鑽石舞台

近年來，中國數字經濟高速發展，並深刻融入到國民經濟的各個領域。隨着數據量激增和數據流動日益頻繁，有力的數據安全防護和流動監管將成為國家安全的重要保障。

近日，2022數據安全技術大會暨中國信息協會信息安全專業委員會年會在北京成功舉辦。在會議上，由中國信息協會信息安全專委會數據安全技術工作部指導，組長單位北京天空衛士網絡安全技術有限公司主編的數據安全治理自動化技術框架（DSAG）白皮書正式發布。

李京春：首先來說，在數字經濟時代，對數據安全的認識度還需進一步加強，甚至要把其提升為國家戰略，這是數據的重要性所決定的。數字經濟時代，數據是新時代的石油，是新經濟的核心。

因此，世界主要國家，還有企業都不遺餘力加強在數據方面的布局。同時，由於缺乏數據安全意識而導致的數據泄露事件層出不窮。比如，有的企業缺乏維護網絡安全意識，為了短期商業利益，將未經脫敏的個人信息、行業信息甚至國家信息作為利益交換的「籌碼」，嚴重危害網絡安全、國家安全。數據安全保護、保障、保衛的需求也就隨之「水漲船高」。

再有就是，我國數據安全基礎產業仍在起步和探索階段。我國數字經濟發展雖然很快，也取得了很多可喜的成績，但行業數據安全保護的整體能力仍然處在初級階段，處在保護不規範、不充分、不全面、不徹底的狀態，亟待加強合規性、安全性、完整性、可用性、可控性的保護和數據安全治理。目前，《網絡安全法》、《數據安全法》、《個人信息保護法》相繼實施，非常需要與之相配套的可操作、可落地的基礎標準規範來落實法律法規要求，形成全社會、全行業數據安全治理的制度體系。

另外，要加強全面安全保護。不是僅突出《數據安全法》，或者把《網絡安全法》說成是傳統的，這就首先要明確《網絡安全法》、《數據安全法》、《個人信息保護法》三者的關係。《網絡安全法》是上位法，是網絡安全專門性、綜合性的法律。《數據安全法》和《個人信息保護法》是數據安全領域的基礎性法律。

楊明非：最近圍繞着數據安全方面法律法規有很多，特別是關於個人信息處理的。事實上，有很多企業和行業都有大量的非常重要的數據，隨着數字化轉型加快，這些數據使用更加頻繁，這也對數據處理、使用、存儲、傳輸過程中帶來了很多挑戰。

作為一家技術型的廠商，天空衛士自2015年成立以來就一直深耕數據安全，圍繞着數據本身的處理，就是我們整個產品的體系，也可以說始終構建以人和數據為中心的安全架構。本次發布會，我們提到了數據安全治理自動化的概念，圍繞幾個點，重點闡述一下。

首先就是數據分類分級的自動化。數據分類分級是數據安全的基礎，也是企業首先要面臨的問題。《數據安全法》裡面也提到，企業需要完成數據的分類分級保護。事實上，數據的分類分級流程非常複雜，為此，我們儘可能的會採用技術手段來簡化流程，然後對相應的數據進行聚類，之後輸出其特徵，或者給出一些自動分類分級的建議，整個流程都是建立在一個自動化的平台。在這個平台上面，在儘量少的人工參與的情況下，企業就可以對自己所掌控的數據進行分類分級的識別。

其次就是實現數據安全處理的自動化。圍繞着數據生命周期，在整個流程里，通過技術手段，對數據採取標記，做可視化處理，或者做審計，這也就意味着不但允許數據流動，而且知道數據是怎麼流動的。

再有就是實現行為分析上的自動化。這是人工智能參與最多的一個場景。數據安全所有的敵人都是人，在這裡面需要通過對人的行為的分析，實現通過規則方式無法去處理的問題，在海量的正常的事件中，去找到其中可能潛在存在的異常點，通過這種方式，來給每個人最後打出來一個風險評分。

李京春：在數據進化加速的背景下，數字化進程加速的背景下，數據安全作為經濟發展的重要保障，受到了國家和全社會的高度關注。法律標準不斷出台，而企業作為落實法律標準的主力軍，其技術創新和發展成為重點。框架的發布，將非常有助於《網絡安全法》《數據安全法》《個人信息保護法》等法律法規的實施落地，意義深遠。

第一方面，《數據安全治理自動化技術框架》白皮書的發布，對保障工業互聯網、智慧醫療、智能交通、自動駕駛、智能電網、智慧城市等數字化轉型發展將會產生積極影響。在數字化轉型中，要進行數據治理，又必須要考慮數據安全，兩者是相輔相成的。因此，《數據安全治理自動化技術框架》的成熟度越高，其參考價值就越高，影響範圍也就越大。

第二方面，對保障數據有序共享、跨境流動、數據交易等企業發展和產業生態建設將會發揮積極的作用。數據安全治理對技術依賴特別強，《數據安全治理自動化技術框架》的重要性不言而喻。而且希望大家可以讓框架更加規範起來，數據治理是要有規範的，數據安全治理也同樣如此，越先進、越規範，就越能發揮出它的共性作用。也希望框架能夠不斷更新、優化，充分發揮其在數字轉型中的作用。

第三方面，對推動數據安全和個人信息保護等安全企業發展，以及數據安全生態建設也會起到促進的作用。解決數據安全和個人信息保護的方法、路徑有很多，而框架可以實現規範、增效，促進安全企業的認同感，以及智能化、自動化治理水平。同時，框架的規範作用，也對構建合理技術規則之下有序的數據治理生態起到了促進作用。

雖然框架存在某些不足和瑕疵，但是我相信通過不斷地完善迭代和經驗總結，以及試點示範的應用，將會不斷變得更加完善，甚至在其影響下，產生更多更好的方案，從而對數字化轉型和數字經濟發展提供更多助力。

楊明非：Gartner在2018年的下半年，發布了數據安全治理框架（DSG）。DSG的理念是數據安全治理是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識，確保採取合理和適當的措施，以最有效的方式保護信息資源。

DSG的最大亮點是提出了「數據安全的建設要和業務緊密結合，而不是用某一個標準」。但是DSG的弱點也顯而易見，比如效率偏低、周期長，成本高。

最主要的是DSG的智能化能力偏弱，其中強調的技術，UEBA、CASB，以及一部分針對數據的結構化和非結構化的各種標識技術，並沒有提供給中國，以致於在中國只有體系，沒有技術，數據安全治理根本無法落地，也不能給企業帶來價值。

最近幾年，國際上在數據安全方面的自動化和智能化新技術層出不窮，但是這些技術在中國並沒有被使用，甚至沒有被了解，因為歐美企業不提供這樣的技術給中國用戶。

因此，近幾年，在中國信息協會信息安全專業委員會的領導下，天空衛士在數據安全治理技術上加大了投入力度，針對DSG的缺陷進行了提升，彌補了技術的缺失，要真正解決數據安全核心技術受制於人的局面。

簡單來講，數據安全治理自動化（DSAG）通過自動化技術，識別結構化和非結構化數據，從企業內數據資源發現，到對數據進行分類分級，並以數據分類分級對象為核心，用戶行為分析為增強手段，進行數據安全策略的配置和執行，全方位地覆蓋數據安全治理周期的每一個環節。DSAG儘可能使用最大化的合理自動化，令人工干預降至最少，在必要的人工環節使用智能輔助，減少人為錯誤，更有效率及有效性地提高了數據工作的安全性。

楊明非：第一個是防護手段的挑戰。所謂很難生效就是過去的安全保護手段都是以隔離為主，包括虛擬桌面等，這種隔離手段目前已經行不通，大量的數據泄露事件已經證明了這一點。因此，需要一個新的以數據為中心的手段來做防護，特別是針對流動中的數據。

第二個是人員能力的挑戰。這主要是來自於人員的知識面和數據安全的意識。在這裡，我定義了三種類型的人員，當然這個角色裡面可能還有很多，包括法律法規要求的CDO，就是首席數據官之類的這種人員。

第一種類型叫做數據安全的IT管理。IT管理員就是他對各種數據安全治理技術手段非常清楚，比如數據都存在哪裡，數據庫如何去找，如何去發現什麼是NFS，什麼是CFS等等。但這個不代表數據安全全部，它只是數據安全最基礎的一個部分，叫數據安全的技術員。

第二種類型叫做數據安全員。數據安全員最主要的作用是對業務體系和數據安全技術體系進行耦合。這類人員很大可能來自於業務部門，可能對技術方面不太了解，但必須對數據本身很清楚，必須要有非常清晰的理解，能定義出數據的類型。

第三種類型叫做數據安全的管理者。數據安全管理者類似於CDO，或者數據安全的管理領導小組，可能是一個人，也可能是一個組織。他們要求對業務、法規等有比較全面深刻地理解，並且能夠制定相關的數據安全策略。

第三個叫做分類分級的複雜性。要對數據進行保護，數據的分類分級是前提，而要做好數據分類分級，不僅需要從風險角度看，公司有哪些數據是最重要的數據，還要把這些最重要的數據區分出來，然後，根據內容和重要性對數據進行分類分級，而且還要根據誰會使用這些數據來去做什麼，形成數據安全的策略。

我們所提倡的《數據安全治理自動化技術框架》（DSAG）方案通過自動化技術，以數據分類分級對象為核心，在儘可能少的人工干預下，更有效率及有效性地對數據進行分類分級，減少企業的人工投入成本，簡化數據分類分級的複雜度。

李京春：作為首屆的數據技術安全大會從制度、技術、人才等方面，在宏觀的數據安全治理方案上面提出了一個快速解決方案，是數字經濟發展的重要補充，對數字經濟發展非常有意義。

但要想更好地落實該解決方案，還需要協同，好比萬物互聯相當於汽車，對應的要修高速公路，要有高速公路路網，而網絡平台就相當於車身，數據安全就相當於汽車的動力燃料，軟件定義，包括算法，則相當於汽車的發動機，來推動把數據燃料燃燒起來。而安全就相當於車的剎車制動器，防止汽車行駛時出現意外。所以數字經濟需要發展和安全要雙輪驅動，平衡駕馭。

十三五主題是產業融合，十四五發展主題是數字化轉型，而數據安全則是數字化轉型的重要部分，成為十四五規劃戰略布局的關鍵領域，常態化地納入了政府年度重點工作任務。數據安全技術大會的成功舉辦，必然對推動數字化轉型，即產業數字化，數字產業化，起到了助力促進的作用。數據安全保障能力是國家競爭力的直接體現，在國家安全體系當中的重要地位也有進一步的明確。

此外，本次大會的成功舉辦也讓更多人了解到了前沿的數據安全技術和數據安全治理體系的新思想，有助於提高數據安全企業的影響力，提升數據安全領域的關注度。同時，也讓相關行業的人員更加深刻地了解數據安全技術的價值。特別是隨着數字經濟的發展，數據流動更加頻繁，而數據安全治理的水平和能力的高低，對數據的安全運用有非常大的影響。所以數據安全治理工作確實需要補齊短板，促進各個業務場景的發展，充分發揮數據價值和作用，從而為數字經濟發展保駕護航。