專訪|億賽通李賀:數據安全再論道

2020-12-31

隨著大數據、人工智能、工業互聯網等為代表的新一代信息技術不斷發展與深度應用,數據作為新的生產要素正在成為驅動經濟發展的新引擎。在企業紛紛加快數字化轉型的當下,利用數據驅動決策,實現增長已成為共識。

 在數據驅動的過程中,數據安全問題也日益凸顯,包括數據泄露等在內的各種數據安全問題,不僅讓企業蒙受巨大損失,也給社會和個人帶來了危害。那么,企業在數據應用過程中,該如何保護數據安全?一種合理有效的數據安全建設體系該如何架構?對此,雜志社對億賽通副總經理李賀進行了專訪,以下是具體采訪內容,以饗讀者。 

北京億賽通科技發展有限責任公司副總經理李賀


記者:結合國內目前的業務和市場環境,您認為中國企業在數據安全保護方面面臨哪些問題?

李賀:目前中國企業對數據安全的理解和要求越來越高,但還缺乏一個好的指導標準,或者說用一種索引方式引導企業開展數據安全工作。因為每個企業面臨的數據安全問題都不太一樣,不僅僅是數據備份或防泄密,還包括數據價值上的評估和保護、數據安全治理等問題。目前國家和行業內都陸續開始發布相應的數據安全法律法規,但對企業來說,還存在著指導性原則和可落地性兼容問題,以及未來的持續性改進等客觀現狀,當然數據安全工作本身也是一個持續性工作。

目前大部分企業在落地過程中,還是處在摸索階段,因為數據安全的運營需要各個領域人員都要主動或被動的參與其中,這無形中增加了企業做數據安全的難度,比如數據安全要防護到何種程度和范圍?如何平衡安全等級和數據流轉效率?不同價值數據如何定義安全保護等級和技術手段?未來業務模式變更如何保證數據安全動態調整?如何可持續化安全運營和服務業務等等,解決這些問題需要的一個多維度思考、多業務交叉的綜合項目團隊。

就國內企業在數據保護方面的主要挑戰而言,數據泄露問題還是重點,主要來源于內部和外部兩方面。內部更多的是來源于員工的意識和認知,現在很多員工基于誘惑也好,或者自身認識的局限性也罷,導致主動泄密的情況發生,這對企業而言極具殺傷力,尤其對科技型、高知識產權型企業。以芯片行業為例,今年突然多了8萬家新企業,公司數量上的增加和技術研發投入真的成正比嗎?有沒有員工帶著上家企業的研發成果跳槽到下家企業的現象呢?這非常值得商榷。

外部來講,雖然監管力度在不斷加強,但是企業的核心數據,特別是個人信息數據,被黑客或組織竊取的威脅風險依然存在,從媒體的有關報道中就可見一斑。且黑產數據交易的現象也屢見不鮮,這都充分說明企業數據面臨的外部威脅形勢仍然十分嚴峻。


記者:在您看來,一個科學合理的數據安全建設體系應該是怎樣的?在這方面,億賽通是如何深耕布局的?

李賀:我個人認為一個好的體系不能單獨脫離制度去講技術,也不能脫離技術去講制度,而是要把制度和技術進行有機平衡和高效融合。數據安全建設體系也同樣遵循這點。然而平衡點和融合點的值并不是絕對的,和企業文化、員工意識、歷史事件、領導意識都有關系。所以,數據安全建設體系要更加重視科學化、合理化、人性化,繼而找到最佳的平衡點和融合點。億賽通一直以來始終秉承開放合作的理念,積極推動安全產業的創新與發展。2020年,億賽通在業內首提“分?放?管?服”的數據安全核心建設理念。數據安全的首要基礎工作是對數據資產的發現和梳理,即分類分級。“分”是從整體架構的層面來規劃數據安全,是數據安全綜合解決方案的基礎,沒有準確合理的“分”就沒有有效安全的數據應用和管控。如果說“分”是數據安全綜合解決方案的基礎,“放?管”則是方案的的具體執行,通過各種類型的數據安全工具來達到合理管控的目的。“放”是指數據的流動與應用,而“管”則是指保障數據的安全。兩者之間是一個需要動態精準把握的平衡關系。安全服務貫穿了數據安全體系前期的咨詢規劃、中期的建設和后期的運營,包括相關的人才培訓和培養工作。熟悉網絡安全工作的業內人士可以看出,這也正是同步規劃、同步建設、同步運營,即三同步理念的體現。


記者:有人說,遠程服務和安全即服務正在成為網絡安全服務市場新的發展趨勢,您對這句話有何看法,貴公司在安全服務方面又是如何規劃的?

李賀:在數據安全角度,我贊同這種說法。但傳統咨詢式的安全服務已不能滿足客戶需求,現在的服務已經轉化為一種能力賦能,把企業的技術、產品、方案、服務等都融合其中。一方面把固有攻擊模型的防護能力附加給客戶,另一方面對新興的響應能力也作為重要服務打包給客戶。因為安全是個動詞,是隨著攻擊手段和模型的變化而變化,而不是一成不變。

當然企業也需要培養自身的安全專家,但是方向更傾向于業務安全專家,安全能力側由外部廠商通過服務提供,通過企業內部業務安全專家和安全廠商能力專家的合作轉化,更準確、更明確的解決客戶數據安全問題,滿足客戶需求,同時促進安全廠商在原有技術架構上的深耕,更重要的是它找到了一個更好的讓客戶滿意的點。我認為這就是一個好的模式,也可以說是一種趨勢。

億賽通非常重視在服務上的建設,服務在億賽通數據安全核心理念“分?放?管?服”中占有非常重要的位置,不僅僅提供傳統的數據安全體系建設服務、數據安全制度咨詢服務、數據安全培訓服務、數據安全運營服務,還針對性的提供數據安全漏洞掃描服務、數據安全治理服務、數據軌跡追蹤溯源服務、數據安全防護能力接口等特色服務,這些服務都是億賽通服務客戶、客戶滿意的基石。 


記者:作為一家長期專注于數據安全的企業,億賽通在技術創新、產品研發等方面取得了哪些進展? 

李賀:在產品上,公司目前基于“云、網、端”發布了一系列數據安全產品,在結構化數據、非結構化數據防護上都有相應的產品和解決方案。

在創新上,近幾年業界提出“以人為核心”的安全管理理念,這個理念也非常適用于數據安全泄露防護領域,通過大數據、機器學習、用戶畫像等技術應用,億賽通在內部數據安全領域中,發布了以“人、數據、軌跡”為焦點的UEBA產品,讓企業數據安全管理者既能預先感知內部數據使用者畫像變化,發現潛在風險;也可以通過軌跡溯源追蹤數據泄密風險人員,并協助企業溯源取證。

目前公司也積極在區塊鏈、大數據安全技術研發和產品方案布局,預計很快就可以發布相關的產品。


記者:工程交付是目前被業界普遍忽略的痛點問題,億賽通在這方面是如何布局的?

李賀:工程交付是目前被業界普遍忽略的痛點問題。由于數據安全體系的龐雜,終端環境千差萬別,安全、IT及業務部門的交叉,往往導致交付難度大幅度上升,用戶體驗感較差。

為此億賽通提出并實施了流程規范、資料完備,交付技術、交付效率、服務態度和用戶滿意度等六項交付效果指標。通過這六項指標,服務了小到幾千點大到十幾萬點的客戶,良好的交付效果及專業技術能力,獲得了客戶的高度反饋與好評。目前,公司已在金融、能源、政府、通訊、醫療、地產等行業積累了大量成功案例,并在各類項目實踐過程中結合各行業的客戶實際需要和應用場景,有效地提升其安全管理工作的效率和質量。

 

記者:請您談一談對目前數據安全行業的看法。

李賀:當前我國互聯網發展迅速,給人民的生活帶來了巨大的便利,同樣對個人信息數據的擁有者、使用者也提出了較高的關鍵數據資源保護能力要求。一方面,已經可以看到的,國家和行業監管在加快立法和標準的制定,各個安全廠商也積極努力的為企業提供優秀的產品和解決方案;另一方面,國民網絡安全意識、數據安全意識也需要提升。這里僅通過貴司平臺,希望網絡安全科普可以更多、更大范圍的開展,從小教育和宣講網絡安全方面的知識,利用典型案例警醒師生要科學規范使用網絡,讓網絡更好地為生活服務。甚至小學課堂教育中,將網絡素養、網絡安全教育與學科教學結合起來,組織學生學習網絡安全保障能力、個人及重要數據保護、電信詐騙、網絡暴力、網絡法律維權等內容進行學習教育。其實,億賽通好多工作人員工作之余,在子女所屬的學校里,給學生分享網絡安全和數據安全的知識,也希望其他的網絡安全從業者也都將這些公益活動做起來,盡可能身體力行推動網絡安全科普。

總的來說,數字經濟時代,數據已成為與勞動、資本、土地、知識、技術、管理等并列的生產要素,我國應當立足基本國情,借鑒全球數據治理經驗,構建適應我國數字經濟發展需要,保障我國數據資源利益的中國特色數據安全保護體系。