摘要:一文了解峰會(huì)當(dāng)天更多重量級(jí)嘉賓精彩內(nèi)容分享
2021年5月13日,在中國(guó)保密協(xié)會(huì)、中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)的指導(dǎo)下,由中國(guó)(中關(guān)村)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、中國(guó)保密協(xié)會(huì)產(chǎn)業(yè)分會(huì)共同主辦,北京安華金和科技有限公司及中國(guó)(中關(guān)村)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會(huì)承辦,中國(guó)計(jì)算機(jī)學(xué)會(huì)抗惡劣環(huán)境計(jì)算機(jī)專委會(huì)協(xié)辦的“第四屆中國(guó)數(shù)據(jù)安全治理高峰論壇”在北京圓滿召開!本屆峰會(huì)以“數(shù)據(jù)之光 · 安全未來”為主題,來自國(guó)家部委、主管部門領(lǐng)導(dǎo),行業(yè)專家、學(xué)者,權(quán)威研究機(jī)構(gòu)、知名安全廠商及各行業(yè)客戶代表等近千名業(yè)界精英出席,共同圍繞“數(shù)據(jù)安全治理”進(jìn)行內(nèi)容分享、成果發(fā)布、技術(shù)研討與合作交流。
| 點(diǎn)擊瀏覽峰會(huì)上半場(chǎng)議程報(bào)道
在本屆峰會(huì)下半場(chǎng)議程中,十多位重量級(jí)嘉賓分別就數(shù)據(jù)安全治理相關(guān)法規(guī)解讀、新時(shí)期面臨的挑戰(zhàn)、體系化建設(shè)以及實(shí)踐落地等熱點(diǎn)議題展開了全面、深入的內(nèi)容分享。數(shù)世咨詢創(chuàng)始人兼總經(jīng)理李少鵬主持受邀主持峰會(huì)下半場(chǎng)活動(dòng),作為一名安全老兵,中國(guó)網(wǎng)絡(luò)安全100強(qiáng)/全景圖等品牌榜單的創(chuàng)立者、2020年網(wǎng)絡(luò)安全創(chuàng)新能力百?gòu)?qiáng)評(píng)委會(huì)主席、網(wǎng)絡(luò)安全知識(shí)與理念的普及者,李少鵬先生非常關(guān)注數(shù)據(jù)安全治理在中國(guó)的實(shí)踐落地進(jìn)程,積極支持本屆峰會(huì)工作,與嘉賓們進(jìn)行了良好的互動(dòng),下半場(chǎng)各環(huán)節(jié)熱度不減,令全體參會(huì)代表收獲頗豐!
中國(guó)(中關(guān)村)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會(huì)主任、北京安華金和科技有限公司創(chuàng)始人&CEO劉曉韜在發(fā)言中談到,數(shù)據(jù)安全治理可分為國(guó)家、行業(yè)和企業(yè)三個(gè)層面——國(guó)家層面積極推動(dòng)數(shù)據(jù)安全法律、法規(guī)等制度的持續(xù)健全;行業(yè)層面需要積極制定相關(guān)標(biāo)準(zhǔn)、規(guī)范和要求;而在企業(yè)層面,數(shù)據(jù)安全治理體系建設(shè)與實(shí)踐落地,仍將面臨一系列問題和挑戰(zhàn),包括:受數(shù)據(jù)多樣性及大規(guī)模等影響,企業(yè)開展數(shù)據(jù)分類分級(jí)工作的難度很高;與此同時(shí),大多數(shù)企業(yè)僅具備可滿足單一場(chǎng)景化需求的數(shù)據(jù)安全產(chǎn)品,且可能出自多家公司,相互之間難以打通,無法形成集中、統(tǒng)一的平臺(tái)化應(yīng)用;而數(shù)據(jù)安全人才的缺乏也會(huì)導(dǎo)致企業(yè)相關(guān)運(yùn)營(yíng)管控能力薄弱;此外,部分前沿?cái)?shù)據(jù)處理技術(shù)尚處于早期研發(fā)階段,距離普及推廣和產(chǎn)業(yè)化應(yīng)用還有相當(dāng)一段距離。未來,企業(yè)開展數(shù)據(jù)安全治理工作應(yīng)更加關(guān)注以下兩個(gè)方面:一是要滿足國(guó)家及行業(yè)的合規(guī)性要求;二是要用體系化的思維、結(jié)合自身領(lǐng)域特性,構(gòu)建以數(shù)據(jù)使用安全為目標(biāo)的整體解決方案。
公安部信息安全等級(jí)保護(hù)評(píng)估中心技術(shù)部主任任衛(wèi)紅在《依托等級(jí)保護(hù)制度,落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)》主題演講中,結(jié)合數(shù)據(jù)安全相關(guān)法律要求及等保2.0頒布實(shí)施以來,我國(guó)在數(shù)據(jù)安全領(lǐng)域取得的相關(guān)建設(shè)成果與實(shí)踐經(jīng)驗(yàn),著重介紹了數(shù)據(jù)時(shí)代,政府部門、行業(yè)機(jī)構(gòu)、企業(yè)及安全廠商應(yīng)當(dāng)發(fā)揮的積極價(jià)值及所要承擔(dān)的責(zé)任和義務(wù),并指出應(yīng)針對(duì)數(shù)據(jù)安全保護(hù)義務(wù)深化落實(shí)等級(jí)保護(hù)制度,從而持續(xù)有力推進(jìn)國(guó)家數(shù)據(jù)安全未來建設(shè)發(fā)展。
北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任、博導(dǎo)/中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括在《變與不變:<數(shù)據(jù)安全法><個(gè)人信息保護(hù)法>二審稿的啟示》主題演講中,以近期《數(shù)據(jù)安全法(草案)》、《個(gè)人信息保護(hù)法(草案)》雙法通過二次審議為切入點(diǎn),全面談及包括國(guó)際數(shù)據(jù)安全環(huán)境、數(shù)據(jù)資源爭(zhēng)奪、數(shù)字化轉(zhuǎn)型加速以及數(shù)據(jù)安全治理力度的持續(xù)提升等內(nèi)容。同時(shí),重點(diǎn)圍繞雙法出臺(tái)的“國(guó)際國(guó)內(nèi)背景”、“蘊(yùn)含的數(shù)據(jù)治理邏輯”、“喻示的合規(guī)風(fēng)控體系”三方面進(jìn)行了深入分析。
全球能源互聯(lián)網(wǎng)研究院信息通信研究所副所長(zhǎng)張濤在《能源行業(yè)數(shù)據(jù)安全治理的應(yīng)用實(shí)踐》的主題演講中,詳細(xì)介紹了能源行業(yè)在數(shù)據(jù)安全治理實(shí)踐方面的成功經(jīng)驗(yàn)。據(jù)介紹,國(guó)家電網(wǎng)現(xiàn)已服務(wù)超4.6億用戶,與發(fā)電及其他行業(yè)存在大量的數(shù)據(jù)交互,面臨包括“數(shù)據(jù)分類分級(jí)與敏感數(shù)據(jù)辨識(shí)、數(shù)據(jù)使用者身份識(shí)別、多場(chǎng)景下碎片化措施如何落地、數(shù)據(jù)安全管理和技術(shù)措施容易脫節(jié)”四個(gè)主要痛點(diǎn)。對(duì)此,國(guó)家電網(wǎng)制定了“一個(gè)體系+一個(gè)平臺(tái)+五大能力”的解決方案,致力將“敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)權(quán)限管理、數(shù)據(jù)脫敏、數(shù)據(jù)溯源、數(shù)據(jù)庫(kù)審計(jì)”五大能力集成在數(shù)字化平臺(tái)之上,以有效界定數(shù)據(jù)并進(jìn)行整體防御和管控,最終實(shí)現(xiàn)對(duì)靜態(tài)數(shù)據(jù)的可知,對(duì)數(shù)據(jù)資產(chǎn)的全面感知與可視化,對(duì)數(shù)據(jù)使用可控、操作過程可審和泄露數(shù)據(jù)可溯,從而真正實(shí)現(xiàn)對(duì)數(shù)據(jù)的閉環(huán)管理。
國(guó)家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所研究總監(jiān)楊帥鋒在《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)與防護(hù)思考》演講中,分享了工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)與防護(hù)實(shí)踐經(jīng)驗(yàn)。他指出,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測(cè)面臨著四個(gè)難點(diǎn),即:數(shù)據(jù)資產(chǎn)分類分級(jí)識(shí)別難、工控流量?jī)?nèi)容深度解決難、重要數(shù)據(jù)的識(shí)別捕捉難、大流量與虛擬化環(huán)境下風(fēng)險(xiǎn)監(jiān)測(cè)難?;谏鲜鲭y點(diǎn),工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)總體思路及防護(hù)框架主要在于四個(gè)方面,即:技管結(jié)合,管理層面和技術(shù)層面都需要做好數(shù)據(jù)的防護(hù);動(dòng)靜相宜,即靜態(tài)數(shù)據(jù)保護(hù)和動(dòng)態(tài)數(shù)據(jù)保護(hù);分類施策,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)劃分為研發(fā)設(shè)計(jì)數(shù)據(jù)、生產(chǎn)制造數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、應(yīng)用服務(wù)數(shù)據(jù),分類實(shí)施防護(hù)策略;分級(jí)定措,根據(jù)不同級(jí)別的數(shù)據(jù),從全生命周期提出逐級(jí)增強(qiáng)的安全防護(hù)的要求。
國(guó)家信息中心公共技術(shù)服務(wù)部政務(wù)外網(wǎng)安全管理處干部焦迪在《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求標(biāo)準(zhǔn)與應(yīng)用實(shí)踐》的演講中,針對(duì)近年來國(guó)家在政務(wù)領(lǐng)域數(shù)據(jù)安全治理方面的相關(guān)思考與實(shí)踐探索進(jìn)行了分享。她表示,為實(shí)現(xiàn)政務(wù)數(shù)據(jù)整合及跨層級(jí)、跨地域、跨部門的數(shù)據(jù)共享,并在此基礎(chǔ)上開展大數(shù)據(jù)應(yīng)用,發(fā)揮數(shù)據(jù)的實(shí)效,國(guó)家信息中心牽頭制定了《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》國(guó)家標(biāo)準(zhǔn)。在標(biāo)準(zhǔn)制定的過程中,“數(shù)據(jù)安全技術(shù)要求”被格外重視,同時(shí)開展了一系列應(yīng)用實(shí)踐,例如:定制開發(fā)國(guó)家數(shù)據(jù)共享交換平臺(tái)數(shù)據(jù)標(biāo)識(shí)和分類分級(jí)系統(tǒng)——基于密碼算法的數(shù)據(jù)安全標(biāo)簽實(shí)現(xiàn)對(duì)數(shù)據(jù)的標(biāo)識(shí),并結(jié)合相應(yīng)的密碼模塊或密碼產(chǎn)品,實(shí)現(xiàn)對(duì)交換過程的安全管控。
安華金和聯(lián)合創(chuàng)始人兼副總裁楊海峰在《大數(shù)據(jù)中心的數(shù)據(jù)安全治理解決方案》主題演講中指出,當(dāng)前大數(shù)據(jù)中心面臨的數(shù)據(jù)安全治理挑戰(zhàn)主要有五點(diǎn):一是數(shù)據(jù)資產(chǎn)有規(guī)模、但缺梳理;二是安全防護(hù)有技術(shù)、但缺體系;三是安全體系重產(chǎn)品、但輕運(yùn)營(yíng);四是安全監(jiān)管有目標(biāo)、但缺手段;五是安全管理有規(guī)范、但難落實(shí)。而想要針對(duì)上述問題制定有效的解決方案,首先,需要建立起嚴(yán)格的制度和規(guī)范,同時(shí)要梳理清楚數(shù)據(jù)資產(chǎn),對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),并明確管理手段與技術(shù)手段分別解決哪些問題,從而形成切實(shí)可行的操作規(guī)程和標(biāo)準(zhǔn)指南;其次,是要建設(shè)評(píng)價(jià)體系,即數(shù)據(jù)安全的KPI體系,以作為數(shù)據(jù)安全工作績(jī)效的評(píng)估依據(jù),推動(dòng)相關(guān)數(shù)據(jù)安全管理措施的執(zhí)行;此外,還要進(jìn)行數(shù)據(jù)安全威脅分析,根據(jù)數(shù)據(jù)使用場(chǎng)景分析所面臨的風(fēng)險(xiǎn),制定出數(shù)據(jù)安全建設(shè)方案與數(shù)據(jù)安全運(yùn)營(yíng)要求等;最后,是在框架設(shè)計(jì)方面,應(yīng)重點(diǎn)從“管理體系、技術(shù)體系和運(yùn)營(yíng)體系”三個(gè)層面完成對(duì)數(shù)據(jù)安全治理的真正落地。
中國(guó)光大銀行安全管理處處長(zhǎng)牟健君在《數(shù)據(jù)安全治理之思考》演講中,分享了針對(duì)金融行業(yè)數(shù)據(jù)安全治理相關(guān)痛點(diǎn)的思考與建議。他表示,在數(shù)字化轉(zhuǎn)型過程中,數(shù)據(jù)安全風(fēng)險(xiǎn)主要來自外部威脅和內(nèi)部風(fēng)險(xiǎn),需要從“管理和技術(shù)”兩方面著手應(yīng)對(duì)。在管理方面,首先需要有牽頭部門,并明確數(shù)據(jù)安全治理的歸屬部門,并根據(jù)行業(yè)監(jiān)管標(biāo)準(zhǔn)、法律法規(guī)及自身痛點(diǎn)需求,設(shè)計(jì)制定適合自身的規(guī)劃策略。數(shù)據(jù)安全治理及運(yùn)營(yíng)的體系建設(shè)是一種演進(jìn)式的發(fā)展路線,比如在技術(shù)層面上,各種流轉(zhuǎn)環(huán)節(jié)中都能發(fā)現(xiàn)敏感數(shù)據(jù),這些是迫切有待解決的問題,因此需要技術(shù)手段來保證金融機(jī)構(gòu)具備相應(yīng)的能力。此外,針對(duì)金融數(shù)據(jù)的脫敏,應(yīng)對(duì)每個(gè)環(huán)節(jié)提出明確的要求,從而做好流程的管控與有效的防控。
深圳市聯(lián)軟科技股份有限公司CTO辦公室主任劉現(xiàn)磊在《企業(yè)數(shù)據(jù)安全管理解決方案》演講中表示,要做好數(shù)據(jù)安全工作,首先要解決訪問控制問題,即主體到客體訪問的信任等級(jí)問題;其次是場(chǎng)景化,以業(yè)務(wù)為導(dǎo)向和基礎(chǔ),既要考慮當(dāng)下的使用場(chǎng)景,同時(shí)也要放眼未來的新興場(chǎng)景。在構(gòu)建企業(yè)數(shù)據(jù)安全管理解決方案上,他建議企業(yè)在做選擇時(shí),關(guān)注平臺(tái)化而非單一的產(chǎn)品,做規(guī)劃時(shí)也要盡可能考慮幾年后的應(yīng)用預(yù)期。同時(shí),一定要考慮場(chǎng)景化應(yīng)用,因?yàn)槊宽?xiàng)技術(shù)都有其適用和不適用的場(chǎng)景,想要憑借單一產(chǎn)品或技術(shù)解決所有問題是不現(xiàn)實(shí)的。
濰坊市大數(shù)據(jù)局副局長(zhǎng)陳軍在《政務(wù)大數(shù)據(jù)安全實(shí)踐與應(yīng)用》演講中指出,隨著政務(wù)大數(shù)據(jù)平臺(tái)接入的開放數(shù)據(jù)日益增多,應(yīng)從三個(gè)層面持續(xù)運(yùn)營(yíng)并保障數(shù)據(jù)的安全:一是在數(shù)據(jù)資產(chǎn)層面,應(yīng)持續(xù)關(guān)注數(shù)據(jù)資產(chǎn)的變化情況,及時(shí)對(duì)新數(shù)據(jù)進(jìn)行備案,落實(shí)分級(jí)分類,將其及時(shí)納入數(shù)據(jù)安全監(jiān)管范疇;二是在安全策略層面,應(yīng)持續(xù)關(guān)注數(shù)據(jù)安全設(shè)備及技術(shù)應(yīng)用的落地情況,溶蝕根據(jù)外部黑客等攻擊技術(shù)的變化,及時(shí)升級(jí)、更新和調(diào)整現(xiàn)有的安全策略;三是持續(xù)關(guān)注風(fēng)險(xiǎn)事件,對(duì)違規(guī)、越權(quán)及其他風(fēng)險(xiǎn)行為形成一個(gè)閉環(huán)處理機(jī)制,即從事件的發(fā)生、到對(duì)事件的核實(shí)、再到對(duì)事件的處置、整改與完善提升、以及將事件納入知識(shí)庫(kù)等全過程,形成一個(gè)閉環(huán)的處理機(jī)制。將上述三個(gè)視角融入到日常數(shù)據(jù)安全防控、防偽的過程之中,將有效提升數(shù)據(jù)安全的防護(hù)與建設(shè),推動(dòng)數(shù)據(jù)安全來到一個(gè)全新的高度。
中國(guó)移動(dòng)信息技術(shù)中心研發(fā)創(chuàng)新中心(平臺(tái)能力共享中心)副總經(jīng)理張春在《基于中國(guó)移動(dòng)磐基PaaS的數(shù)據(jù)安全治理實(shí)踐》演講中詳細(xì)介紹了磐基PaaS平臺(tái)及相關(guān)實(shí)踐應(yīng)用情況。磐基PaaS平臺(tái)是利用云原生技術(shù)打造而成的,能夠使IT系統(tǒng)更加敏捷,同時(shí)可支撐海量業(yè)務(wù)的運(yùn)行,具有快速、靈活、彈性、擴(kuò)展性強(qiáng)等優(yōu)勢(shì)。據(jù)悉,該平臺(tái)目前有K8S集群上百個(gè)、服務(wù)器節(jié)點(diǎn)規(guī)模近萬臺(tái)、容器總規(guī)模達(dá)到了20多萬個(gè)。而在數(shù)據(jù)安全治理方面,包括數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)加密等各種需求都可依托磐基PaaS平臺(tái)實(shí)現(xiàn)。比如:在數(shù)據(jù)脫敏方面,該平臺(tái)就引入安華金和數(shù)據(jù)脫敏解決方案,將其與磐基PaaS平臺(tái)進(jìn)行了有效整合,具備以多租戶方式提供數(shù)據(jù)脫敏服務(wù)等優(yōu)勢(shì)。
阿里云資深產(chǎn)品專家葛岱斌在《云計(jì)算時(shí)代的數(shù)據(jù)安全》演講中表示,云計(jì)算時(shí)代的數(shù)據(jù)安全主要面臨的挑戰(zhàn)有兩方面:一是需要更好的處理海量的結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù);二是需要在如此多碎片化的基礎(chǔ)設(shè)施下,做到統(tǒng)一的數(shù)據(jù)安全管理。基于以上兩大挑戰(zhàn),現(xiàn)階段很多企業(yè)對(duì)數(shù)據(jù)安全治理需求開始變得更加靈活。阿里云希望基于“立體防護(hù)、可信安全、易用性”三個(gè)維度持續(xù)發(fā)力,為云上用戶提供一個(gè)可信、可控、可管的數(shù)據(jù)安全環(huán)境。他強(qiáng)調(diào),在當(dāng)前數(shù)據(jù)安全人才嚴(yán)重不足的局面下,我們可以通過“云”的方式來降低安全產(chǎn)品的使用門檻,從而讓更多的IT運(yùn)維人員輕松實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全管理,讓數(shù)據(jù)安全治理相關(guān)工作實(shí)現(xiàn)從“駕馬車”到“開自動(dòng)擋”的大跨越。
隨著等保2.0的深入開展、《數(shù)據(jù)安全法(草案)》、《個(gè)人信息保護(hù)法(草案)》的二次審議,國(guó)家關(guān)于數(shù)據(jù)安全的頂層設(shè)計(jì)日臻完善。積極響應(yīng)國(guó)家政策指引與行業(yè)發(fā)展需求,開展實(shí)戰(zhàn)化工作,拿出切實(shí)舉措,將數(shù)據(jù)安全治理工作在各行各業(yè)的實(shí)踐應(yīng)用落到實(shí)處,成為數(shù)據(jù)安全管理者當(dāng)務(wù)之急與前進(jìn)方向。安華金和堅(jiān)信,“數(shù)據(jù)之光”必將閃耀在未來人類數(shù)字社會(huì)發(fā)展的天空!而如何良好駕馭這一新的社會(huì)驅(qū)動(dòng)要素,而不是為我們帶來泛濫且不可控的風(fēng)險(xiǎn),需要各級(jí)主管部門、行業(yè)專家、產(chǎn)業(yè)力量和數(shù)據(jù)安全從業(yè)者們共同努力達(dá)成!