数据安全治理“觉醒年代”，打好“技术+管理+监管”协同之战

点击蓝字  关注云报

数据安全，很多人耳熟能详的一个名词，其字面意思似乎很容易理解，但深究起来，又是一个十分复杂的偏技术化的概念。在数据安全的后面加上“治理”两个字，其内涵更加丰富而深邃。在安华金和创始人兼CEO刘晓韬看来，所谓“治理”，其最直接的含义是指一个动态的、持续演进的过程；而由监管所驱动的数据安全治理的落地，是由监管方、承载方、使用方、技术提供方等协同创新的生态推动着不断向前迈进的。

作为一个新的理念，数据安全治理也许还需要更全面和更深层次的认知和消化的过程，但可以肯定的是，数据安全治理并非纸上谈兵、空中楼阁，而是企业实实在在的需求，是政府和行业持续关注和推动的“大事情”。尤其是在《数据安全法》正式施行之后，建立健全数据安全治理体系，提高数据安全保障能力，便成了大到整个国家、小到每个企业最基础和核心的工作。

安华金和创始人兼CEO 刘晓韬

数据安全治理源自客户的真实需求

数据安全治理是不是和一些IT理念和技术一样，也是“舶来品”？

2015年，Gartner最早开始对数据安全治理的专业研究。而在国内，与国外的认知和实践几乎是同时起步的。这个吃螃蟹的就是安华金和。刘晓韬回忆说，2016年左右，在与一些高端客户打交道时发现，这些客户并不满足于单一的安全防护产品和措施，思考其实更超前，希望从数据资产和价值的维度出发，在规范、策略等更高的层面，寻求整体性的解决方案。

当时，某海关信息安全部门的负责人关于数据是资产、资本的超前思想，让刘晓韬开始认真反思，数据安全不仅仅是提供相关产品和工具这么简单，而应从管理上入手，与业务场景充分结合，将数据安全与客户的组织架构、管理规范、策略、技术平台等统筹起来，从多个维度做好部署和防控，才能更好地解决客户遇到的安全难题。通过一系列全面而深入的调研，刘晓韬发现，当时国外个别厂商推出了类似个人隐私数据的管理框架等，而Gartner也开始谈论数据安全治理的话题。

刘晓韬清楚地意识到，数据安全治理并不是无源之水、无本之木，而是中国客户客观而真实的需求。只要无限地贴近用户的前端应用需求，通过体系化的思考和研究，就能激发或者说产生一些先进的理念和方法。在数据安全治理方面，我们并不是被动地接受国外输入的理念，而是在理念上不谋而合。

在Gartner提出数据安全治理的概念后，从全球范围来看，数据安全治理的研究和实践一直处于爬坡期。在国内，已经建立了有关数据安全治理的基本理念和框架，但现在的关键仍是如何让行业客户更好地接受数据安全治理，并付诸实践。

时至今日，由安华金和支持和承办的“中国数据安全治理高峰论坛”已经连续成功地举办了四届，由安华金和等多家单位和专家共同撰写的《数据安全治理白皮书》也已经升级到3.0，数据安全治理在业界形成了更加广泛的共识。从国家监管、法律法规、行业参与、用户落地等各个层面，数据安全治理正加速在中国大地上扎根、开花、结果。

尤其是在企业侧，越来越多作为数据资产拥有者的企业，开始更加细致地思索，如何联动业务部门、风控部门以及其他关联方，找准适合的切入点，建立统一的企业数据安全策略，共同推动数据安全治理的落地与发展。对于安华金和来说，最核心和紧迫的任务则是，如何充分发挥自己在专业、技术和服务上的优势，支撑并推动数据安全治理又快又好地落地。

实现数据安全治理的规范化、体系化

近几年，国内的行业用户在数据保护和数据安全治理方面或多或少都有一些成功的实践，只是尚未形成体系化、标准化和规范化。《数据安全法》的颁布和实施，可以看作是数据保护与数据安全治理领域的一道分水岭。从此，数据保护与数据安全治理将有法可依，在确保安全、合规、保护隐私等的基础上，使得数据的共享、利用和服务更加灵活、可靠、高效。

从《民法典》、《数据安全法》到处于草案审议阶段的《个人信息保护法》，我国在监管以及法律法规层面，已经为数据安全治理奠定了一个比较坚实的基础。相对立法较早的国外来说，我国正迎头赶上，营造了一个较好的政策和法规保障的大环境。针对企业数据、个人数据、运营商和工业互联网数据的保护，以及密码管理等，国家相关主管部门都有明确和严格的权责划分，也有专门的法律法规以及监管机制。诸如此类强有力的举措，带动了各行业头部客户在数据安全治理方面积极开展实践，并循序渐进。从安全厂商的角度来看，与数据安全治理相关的技术、产品和服务上的创新也在快马加鞭。

“现在，法律法规以及相关政策层出不穷，行业与企业对数据安全治理的认知和重视程度不断提升，再加上强大的执行力，相信中国在数据安全治理的创新和实践方面会后来居上，赶超国外。这个时间不会太长，指日可待。”刘晓韬如是说。

谈到当前中国数据安全治理的实践和进展，刘晓韬分析说，那些数据重要性高、数字化程度高的企业，通常具有更强和更超前的数据安全意识，所以在数据安全治理实践方面会走在前面，比如金融、运营商，以及政务数据中心等。而更多传统行业用户，以及中小企业，因为认知、技术、自身发展阶段等方面的限制条件，可能只是在局部上实现了某些数据安全治理的功能，但还不成体系，仍需要一个逐步演进和完善的过程。从当前用户的需求来说，他们更迫切需要像安华金和这样在数据安全治理方面专注且专业的综合性安全服务提供商。

不可否认，数据安全是当前的业界热点，以不同的技术实现路径和方法满足客户的个性化需求是大势所趋，这也引得云服务商、存储厂商等其他赛道的竞争者跨越赛道而来。

从商业实现的角度来分析，数据安全治理的门槛看似是降低了，因为用户需求激增，各种各样的解决方案不断涌现；但从数据安全治理的真正落地和实践来看，其实高门槛一直在那里。因为用户对面临的安全威胁，以及数据安全治理的认知更加全面而深刻，同时广泛接触过相关的安全产品供应商，所以在评判和选择数据安全治理解决方案时，心中更有数，这也导致安全产品供应商及其解决方案的进入门槛水涨船高。

在这一背景和趋势下，安华金和反而更加坚定了自己的初心，聚焦数据中心的安全，以数据安全为主航道，在坚持走专业化道路的同时，不断延展自身的服务能力和产品线。刘晓韬举例说：“以前，我们主要是提供标准化的产品。但当看到现在的用户对顾问咨询，以及体系化的安全服务有更强烈的需求时，我们也从单纯提供产品，逐步扩展到提供数据安全运维管控平台，以及统一的运维管理服务等。”

近几年，在聚焦数据库安全、数据治理、云安全等核心业务的基础上，安华金和一直致力于实现产品和服务能力的多元化，但同时也会恪守有所为、有所不为的原则，暂不涉足终端安全、通讯安全等领域，而对于像勒索病毒、远程办公安全等“后疫情时代”出现的新商机，也不盲目跟风，始终在业务数据安全这个主赛道上持续发力。

“我们是一家比较传统的to B科技型公司，并不是资本催熟的企业，虽然也完成了多轮融资，但都遵从公司正常的商业成长逻辑。”刘晓韬表示，“我们是一家有耐心和持久创新的公司，不会轻易打破现有的发展节奏。而且中国当前的市场环境，也允许我们以自主创新和自主研发为根基，稳扎稳打前进。”

据记者了解，国内领先的银行和保险机构、大型能源企业、全球500强企业，以及国内知名的房地产和制造业头部客户，都是安华金和稳定的客户群体。这些客户拥有相同的特征：数据中心规模大，应用环境较复杂，对于数据安全治理有比较迫切的需求。

数据安全治理是一段旅程

我们不能单纯从技术和产品的角度来理解数据安全治理，因为它涉及从决策管理层到业务层、技术层，从规章管理制度到工具支撑、执行，由上而下贯穿企业整个组织架构的一个完整链条。从企业内部，首先要统一认识，制定合理的策略和措施，从安全治理体系、合规、技术能力、解决方案以及服务等多个维度，实现数据安全治理。

当前，数据安全治理的落地，面临一些重要挑战：首先是思想和意识层面，企业应该牢固树立数据安全意识观，充分认识数据对企业业务发展的重要性，这是实现数据价值的基本前提；其次，数据安全治理不是企业安全部门自己的事，而是业务、数据处理和应用、安全等部门，甚至公司决策层一起参与和推动才能达成的目标；最后，安全合规是必须守住的红线，企业必须克服认知、技术能力、专业性、成本控制等方面的不足，依据相关法律法规和行业的规章管理制度，对数据进行采集、存储、使用、分析等，尽量避免安全威胁、数据泄露等风险。刘晓韬特别强调，企业实现合规，要有合理的标准、技术去支撑，比如为了保护个人信息的安全，“删除权”怎样才算是合理、合法，做到怎样的程度才能满足监管方和用户的需求，这些都需要在日后的实践中不断摸索、总结、平衡。

数据安全治理是一段没有终点的旅程。不同行业的客户，因需求不同、起点也不同，通常会经历先购买一些安全设备，与业务进行融合，实现合规，然后再考虑与原有安全策略和措施相结合，最后体系化地思考未来的安全框架、思路，并与管理融会贯通的过程。在这样的一个过程中，随着用户认知的不断提升，数据安全治理也在持续丰富和完善。

在数字时代，从以业务和流程为核心到以数据为驱动，数据和科技从以前的辅助业务的工具，变成了驱动业务发展的核心动力和支撑。谁拥有海量的可供分析的数据，谁能进行安全可靠高效的分析，谁就能掌握数据的主动权，更加充分地挖掘和发挥数据的价值。

在这个演进过程中，数据安全问题如影随行。从最初只是保证数据的安全存储，系统不被攻击，到实现企业由外到内的全面安全可控，再到“零信任+SASE”安全新基石的建立，不仅要保证静态数据的安全，更要保证数据在流动中的安全。这些都需要更多前瞻性的思考、更新的技术，以及更有力的保障和支撑。

欢迎扫码关注云报