​打造自动化全链路数据安全治理新模式

近年来，中国数字经济高速发展，并深刻融入到国民经济的各个领域。随着数据量激增和数据流动日益频繁，有力的数据安全防护和流动监管将成为国家安全的重要保障。

近日，2022数据安全技术大会暨中国信息协会信息安全专业委员会年会在北京成功举办。在会议上，由中国信息协会信息安全专委会数据安全技术工作部指导，组长单位北京天空卫士网络安全技术有限公司主编的数据安全治理自动化技术框架（DSAG）白皮书正式发布。

李京春：首先来说，在数字经济时代，对数据安全的认识度还需进一步加强，甚至要把其提升为国家战略，这是数据的重要性所决定的。数字经济时代，数据是新时代的石油，是新经济的核心。

因此，世界主要国家，还有企业都不遗余力加强在数据方面的布局。同时，由于缺乏数据安全意识而导致的数据泄露事件层出不穷。比如，有的企业缺乏维护网络安全意识，为了短期商业利益，将未经脱敏的个人信息、行业信息甚至国家信息作为利益交换的“筹码”，严重危害网络安全、国家安全。数据安全保护、保障、保卫的需求也就随之“水涨船高”。

再有就是，我国数据安全基础产业仍在起步和探索阶段。我国数字经济发展虽然很快，也取得了很多可喜的成绩，但行业数据安全保护的整体能力仍然处在初级阶段，处在保护不规范、不充分、不全面、不彻底的状态，亟待加强合规性、安全性、完整性、可用性、可控性的保护和数据安全治理。目前，《网络安全法》、《数据安全法》、《个人信息保护法》相继实施，非常需要与之相配套的可操作、可落地的基础标准规范来落实法律法规要求，形成全社会、全行业数据安全治理的制度体系。

另外，要加强全面安全保护。不是仅突出《数据安全法》，或者把《网络安全法》说成是传统的，这就首先要明确《网络安全法》、《数据安全法》、《个人信息保护法》三者的关系。《网络安全法》是上位法，是网络安全专门性、综合性的法律。《数据安全法》和《个人信息保护法》是数据安全领域的基础性法律。

杨明非：最近围绕着数据安全方面法律法规有很多，特别是关于个人信息处理的。事实上，有很多企业和行业都有大量的非常重要的数据，随着数字化转型加快，这些数据使用更加频繁，这也对数据处理、使用、存储、传输过程中带来了很多挑战。

作为一家技术型的厂商，天空卫士自2015年成立以来就一直深耕数据安全，围绕着数据本身的处理，就是我们整个产品的体系，也可以说始终构建以人和数据为中心的安全架构。本次发布会，我们提到了数据安全治理自动化的概念，围绕几个点，重点阐述一下。

首先就是数据分类分级的自动化。数据分类分级是数据安全的基础，也是企业首先要面临的问题。《数据安全法》里面也提到，企业需要完成数据的分类分级保护。事实上，数据的分类分级流程非常复杂，为此，我们尽可能的会采用技术手段来简化流程，然后对相应的数据进行聚类，之后输出其特征，或者给出一些自动分类分级的建议，整个流程都是建立在一个自动化的平台。在这个平台上面，在尽量少的人工参与的情况下，企业就可以对自己所掌控的数据进行分类分级的识别。

其次就是实现数据安全处理的自动化。围绕着数据生命周期，在整个流程里，通过技术手段，对数据采取标记，做可视化处理，或者做审计，这也就意味着不但允许数据流动，而且知道数据是怎么流动的。   

再有就是实现行为分析上的自动化。这是人工智能参与最多的一个场景。数据安全所有的敌人都是人，在这里面需要通过对人的行为的分析，实现通过规则方式无法去处理的问题，在海量的正常的事件中，去找到其中可能潜在存在的异常点，通过这种方式，来给每个人最后打出来一个风险评分。

李京春：在数据进化加速的背景下，数字化进程加速的背景下，数据安全作为经济发展的重要保障，受到了国家和全社会的高度关注。法律标准不断出台，而企业作为落实法律标准的主力军，其技术创新和发展成为重点。框架的发布，将非常有助于《网络安全法》《数据安全法》《个人信息保护法》等法律法规的实施落地，意义深远。

第一方面，《数据安全治理自动化技术框架》白皮书的发布，对保障工业互联网、智慧医疗、智能交通、自动驾驶、智能电网、智慧城市等数字化转型发展将会产生积极影响。在数字化转型中，要进行数据治理，又必须要考虑数据安全，两者是相辅相成的。因此，《数据安全治理自动化技术框架》的成熟度越高，其参考价值就越高，影响范围也就越大。

第二方面，对保障数据有序共享、跨境流动、数据交易等企业发展和产业生态建设将会发挥积极的作用。数据安全治理对技术依赖特别强，《数据安全治理自动化技术框架》的重要性不言而喻。而且希望大家可以让框架更加规范起来，数据治理是要有规范的，数据安全治理也同样如此，越先进、越规范，就越能发挥出它的共性作用。也希望框架能够不断更新、优化，充分发挥其在数字转型中的作用。

第三方面，对推动数据安全和个人信息保护等安全企业发展，以及数据安全生态建设也会起到促进的作用。解决数据安全和个人信息保护的方法、路径有很多，而框架可以实现规范、增效，促进安全企业的认同感，以及智能化、自动化治理水平。同时，框架的规范作用，也对构建合理技术规则之下有序的数据治理生态起到了促进作用。

虽然框架存在某些不足和瑕疵，但是我相信通过不断地完善迭代和经验总结，以及试点示范的应用，将会不断变得更加完善，甚至在其影响下，产生更多更好的方案，从而对数字化转型和数字经济发展提供更多助力。

杨明非：Gartner在2018年的下半年，发布了数据安全治理框架（DSG）。DSG的理念是数据安全治理是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。

DSG的最大亮点是提出了“数据安全的建设要和业务紧密结合，而不是用某一个标准”。但是DSG的弱点也显而易见，比如效率偏低、周期长，成本高。

最主要的是DSG的智能化能力偏弱，其中强调的技术，UEBA、CASB，以及一部分针对数据的结构化和非结构化的各种标识技术，并没有提供给中国，以致于在中国只有体系，没有技术，数据安全治理根本无法落地，也不能给企业带来价值。

最近几年，国际上在数据安全方面的自动化和智能化新技术层出不穷，但是这些技术在中国并没有被使用，甚至没有被了解，因为欧美企业不提供这样的技术给中国用户。

因此，近几年，在中国信息协会信息安全专业委员会的领导下，天空卫士在数据安全治理技术上加大了投入力度，针对DSG的缺陷进行了提升，弥补了技术的缺失，要真正解决数据安全核心技术受制于人的局面。

简单来讲，数据安全治理自动化（DSAG）通过自动化技术，识别结构化和非结构化数据，从企业内数据资源发现，到对数据进行分类分级，并以数据分类分级对象为核心，用户行为分析为增强手段，进行数据安全策略的配置和执行，全方位地覆盖数据安全治理周期的每一个环节。DSAG尽可能使用最大化的合理自动化，令人工干预降至最少，在必要的人工环节使用智能辅助，减少人为错误，更有效率及有效性地提高了数据工作的安全性。

杨明非：第一个是防护手段的挑战。所谓很难生效就是过去的安全保护手段都是以隔离为主，包括虚拟桌面等，这种隔离手段目前已经行不通，大量的数据泄露事件已经证明了这一点。因此，需要一个新的以数据为中心的手段来做防护，特别是针对流动中的数据。

第二个是人员能力的挑战。这主要是来自于人员的知识面和数据安全的意识。在这里，我定义了三种类型的人员，当然这个角色里面可能还有很多，包括法律法规要求的CDO，就是首席数据官之类的这种人员。

第一种类型叫做数据安全的IT管理。IT管理员就是他对各种数据安全治理技术手段非常清楚，比如数据都存在哪里，数据库如何去找，如何去发现什么是NFS，什么是CFS等等。但这个不代表数据安全全部，它只是数据安全最基础的一个部分，叫数据安全的技术员。

第二种类型叫做数据安全员。数据安全员最主要的作用是对业务体系和数据安全技术体系进行耦合。这类人员很大可能来自于业务部门，可能对技术方面不太了解，但必须对数据本身很清楚，必须要有非常清晰的理解，能定义出数据的类型。

第三种类型叫做数据安全的管理者。数据安全管理者类似于CDO，或者数据安全的管理领导小组，可能是一个人，也可能是一个组织。他们要求对业务、法规等有比较全面深刻地理解，并且能够制定相关的数据安全策略。

第三个叫做分类分级的复杂性。要对数据进行保护，数据的分类分级是前提，而要做好数据分类分级，不仅需要从风险角度看，公司有哪些数据是最重要的数据，还要把这些最重要的数据区分出来，然后，根据内容和重要性对数据进行分类分级，而且还要根据谁会使用这些数据来去做什么，形成数据安全的策略。

我们所提倡的《数据安全治理自动化技术框架》（DSAG）方案通过自动化技术，以数据分类分级对象为核心，在尽可能少的人工干预下，更有效率及有效性地对数据进行分类分级，减少企业的人工投入成本，简化数据分类分级的复杂度。

李京春：作为首届的数据技术安全大会从制度、技术、人才等方面，在宏观的数据安全治理方案上面提出了一个快速解决方案，是数字经济发展的重要补充，对数字经济发展非常有意义。

但要想更好地落实该解决方案，还需要协同，好比万物互联相当于汽车，对应的要修高速公路，要有高速公路路网，而网络平台就相当于车身，数据安全就相当于汽车的动力燃料，软件定义，包括算法，则相当于汽车的发动机，来推动把数据燃料燃烧起来。而安全就相当于车的刹车制动器，防止汽车行驶时出现意外。所以数字经济需要发展和安全要双轮驱动，平衡驾驭。

十三五主题是产业融合，十四五发展主题是数字化转型，而数据安全则是数字化转型的重要部分，成为十四五规划战略布局的关键领域，常态化地纳入了政府年度重点工作任务。数据安全技术大会的成功举办，必然对推动数字化转型，即产业数字化，数字产业化，起到了助力促进的作用。数据安全保障能力是国家竞争力的直接体现，在国家安全体系当中的重要地位也有进一步的明确。

此外，本次大会的成功举办也让更多人了解到了前沿的数据安全技术和数据安全治理体系的新思想，有助于提高数据安全企业的影响力，提升数据安全领域的关注度。同时，也让相关行业的人员更加深刻地了解数据安全技术的价值。特别是随着数字经济的发展，数据流动更加频繁，而数据安全治理的水平和能力的高低，对数据的安全运用有非常大的影响。所以数据安全治理工作确实需要补齐短板，促进各个业务场景的发展，充分发挥数据价值和作用，从而为数字经济发展保驾护航。