万物互联的数据时代,作为信息资产的数据正在从过去局部、静态的属性,向全面、流动的属性过渡。传统的,尤其是单一的数据安全保护工具,已经落后于时代发展的需求。如何从整体统一和业务流动的视角来保护数据,已经成为业界厂商积极探索的共同课题。

作为国内首批以文档加密技术起家的安全厂商亿赛通,近年来开始升级转型,从单一的文档加密技术扩展到了数据库安全、数据防泄露、数据安全智能管控等产品线,并站在技术环境变化和企业发展战略的高度,于近期在业内首提“分•放•管•服”的数据安全综合解决方案的理念。近日,数世咨询分析师访谈亿赛通总经理崔培升,得以近距离了解这家数据安全领域深耕多年的网络安全厂商,在如何做好数据安全防护工作方面的深度思考。

亿赛通总经理崔培升

分:制度/权责与资产

数据安全的首要基础工作是对数据资产的发现和梳理,即分类分级,在此基础之上才能开展有效的数据保护。但如上文所述,当下的业务环境下,数据还有一个重要的流动属性,这个属性与业务强相关,因此相应的制度、合规,以及对人的权限、职责、访问对象等的划“分”更是无法忽略的因素。这也是业界提出数据安全“治理”的主要原因之一。

对政策制度的分层合规,对权责访问对象的分权分则,对数据的分类分级和对资产的分布分析,组成了亿赛通的 “分”。“分”是从整体架构的层面来规划数据安全,是数据安全综合解决方案的基础,没有准确合理的“分”就没有有效安全的数据应用和管控。

放、管:把握平衡

“放”的含义是指数据的流动与应用,而“管”则是指保障数据的安全。高效的数据应用给机构带来巨大的业务价值,但如果没有数据安全的保障,机构则时刻面临着巨大的运营风险,两者之间是一个需要动态精准把握的平衡关系。

“放得宽会导致业务风险的陡增,管得严则束缚了生产力的手脚。放管平衡的关键在于对用户业务的深度理解。”—亿赛通总经理崔培升

【图1】

如果说“分”是数据安全综合解决方案的基础,“放•管”则是方案的的具体执行,通过各种类型的数据安全工具来达到合理管控的目的。如,文档安全,文件交换、安全介质管理,数据库安全,数据加密、脱敏,数据防泄露等。

服:能力/决策与运营

早期的网络安全工作注重的是合规,然后关注点开始转移到安全设备,现在则到了以安全能力为中心的时代。能力的实现,不仅需要顶层的规划设计,还需要安全工具的合理运用,以及长期可持续的安全运营,而这一切都需要安全服务的保障。

安全服务贯穿了数据安全体系前期的咨询规划、中期的建设和后期的运营,包括相关的人才培训和培养工作。熟悉网络安全工作的业内人士可以看出,这也正是同步规划、同步建设、同步运营,即三同步理念的体现。

“国内的网络安全供给状况是,硬件大于软件大于服务,这是一种价值倒挂的现象。但随着数字经济的发展,安全能力重要性的凸显,安全服务一定是未来。”—数世咨询创始人李少鹏

【图2】

被忽略的交付问题

上文的内容叙述了亿赛通“分•放•管•服”的数据安全理念,而理念的落地则需要具体的执行体系。为此,亿赛通打造了从咨询服务、产品建设,到工程交付和售后服务的四大体系。

相比于咨询、建设和咨询,崔培升认为,工程交付是目前被业界普遍忽略的痛点问题。由于数据安全体系的庞杂,终端环境的千差万别,以及安全部门和IT部门、业务部门的交叉,往往导致交付难度的大幅度上升,用户体验也非常差。为此亿赛通提出并贯彻实施了,流程规范、资料完备,交付技术和交付效率,以及服务态度和用户满意度,六项衡量交付效果的指标。通过这六项指标,服务了小到几千点大到十几万点的客户,用良好的交付效果体现了专业技术能力,从而获得了客户的良好反馈与好评。

数据咨询评:

数据安全与传统的网络安全概念相比,最大的区别是前者更贴近于业务应用场景,而后者则偏重于对计算对象或计算环境的保护。由于不同行业不同业务场景的复杂性,目前全球范围内还没有一个可以做到统一数据安全解决方案的提供商。但相信未来,会逐渐出现整合了各种数据安全工具、技术与服务的数据安全综合提供商。而规模较大的、具备各种资源优势的,并且专注于数据安全的厂商无疑是这个赛道最有希望的竞跑者。