關于數據安全治理，必須要知道的內行經驗

數據安全的核心問題是“動態監管”、“動態維護”、“動態管理”。技術上的check list是做不了這個事情的，必須是運營+管理+評估的體系，才能把數據安全運行起來，才能看到效果。

數據安全治理服務方案要快速實踐和落地，幫助用戶簡單入門并且快速見到效果，然后慢慢把復雜的體系建立起來。

數據安全治理的核心框架，以【技術】為底座，強調對數據安全進行【管理】和常態化的【運營】，還有我們在《數據安全治理白皮書4.0》中提出的【評估】——數據安全的本質是自評加外評構造起來的整體的合規體系。

數據安全治理到什么程度是OK的？不同的行業，不同的階段有一定的區別，技術體系、管理體系、評估體系、運營體系四方面做好了，基本就完成了初級階段的任務。

數據安全在我們國內也并不單單是一個合規的問題了，而是合法、合規、合理的新趨勢。

——安華金和副總裁何晉昊

數據安全治理是近期的熱詞，具備非常活躍的市場需求。安華金和副總裁何晉昊是數據安全治理落地方面的專家，他具備非常豐厚的技術和實踐經驗，今天我們邀請到了何總，他慷慨地將數據安全治理的一些落地經驗，以及各行業客戶不同實施特點分享給了我們。

何晉昊，安華金和副總裁兼工程技術中心總經理，擁有15年以上信息安全技術從業經驗，曾歷任數據安全頭部企業技術服務中心總經理、副總裁等職務，主要負責核心產品研發、重大項目交付、咨詢服務和行業標準制定等工作，對數據安全領域有著開闊的市場前瞻思維，技術服務及相關實踐落地經驗豐富。

數據安全為何火？

國家推動數據流通市場態度堅決

 數說安全 ：何總好。當下數據安全市場非常火，未來市場空間比較大，安全行業的投資人也非常看好。您認為數據安全政策驅動還是需求驅動、還是產品技術驅動？

 何晉昊 ：三方面的驅動都存在，政策和需求主要驅動的是用戶側，產品技術主要驅動的是供給側。

政策首先是國家戰略層面上的考慮，在數據作為生產要素進行市場化配置的過程中，政策指導是供給側改革的一個最重要的支柱。

“數據的流通、利用和發展”被作為一個市場提出，國家要推動這個市場的建設必須要考慮安全問題，東數西算、各地在建的數據交易市場……在這些背景之下，“數安法”、“個保法”、“網絡安全法”三駕馬車陸續出臺。數據安全法為數據市場的構成搭建了規則和框架，它是一個非常頂層的法律，網信辦在這基礎上出臺了相關條例。此后，監管單位、評估機構、廠商各自都有要承擔的責任。

數安法和個保法從立法、草案征求意見到實施非常快，僅3年的時間，可以見得國家在推動數據流通市場的發展上意志非常堅決， 這就叫大勢所趨。我覺得這是市場很熱，投資人非常看好的一個根本原因。

發揮數據價值已是核心剛需，

數據安全需求活躍

 何晉昊 ：當然用戶也非常重視，數據的價值在用戶層已經達成共識。

數據是一種最為奇特的生產要素，它沒有實體，就是一串比特，一串0101，用戶最先需要知道的是我有哪些數據？然后要考慮怎么使用它。數據產生的價值越來越大，使安全成為了用戶真正的剛需，想把數據真正地用起來，就一定要考慮安全問題。無論是運營商、銀行、政府等各行各業，現在對于數據安全都是非常重視。

再說技術。數據由人類活動產生的，在虛擬世界里存放，對于數據的保護、承載和使用是一些IT技術問題，包括數據的識別、使用、交換、共享等。

在這些場景和活動上對數據提供相應的保護工作，需要很強的技術門檻和創新能力。比如說做純粹的安全管理系統，可能看的是業務沉淀，但是數據安全場景多、需求多，要不斷創新性的運用技術去解決各種各樣的問題，做好數據的發展和保護之間的平衡。

從我多年做數據安全的經驗來講，我對數據安全市場的未來一直抱有信心，我也非常喜歡這個賽道，數據安全跟傳統網絡安全是有區別的，數據跟業務緊密結合在一起，應該成為用戶基礎和核心的系統——他是一種業務系統，不是一個純粹的安全管理系統。

 數說安全 ：當下法律法規和客戶需求之間的耦合度如何？

何晉昊：在客戶的感受上，前些年（10年前）大概是無法可循無規可依的狀態，后面又變成了法太多規太多，這是一個必然的發展過程。我在通讀完相關法律法規之后認為要求都是合理的，確實是在解決數據發展中的關鍵問題。“數安法”是框架，“個保法”是紅線，“網絡安全法”是基礎和保障。每個行業來也有大量行業級的法規和條例，這是一個自上而下構建的法規體系。

數據安全未來法律法規建設體系的特點是，每個行業有自己真正可以落地的標準和法規體系，各行業用戶執行對應行業相關的規定，這個事情需要長時間的努力去做。在實際落地過程中，我認為金融行業法規的構建落地是比較迅速的。安華金和也參與了很多數據安全國家標準和行業標準等規范的制定。

產品堆疊無療效，

數據安全治理怎么解決問題

 數說安全 ：何總，近期安華金和發布了《數據安全治理白皮書4.0》，數據安全治理的思路與從前的數據安全產品堆疊相比有哪些明顯的升級之處？

何晉昊：數據安全治理（DSG）是Gartner提出的，安華金和最先開始在國內引入，數據安全治理不是憑空發明創造出的， 是數據擁有者或數據管理者自己發現，光靠堆疊簡單的產品是沒有辦法實現“數據的保護利用”效果。

例如客戶采購了一個數據庫的審計設備，過段時間就會發現無法持續下去。為什么？因為數據庫里面的一些策略配置根據業務的變化要進行不斷調整，數據庫每天都在發生新的變化，比如一個新上線的業務系統就會生成一個新的數據庫，有對應新的人來使用這個數據庫，新使用者和舊使用者的業務角色不同，對于數據的用法和分類分級機制也不同……所以如果你把數據庫審計當成防火墻一樣，只是根據網絡結構配上一堆策略是不行的，審計類的設備要想用好并達到長期效果，就要不斷去進行運維和管理。

對于用戶行業級的主管部門而言也有這個問題，行業在快速變化，每年各種各樣的分類分級策略的框架和規則要不斷去檢查和更新，不能按照一個技術清單式地檢查來做，要持續進行更新和評估。哪怕同樣是銀行的業務場景，工商銀行和交通銀行內部系統結構就不同，使用人員的業務也有區別，可能是80%和20%的區別，八成是共性，二成是特色。

同樣監管層也面臨這個問題，監管不是簡單的評估技術合規，而是在監管“管理合規”和“運營合規”，而且這個過程是動態的。

所以無論從用戶使用層、行業主管層還是監管層，數據安全這面里的問題都是“動態監管”、“動態維護”、“動態管理”。技術上的check list做不了這個事情，它必須是運營+管理+評估的體系，才能把數據安全運行起來，才能看到效果。

實際上這就是數據安全治理的核心框架，以【技術】為底座，強調對數據安全進行【管理】和常態化的【運營】，還有我們提出的【評估】——數據安全的本質是自評加外評構造起來的整體的合規體系。

簡單堆疊安全設備對于用戶來說是很痛苦的，買了一堆設備，如果不每天維護，沒有統一的管理，并不產生療效。

服務模塊化，幫用戶找好切入點，

快速實踐快速見效

 數說安全 ：數據安全治理方案定制化的情況會更多嗎？

 何晉昊 ：在實際工作當中我們首先認為數據安全治理方案是一個比較龐大的系統，是一種認識論和方法論。在這個基礎上會為用戶去做入門級的簡化，找一個適合客戶的切入點，這么一個復雜的系統，實際上需要跟用戶的實際情況結合到一起，包括預算問題，時間問題等。

不同的客戶切入點不一樣，但無論從哪個口子入，最終的目標都是要完成數據安全的治理體系，把數據保護真正的效果做起來。

比如安華金和強調產品的平臺化，產品之間以數據為核心進行聯動，幫助客戶找到一個好的切入點，然后通過類似于拼圖的方式，把用戶數據安全治理的框架逐漸拼出來。我們的服務方案強調快速實踐和快速落地，幫助用戶入門并且快速見到效果，然后慢慢的把復雜的體系建立起來。

我們把技術管理、運營評估做成模塊化、產品化和標準化的一塊塊拼圖，最終拼成的整體框架。安華金和現在強調的是由標品提供商變成解決方案提供商，這是我們經過大量實踐總結出的最優的把數據安全治理落地到客戶業務中的方式。

數據安全治理的核心特點：

在變化中實現合規

 數說安全 ：用戶引入了數據安全治理之后，是不是就不用擔心數據安全問題了？就可以不用采購其他數據安全產品了嗎？

 何晉昊 ：這個問題從數據安全的角度上來看有點絕對。

數據安全治理是一個動態發展的過程，它對用戶的價值主要體現在幫助用戶在變化中實現合規。在數據安全領域，政策、法律法規體系正在一個快速建設的過程中；用戶的業務和數據的種類和數量也在快速的變化中；相關的技術也是在快速的變化中；唯一不變的就是“變化”，所以數據安全治理體系的核心特點就是應對變化。

對于用戶來說，一旦走上了數據安全治理的道路，就要一直走下去，只要他的單位還在生命周期里，就要去應對變化和挑戰。數據安全在我們國內也并不單單是一個合規的問題了，而是合法、合規、合理的新趨勢。所以數據安全靠一個東西就想達到一個上限，我認為是不可能的，它一定是越來越深入，越來越復雜，越來越有意思的一件事兒。

金融、運營商、企業、政府

數據安全需求活躍

 數說安全 ：哪些行業的客戶對數據安全治理的需求是最強烈的？

 何晉昊 ：首先一定是金融行業。金融行業現在在做的事情是金融科技，其核心強調的是金融服務能力的開放與共享，底座其實就是金融數據的開放與共享，該行業用戶對數據安全高度重視，而且推動的非常快。無論是銀行類客戶，還是非銀客戶，類似券商、基金、保險等，對數據安全目前的需求都非常的活躍。

第二就是運營商，運營商體系也是高度重視數據安全的。

第三就是各種各樣的企業，咱們國家企業的品類太多了，就不一一來盤了，工信部對企業的數據安全管理非常的重視。對于企業用戶自己來說，數據是他自己的生產資料，承載了他的核心價值，是維持競爭力的一個保障，所以企業客戶也是需求非常強的客戶種類。

上面三個行業的客戶我認為是非常積極和主動地在做數據安全，其他行業目前也是遍地開花的趨勢，實際上目前國內的情況是所有行業都在考慮數據安全，包括政府，大家都很重視這個問題。

銀行客戶和企業客戶，

做數據安全有什么明顯不同？

 數說安全 ：安華金和平時做的最多的是金融行業嗎？

 何晉昊 ：我們主要是金融、企業、還有政府。

安華金和一直以來堅持技術創新，我們的產品在很多行業客戶的數據安全建設工作中都成為了標配，大家都非常認可這個品牌。金融、企業是我們做的最多的領域，還有一部分是政府行業。

 數說安全 ：在具體的實踐中，安華金和也做過很多案例了，能否舉例給大家介紹一下不同行業做數據安全的側重點有什么不同？

 何晉昊 ：先以銀行客戶為例。

首先，除了三法三條例體系之外，銀行的行業規范體系比較完整，行業數據安全遵從性比較強，基本都是按照行規來構思的。

第二銀行業IT基礎和人員素質比較高，銀行用戶非常清晰自己用數據安全產品要達到什么樣的效果。

第三，銀行用戶實際上對咨詢類服務要求很高，一旦開始著手做數據安全的建設，用戶希望的是長期的合作和服務，更加注重建立治理體系。所以銀行用戶更強調規劃，強調落地，強調服務，強調治理跟規范的匹配程度，這是銀行業做數據安全的特點。

那么我們再看下企業類用戶。

其實企業這個維度太宏觀了，企業屬于一種組織類型，里面分為很多行業。制造業也好，電網也好，互聯網也好業務數據是完全不同的。所以企業的問題主要是缺乏明確的行業規范體系，現在工信部也在做，但我覺得這會是一個工作量非常大的工程。

我們在做企業客戶的時候強調的就是要想辦法幫助企業客戶快速見效果，然后一步步做升級。比如企業可以從個人信息入手，這個比較能夠形成共識；那么比較大的分類分級可能就不是企業用戶優先要處理的問題，但銀行客戶可能上來就要優先做相應的分類分級。

數據安全治理如何落地？

明確建設目標，找好切入點

 數說安全 ：您剛才提到銀行業客戶對自己數據安全治理目標非常清的，您是否可以給一些想要做數據安全治理的客戶描繪一下，數據安全治理要相對治理到一個什么樣的程度算是基本治理成功了，他們的目標應該是怎么樣的？

 何晉昊 ：數據安全治理到什么程度OK？不同的行業，不同的階段有一定的區別，我分階段來總體來總結一下。

數據安全治理初級階段目標：

首先，技術體系：核心的管理手段跟技術能力要匹配，不能紙上談兵。比如你制定了一個管理動作，你的技術體系一定要能支撐住。

第二，評估體系：評估體系要能夠自動化，就是通過相應的布置，包括探針、平臺等手段，形成自動化的評估體系。

第三，管理體系：管理體系與評估體系之間需要聯動，管理體系的制定與更新，要可以根據評估的結果來進行不斷地優化。

第四，運營體系：技術體系至少要實現平臺化，除了能力化之外，要有一個平臺統一地去維護這些能力，依靠這個平臺來支撐評估和管理體系。

我覺得這四點做完就可以叫完成了數據安全治理的初級階段，接下來的中高級階段實際上就是不斷地去加強，去優化和提升它，不斷地去做好運營。

實際操作中用戶可先把業務分為核心業務、重要業務、一般業務；先從核心業務開始做初級階段的建設，后續中高級階段就可以不斷地擴張到重要業務和普通業務；或者選擇一個網絡域先來做，比如生產網絡，辦公網絡或者開發測試網。我覺得數據安全治理體系聽起來非常復雜，但選好落地點之后，可以先在一個域里達到我剛才講的4個目標，4部分再聯動起來，可以叫數據安全治理體系的成功落地。

安華金和在數據安全治理方面的優勢是什么？

 數說安全 ：安華金和在數據安全治理上有什么特點和亮點，有什么差異性可以讓客戶一下從萬花叢中選擇到我們。

 何晉昊 ：第一，安華金和對數據安全的理解是比較深刻和先進的，從我們今年更新的slogan可以看出“讓數據使用自由而安全”。這種理解對客戶來說很有吸引力，作為供應商，我們帶給用戶的觀點應該首先是相對客觀和公允的，數據的價值在于流動，認識統一了之后，后續的行動步驟才能做到有序，否則認知錯誤后續的東西可能就都偏了。

第二，安華金和具備非常強的產品能力，我們在業界10多年以來一直做數據安全，在數據庫應用的領域的產品能力具備絕對優勢，剛剛我們也討論到數據安全治理體系的核心基礎就是各種安全能力，所以一定要具備很強的技術和產品能力才可以真正幫助客戶做好治理。我們2020和2021連續兩年都是Gartner的Market Guide for Data Masking（數據脫敏市場指南）中唯一的中國數據安全企業，今年我們也是入選了Gartner中國數據安全代表廠商名錄。這都是研究機構對我們的一些認可。

第三，安華金和非常強調服務精神和實施能力，剛剛也為大家介紹了很多案例，我們的服務能力和動手能力很強，這對做數據安全很重要。客戶的數據和業務是緊密耦合的，變化非常快，如果在這個過程中缺乏服務精神和落地能力，很多項目會非常難做。我們有很多大銀行客戶，會不停根據銀行業務的發展和變化更新我們的服務體系，本身銀行對供應商服務能力的要求就很高，如果某家企業做了很多銀行的客戶，理論上就可以判斷它的服務能力是很有保障的。我們也有完善的內部培訓機制，保障我們能夠持續地保持我們的服務能力。

給客戶的建議

 數說安全 ：您可以給想做數據安全治理的客戶一些建議嗎？

 何晉昊 ：結合我們之前發現的用戶數據安全落地的難點，我提出幾點。

第一，思想共識。用戶真的要先想一想什么是數據安全，它跟傳統的安全思想是有很大不同的。數據安全的意義和價值是什么？數據安全到底是做什么，解決什么問題？數據安全法其實上來就告訴我們了，數據的發展利用與安全保護叫數據安全。

在和客戶交流的過程中，很多問題來源于這點，客戶經常問，怎么才能合規？來就讓我列個類似的清單。咱們的正本清源，客戶意識上得弄明白什么是數據安全，指望讓我們上幾個設備就把這事兒搞定，我認為這是不可能的。

思想上的轉變是需要一個過程的，也不是和用戶聊幾次就可以了，很多情況下需要在實戰的過程中慢慢滲透給客戶。

第二，用戶要考慮配套的組織機構和編制，數據安全治理需要一個“高級領導”的掛帥，數據安全本身是跨業務的，一定需要整合。我們見到很多案例，做的不錯的客戶往往都是一把手親自在推進這個工作，他能把各個業務部門協調起來，我覺得這個也很重要。

第三，也是我特別想跟客戶講的，數據安全這事兒一定要認識到它的長期性和復雜性，它不是能一蹴而就的。我們幫助客戶做建設的時候，要做好“建設”和“療效”之間的平衡，既不可能上來就做成，你也不能說是三年以后才能見成效，那這事兒也是做不成。

第四，數據安全治理體系在技術和結構上的考慮需要慎重，不是說聽起來很新，很先進的東西就能好用，不能太激進或者太冒險了，要審慎的選擇新技術，考慮到新技術和客戶本身技術能力的組合。

先說上面四點，安華金和跟客戶的交流非常真誠，我們不吹不黑，明確地告訴客戶存在的問題和困難，然后組織一套方法來幫助客戶渡過困難。適合用戶的路子，才是好路子。

（2022.6.30 數說安全報道）