双安融合：数据安全之道新探索 | 海云安谢朝海·大咖访谈

谢朝海博士

海云安创始人、董事长

国内知名“红客”，国家863项目、242信息安全专项及北京奥运会、十九大等重大活动安保的核心骨干专家，在等级保护、应用安全、数据安全等领域有着极深的造诣，参与制定了国家及行业标准《国家等级保护标准GB/T 28448-2012》，《国家等级保护标准GB/T 22239-2008》，主持制定《深圳法人银行个人手机银行安全评估规范》、《金融服务移动应用信息安全指南》SZDB/Z 204-2016等金融行业标准。

数据作为国家基础战略资源，是我国数字经济发展升级的重要推动力。但是数据的管理使用也存在着各种各样的安全问题，比如数据泄露、数据被盗、数据非法贩卖等。您可以给我们分析一下现阶段企业做好数据安全主要面临哪些挑战吗？

谢朝海：在数据价值越来越高的背景下，我认为企业主要面临三个方面的挑战：

第一、从国家监管角度来看，随着近年来网络安全法、数据安全法、个人信息保护法等数据安全相关法律法规密集发布，奠定了数据安全的法律基础。行政管理上则形成了中央网信办统筹协调、行业及地方主管部门各司其职的数据安全监管模式。企业面临着如何满足相关法律法规要求，如何应对不同监管部门审查的合规压力。

第二、从企业自身数据安全能力来看，由于国内绝大部份企业数据安全建设起步较晚，数据安全能力还比较薄弱。在管理层面，存在配套的组织架构不完善、相应管理制度缺失、缺乏有效的数据安全策略等问题。这可能导致数据安全责任不清晰、企业投入缺少依据、数据安全策略与企业业务不匹配等问题。在技术层面，由于缺乏对数据生命周期各个环节的安全监测与控制措施。容易在身份验证、漏洞管理、数据加密、访问权限控制这几个方面出现问题，增加外部黑客入侵及内部人员篡改企业数据的恶性安全事件的发生概率。在运营层面，存在企业未正确分类和标记敏感数据、缺少针对数据流动的实时监控系统的问题。这可能造成如数据违规外泄、高权限数据流向低权限用户等严重问题。另外，员工缺乏定期培训也造成了企业数据安全能力的不足。

第三、从企业数据安全投入来看，很多企业没有从数据全生命周期的角度对数据安全能力规划建设，而是采取了“头痛医头、脚痛医脚”的方式进行投入。比如为了防止数据外泄，就盲目上马数据加密系统，却忽略了权限管理的重要性。造成数据访问审批繁杂，严重影响业务开展。再比如忽视对数据的载体应用程序开发阶段安全合规的需求，造成不满足合规性要求和存在安全漏洞的应用带病上线。上线后的整改和一些事后弥补技术措施会给企业带来巨大经济浪费，而且往往效果欠佳。

面对这些挑战，国内、国际上有没有行之有效的应对措施？

谢朝海：我们经过这几年对政策和最新技术的研究，摸索出了一套客户认可的理论实践框架。在理论上来说就是数据安全、应用安全的“双安融合”，在落地上来说就是安全的“左移开发、右拓运营”。

“双安融合”是指在应用程序开发和维护过程中，将数据安全和应用安全的建设要求进行融合，以确保作为数据载体的应用程序和处理的数据都得到适当的保护。这种融合有助于建立一个综合的安全策略，提高整体安全性能。

在“左移开发”阶段，充分考虑需求、设计、编码、测试等环节对数据安全、应用安全的需求，做到安全合规的前置，将“双安”做到数据和应用的融合。比如开发人员应遵循安全编码标准，避免常见的漏洞。使用IDE插件等安全编码工具，应用敏捷白盒等代码审查工具，确保应用程序的安全合规性，通过建立DPIA流程实现数据采集使用需求的合规及安全。

在“右拓运营”阶段，做好应用内访问控制和权限管理、安全认证与身份验证及漏洞闭环管理等措施。在此基础上对数据流动进行全链路监测，及早发现异常数据流动，如未经授权的访问、异常行为获取数据等，识别敏感数据的不正常流动，防止数据被未经授权的人员或系统访问、传输或共享，减少数据泄露的风险。在遭受安全事件时，可以做到快速识别攻击来源及攻击路径，针对性启动应急响应计划，控制事件的影响范围。

可否为我们分享一些 “双安融合”的成功实践案例？

谢朝海：我们在一家国有大型制造企业进行了“双安融合”实践落地，这个案例也有幸获得了2022年工信部工业领域数据安全管理试点典型案例。通过应用与数据双生命周期安全管控方案的落地实践，在管理上完善了数据安全管理组织，建立了较为全面的安全制度体系，制定了具备行业属性的数据分类分级指南、数据流动风险检测指南、网络安全与数据安全保障体系建设指南等。在数据安全合规方面提出了多标融合指标和评估方法，较好地解决了多方监管合规压力大问题。在“数据安全监测”方面通过安全平行切面等前沿技术解决了应用层数据流动安全监测难问题。这些成功的经验其实可以在不同行业全面推广，虽然行业可能不同，但是方法和技术是相通的。

我们也期待这种思路可以真正成为全行业的数据安全解决之道。

往期回顾