数据安全治理（DSG）数据安全的“风暴之眼”_行业动态

数据安全治理（DSG）数据安全的“风暴之眼”

发布时间：2021-06-17

Marc-Antoine Meunier是Gartner的分析师。他在《2017年数据安全态势》演讲中，首提“风暴之眼”概念。这种很有张力的比喻，此后被屡屡引用，并逐渐成为数据安全治理（DSG）的代名词。

1、小众话题改变规则

其实，Gartner在《2015年数据安全技术成熟度曲线》报告中，就首次了使用“数据安全治理”（Data Security Governance，简称：DSG）一词，但正在将概念在中国市场体系化落地的企业是安华金和。2016年，安华金和在中国首倡“数据安全治理”概念、体系。2017年，首届中国数据安全治理高峰论坛的成功举办，则标志着开启了中国DSG“元年”。

改变规则也恰是这一年。

2017年，华为战略投入公有云，阿里成立达摩院，百度云以人工智能强调差异化，但中国所有云服务商面对的现实都很残酷，一分钱中标政务云屡见不鲜，CDN价格一年内几近腰斩，AWS在开放宁夏区域后，部分实例也降价近40%。

但国际市场此时好像已见分晓。

也是在2017年，微软收购LinkedIn，Oracle收购NetSuite，HPE、思科和Verizon则高调宣布退出公有云。此外OpenStack则走过炒作期，Kubernetes也几乎成为行业标准，这也为此后一发而不可收拾的云原生奠定了基础。

是否看出些关联？国内云计算IaaS市场竞争已近白热化，国际市场的竞争焦点，则转移至应用场景。这就是“风暴之眼”的由来，当云计算开始与数字化转型真正关联；当企业开始琢磨打通部门间的信息壁垒；当数据开始在应用场景间自由流淌，就需要建立完整的数据安全治理体系，对数据安全进行全生命周期的安全保护。

“但数据安全治理不仅是解决方案，更是方法论。”是安华金和创始人&CEO刘晓韬如是说。这家公司也是在2016年，开始关注并在国内首提“数据安全治理”概念、体系。

2、具有中国特色的“风暴之眼”

彼时，相较云计算基础设施建设，数据安全治理尚属小众话题。安华金和最早完整定义“数据安全治理”概念，也最早意识到，这是一项系统工程，更最早意识到，工欲善其事，必先立其“制”、建其“体”，此后才是利其“器”、储其“力”，最终还要聚其“生态”。

2018年，安华金和联合二十多家生态伙伴共同发布《数据安全治理白皮书》1.0版本，这是中国企业集体的智慧，他们开始庖丁解牛地系统定义，具有中国特色的“风暴之眼”；2019年，《数据安全治理白皮书》2.0版本发布，基于“让数据使用更安全”的目的，安华金和开始梳理，并逐渐形成数据安全防护的原则与框架。

“推进数据安全治理落地实施，就要率先建立数据安全治理的方法论和顶层设计。”而在2021年5月，《数据安全治理白皮书》3.0正式发布时，安华金和更已经从理论到实践，从解决方案到顶层设计，沉淀形成更加完备、领先的方法论。

3、数据安全治理是方法论

确实如此。

将数据藏而不用，埋在自己的院子里，那是土豪的做法。以政策强制推进数据融合，也很难实现长“治”久“安”，数据只有在开放中才能展现价值，数据也只有被反复使用才能创造增值，但数据安全治理必须是数据开放共享的前提保障。

Gartner很有洞察力，其定义了数据安全治理，但此定义也只给出“场景化安全、角色授权、分级分类”等关键词。虽然其也强调，数据安全治理是涉及从决策层到技术层，从管理制度到工具支撑的完整链条，但Gartner并没有给出方法论。或者说，所谓“方法论”必须是从实践中来，到实践中去，而且必须与应用“特色”相结合。

但安华金和已经完成了这一步。

稍作展开。“数据治理”概念并不陌生，其是企业数字战略的基础。数据安全治理可狭义地视为数据治理概念下，专注于安全方面的子集，但更本质意义，数据安全治理是通过一套方法论，帮助企业构建行之有效的数据安全体系。为数据在全生存周期（采集、交换、处理、存储、分析、挖掘、管控、应用等）的安全性，配备贴身保镖。

4、数据安全治理的“五有五缺”

“数据安全治理还存在‘五有五缺’。”杨海峰是安华金和联合创始人兼副总裁，并没有直接阐述方法论，而是描述了产业现状。即数据资产有规模、缺梳理；安全防护有技术、缺体系；安全体系有产品、缺运营；安全监管有目标、缺手段；安全管理有规范、缺落实。

显然，企业迫不及待地谋求数字化转型时，数据安全治理就再不是小众话题，因为没有安全的数字化转型，还不如不转，没有经过数据安全治理的数字化转型，将举步维艰。但将数据安全治理落地实现，也确实面临“缺梳理、缺体系、缺运营、缺手段、缺落实”等一系列挑战问题。

对此，杨海峰提出了安华金和经实践检验后的方法论：“形成制度规范、建立评价体系、识别安全威胁、设计安全方案、建立运营能力。”杨海峰提出了安华金和沉淀的方法论。其中，“形成制度规范、建立评价体系”，属数据安全治理的咨询服务范畴。所谓没有规矩不成方圆，没有规范难治数据，就是这个道理。

“识别安全威胁、设计安全方案、建立运营能力。”则属数据安全治理的技术服务范畴和运营服务范畴。这需要安华金和联合生态伙伴，共同为用户提供服务。

5、数据安全治理的顶层设计

正是基于此方法论，安华金和又进一步形成了一套，切实可行又易于落地实行的数据安全治理顶层设计。顶层设计包括战略规划、组织构建、框架设计三部分，这其实就是数据安全治理的管理体系、技术体系、运营体系。

其中，管理体系的建设步骤包括：梳理、分级分类、安全评估、体系建立、管控实施、监管改进等几部分；技术体系涉及对业务访问、数据存储、数据共享、数据分发、开发测试、运维访问等所有数据应用场景的安全防护；运营体系则是建设数据安全管控平台，形成“数据资产管理、规范和策略管理、风险事件监测、风险态势分析”四大核心能力，并实现数据安全“统一运营、集中管控”，提升数据安全技术支撑保障能力。

而对此，杨海峰最后说：“数据只有在使用中才能创造价值，数据价值越大越需要受到保护，在此过程中，安华金和不仅在提供数据安全技术解决方案，更要帮助企业建设‘人员、策略、技术’三方面核心能力，并最终使数据安全运营常态化。”

分享到