诸子云 | 活动：7.27武汉数据安全管理实践主题沙龙 - 新鲜讯息

随着数字化时代的到来，数据已成为企业最重要的资产之一，同时也是国家基础性战略资源。然而，数据风险与数据安全问题也日益突出，给个人、企业乃至国家带来了前所未有的挑战。值此关键时刻，业内提出的数据安全治理成了各个组织的重中之重。数据安全治理不仅关乎数据本身作为重要生产要素的开发利用与安全问题，还与国家主权、国家安全、社会秩序、公共利益等密切相关。

此外，数字化进程的加速和数据量的激增也使得数据安全治理将面临了更多的挑战和机遇。可见，未来的数据安全治理将更加注重制度支撑和技术创新，通过构建全方位、多层次的数据安全防护网来应对各种安全威胁。对企业而言，当然也需要加强内部合规管理和员工培训，提高全员数据安全意识和合规意识，共同推动数据安全治理工作的深入开展。

那么企业到底该如何做好数据安全治理？具体实践时应该围绕哪些重点？安全人员又应该着重关注哪些方面？基于此，诸子云武汉分会于7月27日举办了“数据安全管理实践主题沙龙”。现场专家就数据分类分级、管理流程、解决方案等内容展开了深入的讨论。

本次研讨会由诸子云武汉分会主办，并邀请武汉鑫盟科技有限公司、K11、武汉汉融通数智科技有限公司、武汉安域信息安全技术有限公司、深圳联友科技有限公司、东风汽车财务有限公司、武汉金融资产交易所、长江证券、巴斯夫等安全专家参与。巴斯夫中国数字化中心信息安全高级专家Leaf Pan、天空卫士资深咨询顾问汪超、联友安全专家王晓晓分别进行了分享。

《软件开发安全治理实践》

潘杰

巴斯夫中国数字化中心信息安全高级专家

关于数据安全的话题，来自巴斯夫的潘杰表示：传统的数据安全方案以控制数据流通，削减数据价值为目标，比如数据脱敏，数据库防火墙。然而在数字经济时代，数据的加速流通对数据安全有了更高的要求，传统数据安全方案无疑限制了其发展，在这个背景下，隐私计算，机密计算等先进数据安全解决方案应运而生，它们可以让数据拥有者更放心地进行数据交换与合作。在这个安全新领域，云计算厂商，金融，医疗行业中的头部供应厂商作为数据平台提供商，比传统安全厂商具备更多的先发优势。巴斯夫也在与头部芯片厂商及云计算厂商展开合作。

接着，潘杰也介绍了应用安全在巴斯夫中国区的实践情况。作为全球化工巨头，仅在中国大陆，巴斯夫就拥有几十家独自与合资子公司。巴斯夫在中国共建有26家全资子公司、10家合资企业、30个生产基地、23个销售办事处，同时具有11411名员工。巴斯夫2022年销售总额约为116亿欧元。巴斯夫具备全球网络安全团队，并在世界七个国家拥有125名安全员工。其内部CISO的管理范畴包括了：1、网络安全治理、风险和合规；2、网络安全战略、创新与联盟；3、网络安全审计与修复；4、网络安全防御中心；5、网络安全情报；6、网络安全意识和培训。

潘杰表示，自数字化中心成立以来，组织持续为巴斯夫一体化基地项目及多个智能制造项目贡献前沿数字化力量。中心不断增强巴斯夫在中国的数字化能力，助力业务的数字化转型。在未来，巴斯夫数字化中心将进一步提升其广泛领域的数字化能力，并将包括企业管理解决方案（SAP)、网络安全、人工智能和大数据、云环境下的全栈开发、移动应用开发等技术进一步纳入中国独特的数字化格局。

另一方面，潘杰表示，企业在应用安全治理遇到很多的挑战，一是软件应用数量庞大；二是软件应用供应商的水平参差不齐，很多供应商并无软件安全开发的概念，导致交付的产品存在安全风险，并且对于安全风险的处置不积极；三是公司目前的安全措施更多集中在纸面评估上，缺乏技术手段；四是项目人员往往因为项目周期压力而忽视安全方面的建设。

针对上述困难，巴斯夫南京安全团队一方面完善DevSecOps工具链的选型与导入，以及相关的安全策略，管理流程。另一方面，在巴斯夫中国区推出了托管应用安全服务（Managed Application Security Service），帮助客户（尤其是第三方供应商的项目）实现应用安全管控，让项目经理可以更加专注业务价值。

最后潘杰介绍了巴斯夫的南京数字化中心的情况，并表示公司在信息安全方面正在进行持续投入。巴斯夫在中国的网络安全团队的使命是保护巴斯夫免受网络威胁，并会以可持续的方式保障巴斯夫的数字化之旅。目前团队仍在大力招聘中，期待更多的有志之士加盟。

《数据安全治理技术落地与最佳实践》

汪超

天空卫士资深咨询顾问

汪超表示，数据安全要从治理的角度去考虑。首先在合规层面，甲方要明确国家法规、行业监管等要素；职责归属层面，公司一把手一定是主要责任人，因此所有的职责分配要由上往下逐步确立；至于分类分级该如何细分，要以具体场景来定；事件响应层面，其包含泄漏、损毁、滥用、违规使用、篡改等场景，因此要有相应的响应流程。而天空卫士具备数据安全运维系统，可帮助企业更好地提升数据安全响应能力。

汪超指出，企业要想落实数据安全治理，首先要做好安全自评估，特别是在有第三方参与的情况下，更要做好数据在各方流通时的安全评估；其次，数据安全治理离不开领导层的支持，数据安全最后的逻辑是在有工具实现技术能力的同时，工具一定要基于数据安全管理流程才能更好地实践，而这所谓的数据安全管理流程就是领导层的职责；第三点也是最重要的一点，在管理者的视角，数据安全最终的目标是管理好企业的数据资产，因此做好数据安全资产管理才是重中之重，其主要体现在“资产分布”、“资产外置”、“分类分级”等方面。

汪超表示，数据安全和网络安全的区别在于：1、边界并不相同；2、数据安全内部威胁往往源于员工的失误；3、网络安全基于信任，数据安全基于数据本身；4、应用授权不等于数据授权。

汪超介绍，天空卫士数据安全治理参考的是Gartner的DSG模型，其核心理念是：业务在哪里，安全规划便从哪里开始。因为只有基于业务主导的逻辑，才能更好地衡量数据使用行为以及相应的安全风险。汪超强调，数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。

基于这层逻辑，企业就需要明确的角色分工。首先安全部门关注的是数据安全工具的完整性，而当安全事件产生后，要由业务部门参与在前，风控参与在后。换言之，安全部门是整套工具运维的管理者，而真正的策略设置要由业务部门来牵头。

在分类分级方面，汪超表示，从数据对象来看，结构化数据只占整体数据的20%，而半结构化数据和非结构化数据占80%。数据安全治理的难点就在于各种分散的半结构化数据和非结构化数据。汪超说，数据安全治理的最终目的是保证数据质量，以及对数据有所控制，因此对流动数据的保护才是数据安全治理的重中之重。

汪超介绍，天空卫士DSAG数据安全治理自动化平台具备多种技术栈，比如ASWG、DSG、ASEG、MAG、DLP等等。作为DLP厂商，此DSAG数据安全治理自动化平台的核心能力是深度内容识别。而除了产品能力外，天空卫士DSAG数据安全治理自动化平台还具备服务能力，比如其可通过半自动化的方式帮助用户减少分类分级的工作量；再比如当DLP检测到了安全事件，可通过UEBA的方式帮助用户减轻在运维策略上的压力。

《汽车行业数据安全浅谈分享》

王晓晓

东风联友科技安全专家

王晓晓首先介绍了当前我国汽车行业数据安全监管的要求及车企所处的业务环境，同时分析了Gartner、IDC等机构发布的关于数据安全技术的应用与发展趋势。

王晓晓指出，开展数据安全建设工作之前需要明确数据安全与其他安全领域间的关系，数据安全是始终贯穿于公司业务的，网络安全、车联网安全、工业互联网安全场景下涉及到的数据内容应当遵从公司数据安全统一的管理要求，但是在特定场景下（例如智能座舱内部司乘隐私信息的采集存储安全）也要根据技术实现特点单独规划考虑。

王晓晓表示，车企开展数据安全建设工作不可能一蹴而就，可以先从个人隐私保护、数据出境等国家合规强管控的场景进行，先满足合规要求，再做好企业内部核心重要数据的保护；通过明确数据安全组织、建设数据安全管理体系、构建数据安全技术平台，来逐步实现企业数据安全治理体系的基本框架搭建；同时通过持续开展数据分类分级、数据安全风险评估、数据安全策略管控、数据安全全生命周期运营、数据安全检查评价等活动确保数据安全体系持续有效运转；在过程中还要兼顾数据安全与效率成本等因素的平衡，整体原则是“核心数据以安全为目标，非核心数据以效率为目标”。