omniture

霍因安全觀:聚焦業(yè)務(wù) 安全驅(qū)動(dòng) 數(shù)據(jù)治理的“安全加速器”

2022-04-26 13:53

\" src=
隨著大數(shù)據(jù)時(shí)代的到來,數(shù)據(jù)價(jià)值的深度應(yīng)用成為助力企業(yè)發(fā)展的重要源動(dòng)力。在企業(yè)的數(shù)字化轉(zhuǎn)型過程中,加強(qiáng)數(shù)據(jù)治理、深化數(shù)據(jù)開發(fā)、保障數(shù)據(jù)安全成為釋放數(shù)據(jù)價(jià)值的關(guān)鍵環(huán)節(jié),而強(qiáng)化數(shù)據(jù)安全對(duì)企業(yè)的數(shù)字化轉(zhuǎn)型和升級(jí)起著至關(guān)重要的作用。

基于此,CIO時(shí)代、新基建創(chuàng)新研究院聯(lián)合霍因科技推出”霍因安全觀”系列線上微課堂,詳細(xì)介紹數(shù)據(jù)安全治理的方法論、先進(jìn)技術(shù)、典型案例及實(shí)踐成果,展現(xiàn)數(shù)據(jù)安全治理的全生命周期管理,助力企業(yè)的數(shù)字化轉(zhuǎn)型與升級(jí)。     
                                                                  
在CIO時(shí)代、新基建創(chuàng)新研究院與數(shù)世咨詢聯(lián)手打造的《安全說》直播欄目中,呂穎軒作為特邀嘉賓空降第二期節(jié)目,圍繞主題“數(shù)據(jù)安全治理為什么難以落地”分享了目前霍因在數(shù)據(jù)安全治理中的方法論以及研發(fā)的最新先進(jìn)技術(shù)的介紹。

數(shù)據(jù)治理需要安全驅(qū)動(dòng)與伴行
 
數(shù)據(jù)安全是需要懂業(yè)務(wù),懂?dāng)?shù)據(jù),需要了解數(shù)據(jù)的態(tài)勢,在數(shù)據(jù)市場化的前提下去部署數(shù)據(jù)安全。不論是從Gartner的定義,還是在IT策略、經(jīng)營策略層面上來看,數(shù)據(jù)安全治理都是一個(gè)龐大的概念,頂層設(shè)計(jì)非常繁重。


從霍因多年的行業(yè)實(shí)踐中發(fā)現(xiàn),許多客戶會(huì)有意識(shí)的去做數(shù)據(jù)治理的工作,但數(shù)據(jù)治理本身的一些短板也會(huì)導(dǎo)致問題產(chǎn)生,前期如數(shù)據(jù)咨詢方面的工作量會(huì)占到整個(gè)治理過程的90%,消耗巨大;客戶在做業(yè)務(wù)層面的數(shù)據(jù)治理時(shí),訴求多為數(shù)據(jù)使用混亂,希望通過治理去校正它;同時(shí),在相關(guān)的安全法律法規(guī)出臺(tái)后,數(shù)據(jù)治理又多了一項(xiàng)重點(diǎn)——安全合規(guī)。

所以,霍因?qū)?shù)據(jù)治理分成三類:一是業(yè)務(wù)類,如智能制造、BI;二是效率類,如降本增效、流程再造;三是安全合規(guī)類。就目前已服務(wù)的客戶來看,越來越多的客戶把數(shù)據(jù)使用過程中,如何做到安全合規(guī)、不違規(guī)、不違法作為數(shù)據(jù)治理的一個(gè)重要驅(qū)動(dòng)力。

\" src=

霍因科技在業(yè)內(nèi)提出了“安全驅(qū)動(dòng)的數(shù)據(jù)治理”這一理念:從數(shù)據(jù)治理方法論上去 “瘦身”,從比較精簡的咨詢業(yè)務(wù)開始,以安全合規(guī)為目的,將數(shù)據(jù)治理的頂層設(shè)計(jì)“瘦身”化,并通過一些AI工具輔助實(shí)現(xiàn)落地。

“在我看來,一定是數(shù)據(jù)治理先行,安全后行。安全合規(guī)是可以作為整個(gè)數(shù)據(jù)治理過程的切入點(diǎn),同時(shí)也是一個(gè)基座,是數(shù)據(jù)治理服務(wù)商可以看重的一片藍(lán)海。“ 霍因科技創(chuàng)始人呂穎軒說。

數(shù)據(jù)安全治理需要聚焦業(yè)務(wù)


數(shù)據(jù)安全是等保的最基礎(chǔ)要求。傳統(tǒng)的網(wǎng)安思路遵循的原則是盡量不要去干擾業(yè)務(wù),屬于典型的筑墻防守,在業(yè)務(wù)的外圍去筑一道城墻,不管是防火墻或是WAF,其本質(zhì)都是在業(yè)務(wù)或者在資產(chǎn)外圍形成保護(hù),并未真正的解決數(shù)據(jù)安全問題。

所以,真正的數(shù)據(jù)安全必須正視的事實(shí)是沿用傳統(tǒng)思路已經(jīng)走不通,必須將數(shù)據(jù)的業(yè)務(wù)和態(tài)勢看得足夠清楚,并深入到應(yīng)用層,才能真正地去做數(shù)據(jù)安全。如果不了解數(shù)據(jù)資產(chǎn),不清楚業(yè)務(wù)管理中的敏感數(shù)據(jù)在哪里,不知道相同數(shù)據(jù)資產(chǎn)在流轉(zhuǎn)過程中的不同安全等級(jí),那數(shù)據(jù)安全防護(hù)就無從說起了。

\" src=

目前,數(shù)據(jù)保護(hù)的類型有兩種:一是個(gè)人隱私數(shù)據(jù);二是企業(yè)機(jī)密數(shù)據(jù),它又分為商業(yè)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、研發(fā)數(shù)據(jù)等,這些數(shù)據(jù)具有極重的行業(yè)屬性,需要靠機(jī)器學(xué)習(xí)來積累能力。

所以,數(shù)據(jù)安全一定要具備行業(yè)屬性,通過積累這個(gè)行業(yè)里面一些數(shù)據(jù)的能力,才能做好數(shù)據(jù)安全防護(hù)。

在數(shù)據(jù)治理中,場景的理解是一個(gè)難點(diǎn)。以霍因科技目前聚焦的泛電力行業(yè)(如物聯(lián)網(wǎng)、新能源、電子裝備制造等)來講,數(shù)據(jù)特性是數(shù)據(jù)標(biāo)準(zhǔn)相對(duì)清晰,霍因科技可以基于機(jī)器學(xué)習(xí)的能力,將泛電力行業(yè)中的數(shù)據(jù)進(jìn)行場景化解讀,并進(jìn)行標(biāo)準(zhǔn)化,然后將數(shù)據(jù)安全治理理念與實(shí)踐快速復(fù)制到同行業(yè)其它客戶的治理工作中,這也是我們提到的數(shù)據(jù)治理方法論上的瘦身。
 

數(shù)據(jù)安全治理加速數(shù)據(jù)管理目標(biāo)達(dá)成
 
數(shù)據(jù)安全治理的目標(biāo)客戶可分為兩種:


一類是經(jīng)歷過數(shù)據(jù)治理,這類客戶會(huì)有一個(gè)基本的數(shù)據(jù)治理基礎(chǔ),只需要補(bǔ)足數(shù)據(jù)安全方面的短板即可,所以傳統(tǒng)數(shù)據(jù)安全治理體系更適合;

另一類是沒有經(jīng)歷過數(shù)據(jù)治理,這類客戶是希望以安全合規(guī)為目標(biāo),同時(shí)完成數(shù)據(jù)業(yè)務(wù)+數(shù)據(jù)安全治理工作。因此,通過安全驅(qū)動(dòng)的數(shù)據(jù)治理方法論(就是數(shù)據(jù)治理+安全能力),針對(duì)安全合規(guī)類的目標(biāo)做數(shù)據(jù)治理實(shí)踐,其他系統(tǒng)再進(jìn)行復(fù)制。

所以,數(shù)據(jù)管理目標(biāo)是非常清晰的,不光要解決安全問題,還要解決業(yè)務(wù)問題。現(xiàn)在市面上的一些數(shù)據(jù)安全治理產(chǎn)品,還是基于網(wǎng)安建設(shè)思路,并沒有從數(shù)據(jù)治理的理念出發(fā),僅僅涉及數(shù)據(jù)管理某一階段的安全工作,比如出口安全控制,敏感數(shù)據(jù)發(fā)現(xiàn)等,但關(guān)注重點(diǎn)不在數(shù)據(jù)管理的需求,這就沒有解決客戶對(duì)于“如何通過安全更好的完成數(shù)據(jù)治理目標(biāo)”的痛點(diǎn)。

\" src=
霍因科技認(rèn)為,數(shù)據(jù)安全治理要從業(yè)務(wù)出發(fā),解決數(shù)據(jù)+安全的問題,通過數(shù)據(jù)治理+安全能力相結(jié)合,以安全驅(qū)動(dòng)的數(shù)據(jù)治理方法論,可針對(duì)安全合規(guī)類的目標(biāo)做數(shù)據(jù)治理實(shí)踐,其他系統(tǒng)再進(jìn)行復(fù)制,從而實(shí)現(xiàn)數(shù)據(jù)安全的治理。

數(shù)據(jù)安全治理的頂層設(shè)計(jì)理念
 
發(fā)現(xiàn)數(shù)據(jù)問題后該怎么處置、用什么方式處置、處置方式是否合規(guī)等這些問題應(yīng)基于數(shù)據(jù)管理的理念,做項(xiàng)目全周期的設(shè)計(jì),里面會(huì)包含數(shù)據(jù)咨詢,安全咨詢,產(chǎn)品配合等。

“業(yè)界提到的數(shù)據(jù)的全生命周期,在我看來數(shù)據(jù)不一定是全生命周期的事情,不是只有計(jì)算和流轉(zhuǎn)場景。如果要檢查是否分級(jí),那它的靜態(tài)存儲(chǔ)數(shù)據(jù)就不需要檢查了嗎?” 霍因科技創(chuàng)始人呂穎軒說,“不,安全追求的是非短板效應(yīng),它應(yīng)該是基于全量全域去檢查所有的分類數(shù)據(jù),這也是傳統(tǒng)數(shù)據(jù)治理的基礎(chǔ)性工作。”


關(guān)于霍因科技
霍因科技是一家專注在為企業(yè)客戶提供數(shù)據(jù)安全的方案/服務(wù)提供商。率先提出下一代數(shù)據(jù)安全理論CDC(Consult-Discover-Control),服務(wù)聚焦于安全合規(guī)驅(qū)動(dòng)下的數(shù)據(jù)治理方案,采用場景化能力復(fù)用及機(jī)器學(xué)習(xí)能力,將數(shù)據(jù)治理與數(shù)據(jù)安全管理能力融合。
基于“Consult-Discover-Control”理念,霍因科技為眾多政企客戶提供實(shí)踐數(shù)據(jù)管理及安全合規(guī)方案:從客戶數(shù)據(jù)業(yè)務(wù)的咨詢、法規(guī)理解和導(dǎo)入著手,基于機(jī)器學(xué)習(xí)技術(shù)與大數(shù)據(jù)湖倉技術(shù)為企業(yè)構(gòu)建安全的數(shù)據(jù)管理環(huán)境,從而實(shí)現(xiàn)基于生態(tài)的全面安全控制?;粢蚩萍荚诎踩?qū)動(dòng)數(shù)據(jù)治理方面的優(yōu)勢:
1. 全域:結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文件/音視頻)
2. 全場景:個(gè)人隱私數(shù)據(jù)、企業(yè)數(shù)據(jù)(商業(yè)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營數(shù)據(jù)...)
3. 全鏈路:數(shù)據(jù)在采集、存儲(chǔ)、處理、交換、管理等全鏈路上的安全管理
 

消息來源:CIO時(shí)代網(wǎng)