Marc-Antoine Meunier是Gartner的分析师。他在《2017年数据安全态势》演讲中,首提“风暴之眼”概念。这种很有张力的比喻,此后被屡屡引用,并逐渐成为数据安全治理(DSG)的代名词。
其实,Gartner在《2015年数据安全技术成熟度曲线》报告中,就首次了使用“数据安全治理”(Data Security Governance,简称:DSG)一词,但正在将概念在中国市场体系化落地的企业是安华金和。2016年,安华金和在中国首倡“数据安全治理”概念、体系。2017年,首届中国数据安全治理高峰论坛的成功举办,则标志着开启了中国DSG“元年”。
2017年,华为战略投入公有云,阿里成立达摩院,百度云以人工智能强调差异化,但中国所有云服务商面对的现实都很残酷,一分钱中标政务云屡见不鲜,CDN价格一年内几近腰斩,AWS在开放宁夏区域后,部分实例也降价近40%。也是在2017年,微软收购LinkedIn,Oracle收购NetSuite,HPE、思科和Verizon则高调宣布退出公有云。此外OpenStack则走过炒作期,Kubernetes也几乎成为行业标准,这也为此后一发而不可收拾的云原生奠定了基础。是否看出些关联?国内云计算IaaS市场竞争已近白热化,国际市场的竞争焦点,则转移至应用场景。这就是“风暴之眼”的由来,当云计算开始与数字化转型真正关联;当企业开始琢磨打通部门间的信息壁垒;当数据开始在应用场景间自由流淌,就需要建立完整的数据安全治理体系,对数据安全进行全生命周期的安全保护。“但数据安全治理不仅是解决方案,更是方法论。”是安华金和创始人&CEO刘晓韬如是说。这家公司也是在2016年,开始关注并在国内首提“数据安全治理”概念、体系。彼时,相较云计算基础设施建设,数据安全治理尚属小众话题。安华金和最早完整定义“数据安全治理”概念,也最早意识到,这是一项系统工程,更最早意识到,工欲善其事,必先立其“制”、建其“体”,此后才是利其“器”、储其“力”,最终还要聚其“生态”。2018年,安华金和联合二十多家生态伙伴共同发布《数据安全治理白皮书》1.0版本,这是中国企业集体的智慧,他们开始庖丁解牛地系统定义,具有中国特色的“风暴之眼”;2019年,《数据安全治理白皮书》2.0版本发布,基于“让数据使用更安全”的目的,安华金和开始梳理,并逐渐形成数据安全防护的原则与框架。“推进数据安全治理落地实施,就要率先建立数据安全治理的方法论和顶层设计。”而在2021年5月,《数据安全治理白皮书》3.0正式发布时,安华金和更已经从理论到实践,从解决方案到顶层设计,沉淀形成更加完备、领先的方法论。将数据藏而不用,埋在自己的院子里,那是土豪的做法。以政策强制推进数据融合,也很难实现长“治”久“安”,数据只有在开放中才能展现价值,数据也只有被反复使用才能创造增值,但数据安全治理必须是数据开放共享的前提保障。Gartner很有洞察力,其定义了数据安全治理,但此定义也只给出“场景化安全、角色授权、分级分类”等关键词。虽然其也强调,数据安全治理是涉及从决策层到技术层,从管理制度到工具支撑的完整链条,但Gartner并没有给出方法论。或者说,所谓“方法论”必须是从实践中来,到实践中去,而且必须与应用“特色”相结合。稍作展开。“数据治理”概念并不陌生,其是企业数字战略的基础。数据安全治理可狭义地视为数据治理概念下,专注于安全方面的子集,但更本质意义,数据安全治理是通过一套方法论,帮助企业构建行之有效的数据安全体系。为数据在全生存周期(采集、交换、处理、存储、分析、挖掘、管控、应用等)的安全性,配备贴身保镖。“数据安全治理还存在‘五有五缺’。”杨海峰是安华金和联合创始人兼副总裁,并没有直接阐述方法论,而是描述了产业现状。即数据资产有规模、缺梳理;安全防护有技术、缺体系;安全体系有产品、缺运营;安全监管有目标、缺手段;安全管理有规范、缺落实。显然,企业迫不及待地谋求数字化转型时,数据安全治理就再不是小众话题,因为没有安全的数字化转型,还不如不转,没有经过数据安全治理的数字化转型,将举步维艰。但将数据安全治理落地实现,也确实面临“缺梳理、缺体系、缺运营、缺手段、缺落实”等一系列挑战问题。对此,杨海峰提出了安华金和经实践检验后的方法论:“形成制度规范、建立评价体系、识别安全威胁、设计安全方案、建立运营能力。”杨海峰提出了安华金和沉淀的方法论。其中,“形成制度规范、建立评价体系”,属数据安全治理的咨询服务范畴。所谓没有规矩不成方圆,没有规范难治数据,就是这个道理。“识别安全威胁、设计安全方案、建立运营能力。”则属数据安全治理的技术服务范畴和运营服务范畴。这需要安华金和联合生态伙伴,共同为用户提供服务。正是基于此方法论,安华金和又进一步形成了一套,切实可行又易于落地实行的数据安全治理顶层设计。顶层设计包括战略规划、组织构建、框架设计三部分,这其实就是数据安全治理的管理体系、技术体系、运营体系。其中,管理体系的建设步骤包括:梳理、分级分类、安全评估、体系建立、管控实施、监管改进等几部分;技术体系涉及对业务访问、数据存储、数据共享、数据分发、开发测试、运维访问等所有数据应用场景的安全防护;运营体系则是建设数据安全管控平台,形成“数据资产管理、规范和策略管理、风险事件监测、风险态势分析”四大核心能力,并实现数据安全“统一运营、集中管控”,提升数据安全技术支撑保障能力。而对此,杨海峰最后说:“数据只有在使用中才能创造价值,数据价值越大越需要受到保护,在此过程中,安华金和不仅在提供数据安全技术解决方案,更要帮助企业建设‘人员、策略、技术’三方面核心能力,并最终使数据安全运营常态化。”