数据智能产业创新服务媒体
——聚焦数智 · 改变商业
2012年,时任阿里巴巴数据仓库负责人的行在接到一个任务,组建阿里数据安全小组,并被票选为第一任组长。
阿里集团CDO对行在说,“你自2004年开始从零到一搭建数据仓库,目前阿里所有的数据资产都在你这里管理,做好安全也是你的责任。数据如果出了问题我找你,安全出了问题我也要找你。”
行在是StartDT CEO、奇点云创始人张金银的花名,在阿里工作的十二年时间里,有两件事给他留下了非常深刻的印象,一是做了多年Oracle DBA的他,为了让阿里数据基础设施变得自主可控,在数仓领域主导推动“去IOE”,并取得了极大的成功;二就是参与建立了统合数据资产和数据安全的数据委员会。在不断长大的过程中,阿里开始意识到,数据和安全是相互依存、不能割裂的。
“把数据和安全一拆为二的话,貌似容易管理,其实是有问题的。在拆分管理的情况下,对于安全责任人来说,最安全的做法就是把‘仓库’门给锁上,那就不要发展业务了。我们的工作是要给飞机建立安全合规的跑道,是让飞机跑得更安全、更快,而不是让飞机不要起飞。”
奇点云的数据安全就是为数据云和分析云自建安全合规的跑道。一方面,确保客户使用任何奇点云的产品与服务时都是安全、合规、可靠的;另一方面,将奇点云在数据安全方面的经验,以“咨询+产品+实施”三位一体的方式进行商业化输出,赋能给广泛的客户,不仅帮助客户守护其数据资产,更构建更为合规安全的生态,使其数据资产发挥更大的价值。
对于数据从业者来说,近年来相关政策法规的发布已对其业务产生了实质影响。以 2014、2017、2019年为例,从“中央网络安全和信息化领导小组”成立、《中华人民共和国网络安全法》颁布、“网络安全等级保护制度2.0”实施等事件中表明,国家对数据及网络安全重视程度呈现明显上升趋势。2021年更是数据安全法规颁布大年。时年9月1日,《中华人民共和国数据安全法》生效施行,该法律聚焦数据安全领域的突出问题,确立了数据分类分级管理,并建立数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度。同年11月1日,《中华人民共和国个人信息保护法》(PIPL)正式施行,该法律则针对个人信息保护方面,明确不得过度收集个人信息、大数据杀熟,对人脸等敏感信息的处理也作出了限制性规定。随着《数据安全法》和《个人信息保护法》的相继实施,国家安全、数据合规、数据防泄露、个人隐私保护等方面被提到前所未有的高度,监管、判罚“靴子落地”,“数据出境”、上市前数据合规审查等规定也对多数行业的公司产生了很大影响。我们过去谈到数据安全,可能马上想到杀毒、防火墙、数据备份、加密等单一的技术,近几年,越来越多的企业的数据安全观念已经发生了转变,数据安全不只是安全工程师的事,而应该延伸到整个公司治理层面,如要包括企业数据的“采集、传输、存储、处理、共享、销毁”等全过程安全,并在企业管理层面建立相应的数据安全体系。“技术和产品只是数据安全的必要条件,而不是充分条件”,行在说道,“能够确保安全的机制,除了产品和技术,还必须加上‘组织’。我们在对客户服务的实践过程中,帮助他们从组织上建立良好的安全规范,如权限管控、数据共享策略,如此才能具有真正有效的安全机制。”过去正是由于缺乏在“组织”上打通的机制,安全合规的要求局限在IT或法务等单一部门,不仅导致他们没有权限在全公司层面完善安全体系,也难以建立全局各环节的协同。奇点云在客户调研中发现,由此导致部分企业权限管理“烟囱”林立,例如,为保证自有核心数据安全,只能“一刀切”,而无法可控地共享数据,安全漏洞也难以从全公司层面进行排查,达到合规的成本很高。知名研究机构Gartner提出,企业的数据安全治理应该建设一个至上而下的整体框架,包括从治理前提、具体目标到技术支撑的完整体系。Gartner 强调,从需求调研开始实施数据安全治理,千万不要跨过数据摸底、治理优先级分析、制定治理整体策略等层级,而直接从技术工具开始对数据安全进行治理。来源:奇点云《DPO 数据安全白皮书》、Gartner数据安全治理框架与Gartner提出的数据安全治理思路类似,奇点云认为企业的数据安全治理可以从管理要素、技术要素、基础要素三个层面来展开,每方面都应有专门的角色来负责,并由公司在组织层面给予保证。管理要素:基于对法律法规的理解,从公司内部管理层面实现法律的合规,需要律师、咨询顾问帮助企业落地;
技术要素:在底层实现全链路的数据安全,保护数据免受未经授权的访问和操作,包括选择合适的安全策略,需要安全专家顾问以及专业的数据产品及技术开发来解决;
基础要素:围绕基础设施展开,保证数据被安全存储和计算,可以安全地迁移、更新、备份。通常由云厂商及数据平台团队来保障。
欧美国家最早从 2000 年开始,如今已有至少数百家公司设有 DPO(Data Protection Officer,数据保护官) 职位。该负责人全面考虑法律及监管部门的合规要求,建设数据安全技术体系、数据安全管理体系以及运营体系,并能够按步骤、分阶段地逐步完成数据安全治理工作,在长期范围内用更少的成本做到业务风险可控,满足国家有关部门不同层次的合规要求。Gartner研究亦表明,到2025年50%在中国开展业务的大型跨国公司将设置类似DPO的数据安全负责人,他们具备本地法律专业知识及语言技能,以满足中国市场相关的数据保护需求。Gartner分析副总裁Peter Firstbrook特别表示,“为了降低这些风险,传统的CISO(首席信息安全官)需要转变角色,从防止漏洞的技术专家转变为管理网络风险的企业战略家。”成立于2016年的奇点云,自成立伊始便将数据安全融入到其数据产品的体系中。这几年刚好也是国家频繁出台数据安全政策法规时期,客户对数据安全的需求亦逐年增强。当奇点云为客户提供服务时也发现,许多客户对于数据安全治理体系化建设仍处于比较迷茫的阶段,例如不知如何入手,如何定成本,如何建制度。而单纯销售数据安全产品不足以帮助客户解决数据安全的问题,还必须结合咨询和实施,“三位一体”才能更好地将企业级的数据安全合规落实下来。StartDT(奇点云)合伙人、资深战略咨询专家何夕说道,现在企业面临两类需求痛点,一类满足合规监管的需求,也就是需要符合法律合规;另一类是容忍度评估,在生意和安全成本的平衡中做评估,也就是数据安全的问题不要影响到企业生意。奇点云会根据上述评估结果,为企业制定实际可落地的数据安全规划,包括隐私政策更新、数据安全Milestone的设立、未来数据安全体系的实施规划等咨询服务。同时,奇点云也提供相应的产品(数据安全引擎DataBlack),从数据采集、数据存储、数据加工等全链路保障企业数据的安全合规。“对于企业的内部数据,涉及到个人数据、重要数据、敏感数据,我们会制定出安全策略和规则,对数据进行分级分类。以我们现在正在服务的一个集团企业为例,敏感数据在进入数据云平台之前就要完成加密,只有在平台上获得授权的人才可以解密,并进而分析和使用数据。在实际落地过程中,我们不能仅考虑规则怎么设定,还需要在产品上去做实现,包括提供一些安全相关的智能算法,并且保障整个业务流程不受影响。”“除了具有通用的模型以外,在我们咨询过程中,对不同行业、不同企业个性化的响应也必不可少,”何夕说道,“难点在于,要把PIPL等通用性合规要求,与企业的实际问题对应起来。比如一些零售品牌外企,经常会使用Adobe、Google等海外数据产品,而这些产品在中国没有数据中心,这就会涉及到数据出境的问题。这些企业通常还接触到中国大量消费者的数据,属于我国严格管控的范围。我们在这部分就建议客户采用国内同类型、安全合规的数据分析产品(例如GrowingIO的增长分析产品)作为替代,不涉及数据出境,在保证功能质量的情况下,做到全链路合规。”何夕表示,“对于很多企业面临的个性化问题,我们通常会先采取‘小切口’的模式,从亟需解决的问题入手,比如说CDP(客户数据平台)/MA(营销自动化)等拆解出私域运营投放、用户数据分析等细分环节,筛选哪些需要立即满足PIPL的要求,我们就尽快‘对症下药’。”而对于部分企业在“合规”和“易用性”需要取得平衡的问题上,奇点云给出的解决方案则是,先考虑合规,再考虑易用性。何夕表示,企业第一优先级要考虑的一定是数据合规,去设计并实现数据从采集、存储到加工等全链路的合规,不合规就没有办法把数据用起来,甚至业务是无法进行的,然后再考虑易用性问题。而后者恰恰属于奇点云能够发挥优势的部分,他们相信在确保合规的前提下,产品效率和用户体验的提升具有非常大的改善空间。正如奇点云内部一直强调的,“飞机”不能因为风险而停飞,但可以修建更好的“跑道”。借助奇点云提供的算法、智能化产品来进行诸如数据脱敏、分级、加解密等相关动作,在符合合规要求的前提下,让数据资产价值得到最大程度的发挥。融入安全的数据云,奇点云打造数据安全与资产价值结合的最佳实践
奇点云目前作为第三方独立数据科技集团,为客户构建统一开放、中立安全的数据云和全域全场景的分析云,提供可信易用的数据产品和端到端的服务。其本身就是数据治理、服务与安全相结合的最佳实践。在奇点云的全系产品设计中,都体现了数据与安全的融合。行在表示,“安全在奇点云不是一个孤立的功能,无论数据云还是分析云产品,都融在了产品基因里。我们在每款产品的数据全链路、全环境中,均要求保证数据安全合规,确保数据的使用及共享得到安全保障,确保客户对数据的充分可控。就好比水库中的大坝,我们需要检查流程中的每个环节、所有的阀门,不能有任何的漏洞。”与传统安全厂商有所区别,奇点云恰恰借助了数据云,将数据的全流程与安全的全流程衔接了起来,避免了割裂。何夕表示,数据全生命周期的安全管理框架从数据采集阶段就已开始,在进行数据治理时就要融入数据安全治理的考量,并做到“事前有指引”、“事中有管控”、 “事后有跟踪”,这恰好与PIPL的合规性要求相匹配。奇点云从安全治理、生命周期管控、运维安全、底座安全等方面,综合帮助客户把握有关PIPL合规性问题。近日,艾瑞咨询发布《2022年中国数据中台行业研究报告》,同样提到数据资产与数据安全的融合趋势。艾瑞表明,数据资产运营的目标是将数据转化为可阅读、易理解、好使用、有价值的数据资产,通过有序的正向循环不断挖掘并提升数据资产价值;而各个环节基于不同的数据类型和使用者,存在不同的数据安全风险,数据中台的数据安全模块则侧重于企业内部数据的安全管理,利用大数据平台的安全管理技术手段,排查有关数据安全的问题与隐患,并贯穿数据产生、存储、传输、使用、共享和销毁的全生命周期。值得注意的是,奇点云今年围绕数据资产安全,着力打造了数据安全引擎DataBlack产品,无缝内嵌于数据云平台DataSimba中。该产品采用“以数据为中心”的安全架构设计理念, 支撑企业完成数据全生命周期安全管控,强化企业数据安全治理能力与风险防御能力,从数据采集、传输、存储、处理、交换到销毁等流程进行全链路管控, 从“事前识别”、“事中管控”、“事后审计” 覆盖企业安全的全场景,还引入智能算法,对企业数据资产的安全治理实现全智能提效。DataBlack 的目标是保障企业数据资产的保密性、完整性、可用性。 通过敏感数据发现、数据脱敏、存储加密等功能的应用来实现数据安全风险的“可见”、“可控”,让企业在零信任安全的环境下更加放心地使用数据。为实现这一目标,DataBlack借助智能算法、机器学习的能力,提供了敏感数据分级分类、脱敏、加密与防拷贝、风险识别、审计、权限管控等六大核心技术。何夕表示,“数据分类分级是企业做数据安全工作的基础,DataBlack的敏感数据发现功能,可以为数据分级分类提供智能化支持,扫描敏感数据并做统一的安全管理。”按照行业分级分类标准和法规要求,DataBlack内置了5个数据级别和31类敏感数据类别,覆盖了企业常用到的敏感数据类型。DataBlack还可以做到动态脱敏,如用户在数据平台查询某个手机号,在平台层面就会自动为手机号进行脱敏处理。除了对数据资产本身进行全面保护,DataBlack 也有快速、全面的风险识别功能。企业可基于业务需求自定义配置风险行为规则, 例如,“用户在凌晨 2 点到凌晨 5 点之间,下载敏感数据量达到 50 条”属于中风险, 当有用户达到该风险条件,系统就会自动触发告警,并将其记录下来,用于后续内部审计。目前,DataBlack从技术和产品上已经建立了一套自动化流程。第一步配置分级分类;第二步配置识别规则(如果使用智能算法扫描,则可以跳过这一步);第三步配置扫描任务,平台支持手动、周期扫描多张表或项目内全量数据;第四步,对扫描结果进行管理,可以对扫描的结果进行修正或者锁定。DataBlack内置了字段识别的算法包,支持算法基于反馈自动更新训练,可以基于客户数据修正和迭代模型,提升算法准确性。DataBlack所处的数据生命周期阶段,来源:奇点云《DPO 数据安全白皮书》
近日,奇点云发布了一系列产品迭代,“数据安全能力”成为此次更新的关键词。
谈及奇点云加码数据安全的选择,行在表示,既往亲历实践与诸多企业案例证明,数据安全无法脱离数据云存在,而没有数据安全的数据云也不足以称为合格的数据云。一方面,奇点云的数据云平台DataSimba负责数据的集成、研发、运维、治理,沉淀并管理企业自有的数据资产;另一方面,DataBlack这样的产品则负责守护数据云平台上数据资产的安全。正如奇点云在服务某饮料头部公司时,通过数据云平台为客户构筑数据基础设施,实现对上层业务的支撑,同时在数据云平台建立数据标准,制定数据分级、敏感数据使用、异常行为预警等安全规范,确保数据开发利用的安全合规,支撑企业强化数据安全治理能力与风险防御能力,为数据资产保驾护航。“数据云平台已经成为企业数据资产的基础设施,那么全力保障数据全生命周期安全,为数据流动与价值激活创造可信可靠的环境就是我们义不容辞的责任。”行在谈到。日前,中共中央国务院在“关于构建数据基础制度更好发挥数据要素作用的意见”中提及:“强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程”;“建立数据可信流通体系,增强数据的可用、可信、可流通、可追溯水平。实现数据流通全过程动态管理,在合规流通使用中激活数据价值。”随着数据安全与数据应用融合程度的加深,数据资产的价值必将得到更大程度的释放。