數據安全治理為什么難以落地？

剛剛結束的兩會政府報告中，提出了要強化網絡安全、數據安全和個人信息保護。毫無懸念，今年數據安全仍是關乎組織戰略制定與發展的重要命題。數據驅動著發展，同時也暗藏風險，數據安全問題是個人到企業到國家層面都高度重視的問題。

由CIO時代、新基建創新研究院與數世咨詢聯手打造的全新直播間《安全說》，將邀請網安領域的專家和知名CIO，共同圍繞“第二屆數字安全大會”、大會主題“人機合智”等數據安全相關的熱點話題持續推出系列對話訪談，共同探討數字安全的新態勢。

3月18日，以“數據安全治理為什么難以落地”為主題的第二期《安全說》直播順利舉行。本場直播由CIO時代聯合創始人兼COO、新基建創新研究院秘書長劉晶主持，邀請數世咨詢的創始人&CEO李少鵬、霍因科技創始人呂穎軒做客直播間，進行了主題交流和探討，共話數據安全治理的路徑和發展趨勢。

2020年，中央首次明確“數據成為第五大生產要素”，數據安全的重要性毋庸置疑。近年來，許多安全廠商也都在爭相發力數據安全，尤其是數據安全治理的概念被很多人接受。但無論從用戶的普遍反應還是廠商的聲音來看， 除了一些工具類產品，真正的DSG體系似乎很難落地。
 

 【對話訪談】

劉晶： 數據安全和數據治理安全有什么區別？

李少鵬：數字安全的概念是以網絡安全為基礎手段，以數據安全為核心目的。進入數據時代，全國都在建大數據局、政數局，目的就是要將數據價值充分釋放出來，推動社會經濟發展和人類文明進步。所以，數據在被定義為第五大生產要素后，數據安全的重要性就不言而喻。不可忽視的是數據安全固然重要，但其落地和實施還面臨巨大挑戰。

“數據安全”和“數據安全治理”從定義上來看，數據安全指的一個事物的名稱，而數據安全治理是一個活動過程，本身是不具可比性的。 


劉晶：如果沒有做好數據治理，那是否做好數據安全治理呢？

李少鵬：業界普遍認為只有做好數據治理的工作，數據安全治理的工作才能做好。但這又面臨了第二個問題， 數據治理是一個宏大的工程，隨著《數據安全法》、《個人隱私保護法》等法律法規的相應出臺，企業經營就需要滿足安全合規。在實現安全合規過程中，你把數據治理工作那層完成了，就會付出昂貴的成本，用戶是不愿意承擔這個時間、人力或財務成本的。

因此“數據安全治理”的概念或是邏輯關系應該是數據大于治理，治理大于安全，換句話說就是治理當中應該有安全、有業務、有效率。網絡安全是管理層面的內容，屬于治理的一部分，用治理的概念做安全顯然就是“大炮打蚊子”。所以我認為，關注的重點應當從 “數據安全治理”到“數據治理的安全能力”的轉換。

呂穎軒：從Gartner定義上來看，在IT策略、經營策略層面上來看，數據安全治理是一個龐大的概念，頂層設計非常繁重。霍因科技一直在做數據治理工作，將數據治理分為三類：一是業務類，如智能制造、BI；二是效率類，如降本增效、流程再造；三是目前大火的安全合規類。霍因現有的諸多客戶已把數據使用過程中如何安全合規、不違規、不違法作為了數據治理的一個重要驅動力。所以，在我看來，一定是數據治理先行，安全后行。

在霍因多年的行業實踐中發現，許多客戶會去做數據治理的本職工作，但數據治理本身的一些短板，前期如數據咨詢方面的工作量會占到整個治理過程的90%，消耗巨大；客戶在做業務層面的數據治理時，訴求多為數據使用混亂，希望通過治理去校正它；在相關的安全法律法規出臺后，數據治理又多了一項重點－－安全合規。

安全合規是可以作為整個數據治理過程的切入點，同時也是一個基座，這也是數據治理服務商可以看重的一片藍海。

其實，數據安全是需要懂業務，懂數據業務，需要了解數據的態勢，我們要有能力把數據市場化的前提上，再去部署數據安全。因此，我認為正確的方法可以在數據治理方法論上去 “瘦身”，從比較精簡的咨詢業務開始，以安全合規為目的，將它的頂層設計再“瘦身”化，然后再輔助一些AI的工具去實現落地。所以，霍因科技提出了“安全驅動的數據治理”這一理念。


劉晶：為什么安全是數據治理的第一驅動力？

李少鵬：從本質上看，大家對于數據安全的基本需求是合規。但在實際落地中，部分用戶在數字化轉型中進行一些基礎的數據治理工作時，會卡在安全合規上，這部分用戶是我們潛在的市場用戶。

目前的網絡安全來自政策驅動約占70%，而數據安全一定有99%來自合規驅動。因此，不能因為數據治理難度大就不做，甚至連安全也不管了。正確的做法應該是反其道而行之。在典型行業的數據安全治理中，合規是安全的第一驅動力，因為它天然的會跟效率、成本等產生矛盾。數據安全治理應當分類分級，應依照行業的不同，場景不同，級別就不一樣。

呂穎軒：從我們的市場經驗來看，數據安全治理的目標客戶分為兩種：

一類是經歷過數據治理階段，無論最終的效果如何，但這類客戶都會有一個基本的數據治理基礎，只是需要補足數據安全方面的短板，所以傳統數據安全治理體系更適合；

第二類客戶是沒有經歷過數據治理工作，但是希望安全合規為目標，同時完成數據業務+數據安全治理工作。這時就需要通過安全驅動的數據治理方法論（就是數據治理+安全能力），針對安全合規類的目標做數據治理實踐，其他系統再進行復制。

數據安全治理的基礎是不光解決安全問題，還能解決業務問題，所以它以數據管理目標是非常清晰的。市面上傳統的數據安全產品一般被稱為安全工具或安全治理，它們并不關注數據管理的需求；也有一些是涉及數據管理某一階段的安全工作，比如出口安全控制，敏感數據發現等。但是并沒有解決客戶對于數據管理的真正痛點——如何通過安全更好的完成數據治理目標。

現在市面上有很多號稱數據安全治理產品，一些客戶也買過，但大部分還只是網安的建設思路，用傳統的敏感數據掃描，出個掃描報告。數據上該有的問題并沒有真正解決，數據不敢輕易上行，也不知道怎么上行。為什么？因為它本身沒有從數據治理的理念出發，僅用傻瓜式規則掃描并不解決真正的數據管理問題。

發現數據問題后該怎么處置、用什么方式處置、處置方式是否合規等等這些問題要用數據管理的理念，做項目全周期的設計，里面包含數據咨詢，安全咨詢，產品配合。所以數據安全治理不只是為了檢查，是真正要解決數據管理中的安全問題——也就是安全驅動的數據治理。

劉晶：網絡安全與數據安全的區別是什么呢？

呂穎軒：數據安全是等保的最基礎要求。傳統的網安思路是不解決數據安全問題的，它是典型的筑墻防守，在業務的外圍去筑一道城墻，不管是防火墻，是WAF，其本質都是在業務或者說它的資產的外圍形成保護，它的原則是盡量不要去干擾業務。網安的核心聚焦于流量，我們可以基于流量有許多產品，可以不斷升級，可以更加人工智能化。

現在真正的數據安全叫數安，必須正視的事實是沿用傳統思路已經走不通。所以我們必須將數據的業務和態勢看得足夠清楚，深入到應用層，才能真正地去做數據安全。如果不了解數據資產，不清楚業務管理中的敏感數據在哪里，不知道相同數據資產在流轉過程中的不同安全等級，那數據安全防護就無從說起了。

目前，我們將保護的數據分為了兩類：第一類是個人隱私數據，相對清晰的；第二類企業機密數據，它分為商業數據、經營數據、研發數據等等，這些數據具有極重的一些行業屬性，是靠機械學習所積累能力。

所以，數據安全一定是具備行業屬性，你要積累這個行業里面一些數據的能力，你才可以去做好數據安全防護。

劉晶：霍因科技在數據治理安全中聚焦的行業有哪些？

呂穎軒：霍因目前聚焦的行業是泛電力行業中的物聯網、新能源、電子裝備制造等等。它們的數據特性是數據標準相對清晰，我們可以通過機器學習的能力將泛電力行業中的數據進行場景化解讀，在數據治理里，難點在于場景的理解，通過將數據場景解讀并標準化后，我們就可以對同行業客戶中類似的數據進行快速的數據安全治理動作，也就是我前面提到的“數據治理方法論”的瘦身。

以前經常會提到數據的全生命周期，我認為數據不一定是全生命周期的事情，不光只有計算和流轉場景。如果要檢查是否分級，那它的靜態存儲數據就不需要檢查了嗎？不，它是基于全量全域去檢查所有的分類數據，這對于安全行業來講難度是很高的，安全追求的是非短板效應，而全量和全域是傳統數據治理的基礎性工作。


劉晶：數據治理安全中重點關注的有哪些？

李少鵬：我們建立了那么多安全體系，有一點不對就會被打穿，安全的結構特別是不對稱的，攻擊者和防御者完全是不對稱的，防御者需要cover一切，攻擊者只需要搞定一點。

整個的數據安全市場，到目前為止，我認為最該關注是企業級數據安全。為什么這么說呢？你看我們能力圖譜。數據作為資產，有網絡就會有敏感數據，就需要將其保護起來。但現在，要求數據開放流動，所以運營商、醫療數據，包括公安數據都要共享，這給人類社會帶來了巨大轉變。但現在隱私計算能力的不足，我們還不能實現落地。

隱私計算，它一定是跟數據的流動性是有直接相關的。我們將重點聚焦在數據的開放性上，首先企業自身先用，各個不同的部門將數據應用起來，在有限共享范圍內與業務合作伙伴和用戶實現數據開放。我認為，在未來三五年內數據安全的落地價值將在這里。當然，未來隱私計算成熟后，數據可全社會范圍內流動時，之前提到的問題就解決了。

在實現數據治理安全上，我認為還是標準先行或是白皮書先行。所以，數世咨詢會與霍因科技聯合發布《數據治理安全能力白皮書》。這不是數據安全治理，而是數據治理安全能力的白皮書。同時，我也希望跟有相同安全理念的數據安全廠商共同來完成。

【互動問答】

直播間的觀眾們積極踴躍地提出了很多問題，在稍后的互動問答環節，數世咨詢的創始人、CEO李少鵬和霍因科技創始人呂穎軒也進行了詳盡生動的解答，下面精選兩個觀眾的問題進行回顧：

1、如何實現數據資產化？

呂穎軒： 數據如何資產化最終還是離不開數據治理。數據是分為不同形態的，它在ODS層（貼源層），在DW層（靠數倉層），以及最后的數據超市都是文件形態，只有越往上走它的資產化程度才會越高。

因此，它是經過繁重的清洗和質量治理過程，去逐步形成數據資產化。換句話說，數據資產化不是個安全問題，是一個數據治理問題。但它也是一個安全的基礎問題。

2、如果公司在做完數據安全治理之后，再做數據治理，會遇到哪些困難？

呂穎軒：DSG在進行中，大概率的應該是滿足了我們所說的諸多場景中的一、二個場景，因此，場景上的內容都不會丟棄，我覺得其實可以根據場景來劃分，根據不同場景來劃分。

例如，他已經做過數據流轉，我通過一個關口的思想怎么去控制，搗亂基層格式，如何找到它轉發的合法性和合規性，可以在計算、數據交換、數據存儲的場景下，我們再去做數據安全治理。

關于霍因科技：
 

霍因科技聚焦在安全合規驅動下的數據治理方案，通過CDC下一代數據安全理論（Consult-Discover-Control），采用場景化能力復用及機器學習能力，將數據治理與數據安全管理能力融合。

從客戶數據業務的咨詢與法規理解和導入，到基于機器學習技術與大數據湖倉技術為企業構建安全的數據管理環境，再到基于生態的全面安全控制。霍因科技通過“Consult-Discover-Control”理念為政企客戶實踐數據管理及安全合規方案。

霍因科技：安全驅動的數據治理優勢：

1. 全域：結構化數據、非結構化數據（文件/音視頻）

2. 全場景：個人隱私數據、企業數據（商業數據、生產數據、經營數據...）

3. 全鏈路：數據在采集、存儲、處理、交換、管理等全鏈路上的安全管理