo)，數(shù)據(jù)的安全意識不足、防護(hù)不到位等問題導(dǎo)致數(shù)據(jù)安全事件頻發(fā)，對組織單位經(jīng)營發(fā)展產(chǎn)生重要影響。面對層出不窮的數(shù)據(jù)安全風(fēng)險，盡管多數(shù)企業(yè)把數(shù)據(jù)安全擺在了整個信息安全體系中最重要的位置，但是如何進(jìn)行數(shù)據(jù)安全建設(shè)，既能滿足監(jiān)管側(cè)要求，又能在業(yè)務(wù)側(cè)保證數(shù)據(jù)安全，首席信息官（CIO）、首席安全官（CSO）一直在探索和嘗試。

美創(chuàng)科技結(jié)合多年在數(shù)據(jù)安全領(lǐng)域中的經(jīng)驗，從零信任數(shù)據(jù)安全1.0 架構(gòu)到2.0 架構(gòu)，構(gòu)建起以“以數(shù)據(jù)中心、流動路徑和終端落地為視角”的安全防護(hù)鏈。通過對數(shù)據(jù)生命周期鏈條式的防護(hù)，實現(xiàn)數(shù)據(jù)在哪里，安全就在哪里，讓數(shù)據(jù)自由流動，發(fā)揮更大價值。

近日，記者與美創(chuàng)科技副總裁、首席技術(shù)官（CTO）周杰，圍繞數(shù)據(jù)安全領(lǐng)域的數(shù)據(jù)安全治理思路、防護(hù)思路、發(fā)展特點等內(nèi)容進(jìn)行了詳細(xì)溝通和探討。

記者：您如何理解現(xiàn)階段的數(shù)據(jù)安全？

周杰：我認(rèn)為，現(xiàn)階段的數(shù)據(jù)安全可以用查爾斯·狄更斯的話來形容，“這是最好的時代，也是最壞的時代”。

一方面，2021年，數(shù)據(jù)安全市場景氣度高漲。國家在數(shù)據(jù)安全領(lǐng)域的政策制定與立法工作明顯提速，《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等出臺實施，一系列配套法規(guī)和規(guī)章緊鑼密鼓地進(jìn)行意見征集或者頒布，釋放了大量政策紅利。在強(qiáng)監(jiān)管態(tài)勢和數(shù)據(jù)業(yè)務(wù)發(fā)展需求下，我們明顯感受到各行業(yè)單位對數(shù)據(jù)安全建設(shè)的重視程度在加深，尤其涉及大量公民敏感信息及社會治理、公共服務(wù)方面重要信息的政府及互聯(lián)網(wǎng)數(shù)據(jù)密集型行業(yè)，“數(shù)據(jù)安全是整個信息化、數(shù)字化過程中的基礎(chǔ)工程”，這一認(rèn)識正在覺醒，這對美創(chuàng)科技和同一賽道的其他廠商都產(chǎn)生了很好的促進(jìn)作用。隨著政策刺激的持續(xù)兌現(xiàn)和數(shù)據(jù)業(yè)務(wù)的持續(xù)推進(jìn)，數(shù)據(jù)安全市場規(guī)模增幅將進(jìn)一步擴(kuò)大，迎來春天，這是整個行業(yè)的共識，當(dāng)然，數(shù)據(jù)安全領(lǐng)域也將會面臨更加激烈的賽道競爭。

另一方面，從目前來看，數(shù)據(jù)安全形勢依然嚴(yán)峻。一是有組織、大規(guī)模的勒索病毒攻擊、數(shù)據(jù)泄露等事件頻發(fā)，數(shù)據(jù)安全面臨的威脅不僅僅是傳統(tǒng)的黑客、地下黑產(chǎn)。2021年，全球爆發(fā)多起贖金巨大的勒索攻擊事件，勒索病毒因勒索軟件即服務(wù)（Ransomware as a Service，RaaS）模式興起所引發(fā)的高爆發(fā)態(tài)勢對數(shù)據(jù)安全構(gòu)成了嚴(yán)重的挑戰(zhàn)。二是新技術(shù)和新架構(gòu)帶來的挑戰(zhàn)，導(dǎo)致出現(xiàn)了許多傳統(tǒng)安全防護(hù)體系無法應(yīng)對的問題。目前，很多企業(yè)新生業(yè)務(wù)對數(shù)據(jù)實時性要求不斷增加，這就要求安全服務(wù)效率更高，要在最早的時間發(fā)現(xiàn)安全風(fēng)險，并在最短的時間內(nèi)進(jìn)行應(yīng)急處置和追蹤溯源。三是數(shù)據(jù)流動屬性釋放給數(shù)據(jù)安全帶來更多的不確定性和更大的防護(hù)難度。數(shù)字化轉(zhuǎn)型的深入建立在數(shù)據(jù)要素流通之上，依托數(shù)據(jù)共享交換實現(xiàn)信息資源集約化、服務(wù)化和標(biāo)準(zhǔn)化供給。以前數(shù)據(jù)相對離散、靜止，企業(yè)擁有的可能僅是GB 級別的數(shù)據(jù)，但現(xiàn)在，企業(yè)數(shù)據(jù)的體量、格式構(gòu)成都十分復(fù)雜、活躍，并在不斷發(fā)生變化，當(dāng)敏感程度不一的數(shù)據(jù)參與到生產(chǎn)經(jīng)營，與企業(yè)內(nèi)各部門、外部第三方交換合作，參與數(shù)據(jù)處理的角色更加多元，數(shù)據(jù)安全防護(hù)和管理的難度都在大幅提高。

記者：您是如何看待政企數(shù)據(jù)安全治理和數(shù)據(jù)安全防護(hù)的？

周杰：當(dāng)前，加強(qiáng)數(shù)據(jù)安全治理已經(jīng)成為維護(hù)國家安全的戰(zhàn)略需要。對政企單位來說，數(shù)據(jù)安全治理是進(jìn)行數(shù)據(jù)安全防護(hù)的重要基礎(chǔ)。政企數(shù)據(jù)安全治理建設(shè)涉及從決策層到技術(shù)層，從業(yè)務(wù)部門到IT 部門等多個部門的溝通協(xié)同，絕不能僅靠單個或多種產(chǎn)品、解決方案的簡單“堆積”，而是一種自上而下系統(tǒng)性的解決方式。其中還對匹配性、目標(biāo)和宗旨等有很高的要求，確保有序、暢通、合理、有效地進(jìn)行數(shù)據(jù)資產(chǎn)安全管理和有效保護(hù)。

網(wǎng)絡(luò)和數(shù)據(jù)安全方面的保障能力在不斷提升，但現(xiàn)階段仍存在數(shù)據(jù)現(xiàn)狀不清晰、數(shù)據(jù)權(quán)責(zé)不明確、安全制度策略不完備、防護(hù)能力不匹配等問題。

安全問題實際是“人+方法+工具”協(xié)同作用的結(jié)果，這需要對企業(yè)的各方面數(shù)據(jù)和流程進(jìn)行詳細(xì)梳理，包括業(yè)務(wù)流程、關(guān)鍵數(shù)據(jù)、權(quán)責(zé)關(guān)系、數(shù)據(jù)權(quán)限、功能權(quán)限和角色權(quán)限等，并對這些環(huán)節(jié)的關(guān)鍵風(fēng)險點進(jìn)行分析，最終給出一個貼合業(yè)務(wù)的數(shù)據(jù)安全解決方案。數(shù)據(jù)安全治理的首要目標(biāo)是找到數(shù)據(jù)安全和數(shù)據(jù)業(yè)務(wù)的平衡點，讓雙方的利益得到最大范圍的保障，既要把握好業(yè)務(wù)之間的緊密聯(lián)系，又要兼顧效率與穩(wěn)定可靠的平衡，其中的互通性和復(fù)雜性可見一斑。因此，數(shù)據(jù)安全治理體系的建設(shè)，必須與其業(yè)務(wù)流程產(chǎn)生強(qiáng)關(guān)聯(lián)。此外，還需要對數(shù)據(jù)進(jìn)行分類劃分，以及根據(jù)重要程度進(jìn)行分級，對不同位置、不同形式和不同級別的數(shù)據(jù)實行不同的保護(hù)策略。

需要強(qiáng)調(diào)的是，數(shù)據(jù)的價值在于流動。而數(shù)據(jù)一旦產(chǎn)生流動，很容易走向失控，因此，在數(shù)據(jù)流動之前掌控數(shù)據(jù)，控制流動路線，以便當(dāng)數(shù)據(jù)流動失去控制之后，至少要求完成流動溯源或?qū)崿F(xiàn)流動限制。具體可以從4 個方面來操作：一是要及時發(fā)現(xiàn)敏感數(shù)據(jù)并進(jìn)行分級分類；二是在數(shù)據(jù)流動之前進(jìn)行安全措施保護(hù)，使其在流動中保持?jǐn)?shù)據(jù)安全性，溯源控制的主要手段有脫敏、加密和水??；三是數(shù)據(jù)提供方通過制度性的審計檢查推動數(shù)據(jù)接收方合規(guī)使用數(shù)據(jù)；四是通過流動可視化來更好地發(fā)現(xiàn)可能存在的數(shù)據(jù)流動風(fēng)險。

另外，數(shù)據(jù)安全問題表面上是技術(shù)層面問題，但實際上屬于管理層面，核心在于“人”，技術(shù)與制度都是“人”的工具。這就必然離不開人的安全管理。實際上，所有的安全問題從本質(zhì)上都可以歸結(jié)為人的安全問題，所以，對于人的安全管理成為數(shù)據(jù)安全的核心課題。

記者：政企用戶數(shù)據(jù)安全建設(shè)常見的問題有哪些？

周杰：在美創(chuàng)科技服務(wù)的大量客戶中，我們能看到用戶數(shù)據(jù)安全建設(shè)的一些共性問題。

一是不清楚數(shù)據(jù)資產(chǎn)，無法有效保護(hù)。不少企業(yè)困境是很難摸清楚數(shù)據(jù)資產(chǎn)家底，由于系統(tǒng)過多、數(shù)據(jù)過雜，無法有效統(tǒng)計和獲知數(shù)據(jù)資產(chǎn)的真實情況。例如，企業(yè)有多少數(shù)據(jù)，有哪些數(shù)據(jù)，數(shù)據(jù)價值如何，這些數(shù)據(jù)分布在什么地方，最有價值的數(shù)據(jù)存儲在什么位置，企業(yè)數(shù)據(jù)的歸屬和責(zé)任人是誰等。也有企業(yè)雖然進(jìn)行了數(shù)據(jù)資產(chǎn)盤點，但缺乏大數(shù)據(jù)平臺支撐，或者沒有運用科學(xué)合理的分析方法，導(dǎo)致多個來源數(shù)據(jù)的質(zhì)量不高，數(shù)據(jù)挖掘和分析在質(zhì)量上大打折扣，結(jié)論的有效性和可用性也被大大削弱，甚至成為垃圾數(shù)據(jù)資產(chǎn)。

這就要求第一階段對數(shù)據(jù)治理工作展開調(diào)研，摸清楚企業(yè)數(shù)據(jù)資產(chǎn)的分布、數(shù)據(jù)的質(zhì)量、數(shù)據(jù)的管理現(xiàn)狀、數(shù)據(jù)應(yīng)用需求等情況。該階段的工作目標(biāo)是確定數(shù)據(jù)治理項目的目標(biāo)和范圍，評估數(shù)據(jù)治理成熟度，確定改進(jìn)內(nèi)容和方向并與客戶達(dá)成共識。然后，按照業(yè)務(wù)主題進(jìn)行數(shù)據(jù)資產(chǎn)的梳理，并制定數(shù)據(jù)資產(chǎn)的標(biāo)準(zhǔn)。包括：數(shù)據(jù)資產(chǎn)的數(shù)據(jù)含義、數(shù)據(jù)來源、存儲路徑、管理部門、管理人員等，其中對核心數(shù)據(jù)資產(chǎn)要進(jìn)行重點梳理，并進(jìn)行分級分類。

二是如何進(jìn)行數(shù)據(jù)分類分級，也是我們接觸到的高頻問題。數(shù)據(jù)分類分級事實上是一項復(fù)雜的工作，作為數(shù)據(jù)安全治理的前置性基礎(chǔ)項目，分類標(biāo)識要全、逐步定級要準(zhǔn)、分級管理要細(xì)，才能更好地實現(xiàn)數(shù)據(jù)安全精準(zhǔn)化防護(hù)，但既要符合國家要求，又要結(jié)合行業(yè)數(shù)據(jù)特性，很難通過“上產(chǎn)品”的方式解決，這也是目前企業(yè)單位用戶面臨的一大難點。美創(chuàng)科技在實踐中形成“六步走”的數(shù)據(jù)分類分級整體方案，通過“咨詢服務(wù)+技術(shù)工具”的方式來配合完成數(shù)據(jù)分類分級的最終落地。

例如，美創(chuàng)科技咨詢團(tuán)隊在前期對企業(yè)數(shù)據(jù)戰(zhàn)略規(guī)劃、數(shù)據(jù)建設(shè)情況、業(yè)務(wù)需求、信息安全環(huán)境進(jìn)行深入調(diào)研，分析企業(yè)數(shù)據(jù)管理現(xiàn)狀，得出數(shù)據(jù)資產(chǎn)狀況，整理形成業(yè)務(wù)系統(tǒng)清單，輸出業(yè)務(wù)平臺調(diào)研結(jié)論等。在實施以及后續(xù)長期動態(tài)運營階段，為提升數(shù)據(jù)發(fā)現(xiàn)和分類分級的準(zhǔn)確性和規(guī)范性，縮短項目周期。與傳統(tǒng)分類分級做法相比，美創(chuàng)科技自研的暗數(shù)據(jù)發(fā)現(xiàn)和分類分級平臺集合自動掃庫掃表、模型匹配、數(shù)據(jù)統(tǒng)計、機(jī)器學(xué)習(xí)等技術(shù)，實現(xiàn)高效率、高質(zhì)量分類分級和持續(xù)化運營。

三是數(shù)據(jù)安全防護(hù)技術(shù)和產(chǎn)品的選擇問題。市面上關(guān)于數(shù)據(jù)安全的產(chǎn)品有很多種，例如數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻等，每個產(chǎn)品都有其特定的功能和特定的應(yīng)用場景。

總的來說，首先，單位在安全建設(shè)中應(yīng)有一個明確的安全目標(biāo)，分層解耦，分步實施，例如，哪些部門、哪些業(yè)務(wù)、哪些數(shù)據(jù)需要達(dá)到什么樣的安全程度，需基于風(fēng)險評估進(jìn)行合理規(guī)劃，避免后期升級難、擴(kuò)展難、重復(fù)建設(shè)甚至推倒重建等現(xiàn)象，從而造成成本的提升，同時，還需平衡好安全與業(yè)務(wù)之間的關(guān)系，不能因安全保護(hù)力度過大影響到數(shù)據(jù)的正常流動和業(yè)務(wù)開展，也不能因業(yè)務(wù)發(fā)展置安全風(fēng)險于不顧，例如數(shù)據(jù)庫加密系統(tǒng)，存儲加密技術(shù)實施復(fù)雜，是否涉及業(yè)務(wù)系統(tǒng)改造？存儲加密技術(shù)實施后，是否影響業(yè)務(wù)系統(tǒng)對數(shù)據(jù)庫系統(tǒng)的訪問，造成嚴(yán)重的性能損耗？

其次，對數(shù)據(jù)全生命周期和具體防護(hù)目標(biāo)場景進(jìn)行安全能力的配置，例如入侵防護(hù)、訪問控制、數(shù)據(jù)脫敏、數(shù)據(jù)加密、水印溯源、防勒索、容災(zāi)備份等。數(shù)據(jù)的價值在于流動，當(dāng)敏感數(shù)據(jù)發(fā)生流轉(zhuǎn)時，要確保安全跟著數(shù)據(jù)走。這時，脫敏就顯得尤為重要，同時需要運用全流量的溯源審計等技術(shù)手段，一旦發(fā)現(xiàn)問題進(jìn)行預(yù)警同時阻斷。加水印也是一種比較典型的技術(shù)手段，可在數(shù)據(jù)泄露前的數(shù)據(jù)載體中隱藏水印標(biāo)記信息。一旦發(fā)生數(shù)據(jù)泄露事件，則可提取水印，進(jìn)而對企業(yè)員工、組織機(jī)構(gòu)等進(jìn)行溯源追責(zé)，一定程度上還可以起到心理威懾作用。

最后，數(shù)據(jù)安全不是一次性投入，而是一個持續(xù)的過程。數(shù)據(jù)安全建設(shè)完成后，用戶需要通過持續(xù)的數(shù)據(jù)安全運營工作使整個過程有效地運轉(zhuǎn)起來，并在運營過程中不斷地優(yōu)化提升。

記者：請您詳談一下美創(chuàng)科技零信任數(shù)據(jù)安全體系架構(gòu)。

周杰：美創(chuàng)科技是國內(nèi)較早將零信任理念應(yīng)用于數(shù)據(jù)安全領(lǐng)域的廠商，2015年，美創(chuàng)科技正式形成了零信任數(shù)據(jù)安全架構(gòu)1.0 版本，經(jīng)過5年的成熟實踐，2020年，美創(chuàng)科技零信任架構(gòu)升級為2.0 版本，形成以資產(chǎn)、入侵、風(fēng)險3 個視角為核心，以零信任、入侵生命周期、風(fēng)險治理為理論指導(dǎo)的新一代數(shù)據(jù)安全架構(gòu)體系。

零信任是美創(chuàng)科技數(shù)據(jù)安全產(chǎn)品體系的核心。目前，數(shù)字化轉(zhuǎn)型業(yè)務(wù)的開展，數(shù)據(jù)由靜轉(zhuǎn)動，數(shù)據(jù)安全場景、保護(hù)對象都在發(fā)生變化，但傳統(tǒng)邊界安全保護(hù)的目標(biāo)并沒有具體所指，這就導(dǎo)致傳統(tǒng)防護(hù)與現(xiàn)有安全防護(hù)需求的失衡，在這一背景下，零信任是破解這些挑戰(zhàn)的最佳選擇。在美創(chuàng)科技基于零信任思路構(gòu)建的數(shù)據(jù)安全防護(hù)體系中，充分考慮流動數(shù)據(jù)安全防護(hù)，以數(shù)據(jù)安全治理為前提，形成數(shù)據(jù)資產(chǎn)清單；結(jié)合零信任體系和安全治理成果，基于數(shù)據(jù)流轉(zhuǎn)路徑和現(xiàn)有的數(shù)據(jù)訪問原則和控制策略，規(guī)劃數(shù)據(jù)安全策略；繼而導(dǎo)入零信任架構(gòu)，通過全局?jǐn)?shù)據(jù)安全態(tài)勢感知、數(shù)據(jù)庫審計、數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)庫加密、數(shù)據(jù)備份恢復(fù)等技術(shù)手段，對數(shù)據(jù)全生命周期進(jìn)行多方位防護(hù)。

在美創(chuàng)科技零信任數(shù)據(jù)安全實踐中，資產(chǎn)和身份是兩個核心支撐點：一方面，美創(chuàng)科技從資產(chǎn)視角出發(fā)，以數(shù)據(jù)資產(chǎn)保護(hù)為核心訴求規(guī)劃防護(hù)體系，通過重新定義資產(chǎn)的邊界來實現(xiàn)進(jìn)一步的治理與管控，例如，明確訪問資產(chǎn)的行為，建立細(xì)粒度訪問控制模型，定義訪問策略，同時充分認(rèn)識到數(shù)據(jù)流動已經(jīng)成為主要的安全場景之一，采取相應(yīng)的技術(shù)手段（如3A 加密），簡化重要數(shù)據(jù)在不安全的網(wǎng)絡(luò)環(huán)境中存儲、計算和流動的管理難度。另一方面，在圍繞資源建立了訪問控制點后，改變傳統(tǒng)基于位置和賬戶的認(rèn)證和權(quán)限管理體系，結(jié)合人、可信終端、應(yīng)用和賬戶4 個要素，進(jìn)一步實現(xiàn)以身份為中心的訪問控制策略，進(jìn)行持續(xù)信任評估和動態(tài)認(rèn)證授權(quán)。

記者：在數(shù)據(jù)安全治理方面，美創(chuàng)科技有哪些沉淀與創(chuàng)新？

周杰：我們認(rèn)為數(shù)據(jù)安全治理的結(jié)束是數(shù)據(jù)安全運營的開始。目前，我們通過“數(shù)據(jù)安全治理咨詢服務(wù)+數(shù)據(jù)安全管控平臺+數(shù)據(jù)安全產(chǎn)品”的立體方式，真正幫助用戶落地了數(shù)據(jù)安全治理實踐。這個過程在業(yè)界沒有參考，從理論模型到推廣應(yīng)用，美創(chuàng)科技也是一直在摸索、沉淀、改進(jìn)和應(yīng)用。在2021年某燃?xì)夤?、某機(jī)場、某醫(yī)院都得到了很好的反饋。

除了數(shù)據(jù)安全治理，美創(chuàng)科技還有一塊業(yè)務(wù)范圍更大，屬于數(shù)據(jù)治理的范疇。在美創(chuàng)科技看來，安全和成本是制約數(shù)字化轉(zhuǎn)型是否成功的兩大因素：一是數(shù)據(jù)安全是數(shù)字化轉(zhuǎn)型順利進(jìn)行的基礎(chǔ)。數(shù)字化轉(zhuǎn)型背景下，數(shù)據(jù)不再只存在于內(nèi)部網(wǎng)絡(luò)，還會在內(nèi)外部進(jìn)行交換共享，因此面臨更多的安全問題。如果安全不到位，轟轟烈烈的數(shù)字化轉(zhuǎn)型就會在中途“夭折”，走不到終點。二是成本。數(shù)字化轉(zhuǎn)型是不斷探索、不斷迭代的過程，需要消耗巨大的資金成本和機(jī)會成本，這也限制了它的成功率。

對此，美創(chuàng)科技數(shù)據(jù)治理業(yè)務(wù)致力于以靈活、低成本、敏捷交付能力幫助用戶降低數(shù)字化轉(zhuǎn)型成本，提高用戶數(shù)字化轉(zhuǎn)型的成功率。目前，美創(chuàng)科技已經(jīng)形成數(shù)據(jù)管理、數(shù)據(jù)流動、數(shù)據(jù)應(yīng)用、數(shù)字化交付服務(wù)4 大完整產(chǎn)品線，一站式提供數(shù)據(jù)發(fā)現(xiàn)、分類分級、集成、治理、服務(wù)、資產(chǎn)運營等核心能力，核心產(chǎn)品數(shù)據(jù)治理3 件套——數(shù)據(jù)資產(chǎn)管理平臺、暗數(shù)據(jù)發(fā)現(xiàn)和分類工具、數(shù)據(jù)支撐平臺，在可操作性、全交互可視化、數(shù)據(jù)處理智能化、安全性等多方面的能力得到不斷優(yōu)化，且完成在各類主流物理環(huán)境、云環(huán)境、大數(shù)據(jù)基礎(chǔ)層面的靈活適配。目前，該業(yè)務(wù)主要聚焦醫(yī)療衛(wèi)健、物流交通兩大垂直行業(yè)，并取得很好的成績，例如在港口，我們已經(jīng)先后為寧波舟山港、深圳港、廣州港、青島港、天津港、廈門港、大連港、北部灣港等國內(nèi)港口客戶提供數(shù)據(jù)治理、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全建設(shè)等解決方案。