保旺达刘险峰：数据安全建设需要构建合规+安全双轮驱动的新生态

点击蓝字·关注我们

AQNIU

访谈嘉宾：刘险峰

分析师：王剑桥

记者：石益凡

随着数据安全上升至国家层面，开展数据安全建设再也不是一件可以“得过且过”的事情，保障数据资产安全已经成为现代企业管理者的普遍共识。然而很多企业在建设实践中却发现，随着各种数据安全防护产品应用增加，企业的数据安全问题仍然存在，而数据安全防护的运维效率却不断降低。

各类数据安全事件为何层出不穷？数据安全防护真是一个无解的难题吗？企业新一代数据安全能力建设应该如何驱动？带着以上问题，本期牛人访谈特别邀请到国内数据安全解决方案厂商保旺达公司副总经理刘险峰，就数字化时代企业如何高效开展数据安全建设展开讨论。

刘险峰认为：满足合规要求只是企业数据安全建设的基础，构建”合规+安全“双轮驱动的体系化数据安全整体防护方案，以合规驱动牵引数据安全意识升级，以安全驱动防护能力提升，才可以为企业数据安全建设赋予新动能。

刘险峰

江苏保旺达软件技术有限公司副总经理兼北京分公司总经理，曾任中国联通集团首位信息安全专家、深圳国华网安科技股份有限公司(000004.SZ)CTO、北京智游网安(爱加密)科技有限公司CTO，VP、中国联通大数据公司安全与合规部总经理。工信部信息安全标准主要编写人之一、中国信息通信研究院互联网新业务特聘专家、中国信息安全中心注册信息安全专业人员（CISP-PIP）、国际ISO27001标准信息安全主任审核员，国际项目管理专业人员（PMP），国家计算机程序员认证，工信部网络安全电子取证及风险评估师。

安全牛

我们看到，包括保旺达公司在内的一些数据安全服务商正在积极推动“安全+合规”双轮驱动的数据安全建设，这可以给企业用户带来哪些价值？

刘险峰

目前企业数据安全建设出发点主要有两个，一个是合规驱动，一个是安全风险驱动。在过去的很长一段时间里，数据安全建设的合规要求比其他网络安全更高，甚至可以说是合规性监管要求推动了我国数据安全产业的发展规模和方向，尤其是在《数据安全法》、《个人信息保护法》、《密码法》这些国家级法律法规颁布实施之后。

从社会和民众的角度来看，他们最关心的是个人信息泄露和隐私保护等常见的安全问题。如果企业数据安全工作没做好，不仅会影响企业自身，还有可能侵犯公民隐私，影响国家安全。因此，如果仅从安全风险驱动的角度来开展数据安全建设，有部分企业就会从自身的利益和风险出发，但忽略公民权益和国家风险，这样会让数据安全建设失去战略方向。

但是如果仅从合规驱动来做数据安全建设，又可能导致数据安全建设和企业的实际业务流程、安全需求脱钩，不仅不能解决企业实际的数据安全问题，有可能还会对企业正常的生产运营产生负面影响，导致数据安全合规体系与实际数据安全防护体系两张皮，无法有效的运营流转和闭环。如果合规体系不能有效闭环和运营流转，久而久之就必然僵化滞化，最终沦为一个摆设或者简单的合规数据填报系统。

所以企业的数据安全建设必须是合规和安全双驱动，并做好两者的有效融合和闭环运转，做到既能满足监管机构对数据安全监管要求，又能够解决企业的实际数据安全问题，防范数据安全风险，形成闭环的数据安全运营体系，能够有效运营并持续改进。

安全牛

企业在开展数据安全建设时，合规需求和安全需求的主要差异点是什么？如何实现数据安全合规建设和安全需求建设的有机融合？

刘险峰

我们可以认为，数据安全的合规建设是自上而下推动的，是国家及监管机构对企业进行数据活动的安全要求；而安全风险驱动因素是自下而上产生的，是企业内部防范安全风险事件，防止数据泄露的安全需求。安全合规需求提供了数据安全防护的底线，而安全风险防护需求提供了进一步针对企业自身业务的防护要求。

数据安全双轮驱动的理念就是要将合规驱动和安全驱动这两个主要驱动点进行有效融合，在管理上和技术上做好上下对接和贯通，最终形成一个能够闭环且有效运营的整体数据安全体系，在满足监管机构对数据安全监管要求下解决企业的实际数据安全问题，防范数据安全风险。

安全牛

根据您的应用实践，双轮驱动的数据安全建设能否在企业中有效落地？

刘险峰

对于企业而言，如果要让双轮驱动的数据安全建设真正落地，首先需要深入了解国际和国内有关于数据安全的法律法规和监管要求，基于自身业务范围的情况确定适用的法律法规和监管要求并对其进行逐条解读和拆解，形成企业法律法规遵从性目录，定期根据新的法律法规进行调整和更新，这是双轮驱动、融合建设的起点。

其次是进行数据安全风险评估，主要发现两类风险，第一类是合规性风险，哪些法律法规遵从性目录不符合或者没有满足要求；第二类是实际数据安全风险，即目前企业网络和信息系统存在哪些漏洞和数据泄露的风险点，如果不整改就可能发生安全问题或者数据泄露风险。

双轮驱动落地的关键步骤是针对每个数据安全风险制定整改措施，梳理、归并和融合各个细项的整改措施，在企业实际的整体数据安全防护框架下形成整体数据安全整改方案。

最后根据评估后形成的数据安全整体解决方案，指导企业的数据安全体系建设，做好统筹规划、分步实施，优先解决热点监管问题、合规问题和主要安全风险。对建设完成后的数据安全体系进行评估，看是否消除了合规风险，解决了实际安全问题，然后形成有效的数据安全运营，针对合规风险和安全风险实施周报、月报等有效监督手段，并能够持续运营和改进。

安全牛

对各种类型的数据资产进行分类分级，是开展数据安全保护的重要前提，同时也是一个关键挑战。企业在新一代数据安全能力建设中，应该如何做好数据资产的分类分级工作呢？

刘险峰

分类分级不仅仅是数据安全建设的基础，也是数字政府、企业数字化转型的基础。为了保障数据要素能够更高效的流动和共享，在确保安全的基础上充分发挥数字红利，须先对数据资产进行分类分级和相应的标识。

企业想要做好数据的分类分级首先要明确自身主营业务和分类分级的目的，摸清企业当前数据及数据安全现状，了解须遵从的法律法规和监管政策等，作为主要的分类分级原则和依据；其次是数据范围的确认，包含哪些业务、系统、数据库、数据源、数据接口，以上各个单元在业务中的职责和关系以及接口人、联系方式；然后明确数据责任和数据责任安全归属。

接下来就是数据资产的调研和识别发现：通过对系统文档、数据库设计文档分析和各个单元负责人的调研，形成初步的数据资产清单；在此基础上制定和修订数据分类分级管理制度、审批制度、审计制度及工作流程；通过工具和人工结合的方式对数据清单进行梳理，校正失效、遗漏的数据资产，对数据进行探测、扫描、识别、标识，对各类数据进行初步分类；在数据分类的基础上对数据进行初步分级，然后将初步的数据资产清单和数据分类分级表提交各个业务单元负责人进行沟通、签字确认。

最后根据数据安全评估制定数据安全防护措施，建设数据安全管理平台，将分类分级的标准、策略和工作流程电子化、自动化；新增数据资产按照申报、审批、扫描评估、自动识别、人工校正、确认等环节纳入闭环管理；通过数据安全管理平台对数据分类分级进行持续的管理、监控和审计。

目前主流的数据安全厂商基本上都推出了数据分类分级产品，但在实际应用中存在一些差异。保旺达已推出并在不断完善基于AI技术的数据分类分级平台，能够自动、高效、准确的对数据进行分类分级，而且能够满足数据安全的相关法律法规、监管政策和检查考核要求。

安全牛

您认为，企业有效开展数据安全建设的关键性原则是什么？从技术发展上看，未来数据安全防护技术的发展趋势会如何？

刘险峰

企业在开展数据安全建设时，第一个基础性原则就是法规遵从。对于政府、金融、电信、能源等重点组织，数据安全合规和数据安全考核可能是企业做数据安全建设的首要出发点；

第二个原则是要具备实战能力。安全防护工具和手段到底能否抵御住攻击，数据到底如何能够防止被攻击者窃取，或者被窃取后能够有效的发现和溯源都是企业关注的重点问题；

第三个原则是要关注数据安全运营。数据安全是一个高度场景化的细分领域，数据只有在真实应用场景中流动才会产生价值，与组织内部业务粘合度高，数据安全运营体系可以把这些工具和能力有效调度和联动起来，辅助数据安全评估、数据安全检测、数据安全审计等各类数据安全服务，起到数据安全防护效果。

从创新角度和应用场景来说，我们会重点关注两类数据安全相关技术的创新应用趋势。第一个是隐私计算类技术，如果无法解决隐私计算的问题，那么海量的数据就无法真正做到高效的外部流动，目前隐私计算主流技术方案的有效性已经得到了验证，但是在算力和效能方面仍然有待完善；第二个AI技术在数据安全场景下的产品化落地，在各类数据安全应用场景下，如何更有效地通过AI技术解决海量数据安全使用的问题。