摘要: GDPR来袭,其惩罚之严厉几乎成为最吸睛的一个点。不过,大部分国内企业都大可不必心慌慌,我们仔细研究GDPR所覆盖的企业、组织、机构等对象会发现,这个史上最严法案,其实和大多数中国企业都没啥关系。 衡量GDPR和组织是否有关的首要原则——只要组织搜集和处理欧...
GDPR来袭,其惩罚之严厉几乎成为最吸睛的一个点。不过,大部分国内企业都大可不必心慌慌,我们仔细研究GDPR所覆盖的企业、组织、机构等对象会发现,这个史上最严法案,其实和大多数中国企业都没啥关系。
衡量GDPR和组织是否有关的首要原则——只要组织搜集和处理欧盟成员国的用户的信息,就需要遵守GDPR。
实际上,国内的大多数企业并不会涉及,因此,先把国内的信息安全领域的法律法规消化好,比较重要。至于那些会受到GDPR影响的企业,也大可不必如临大敌,因为像安华金和这样的专业数据安全厂商,已经开始梳理法案条款,投入相应的产品开发,提出可供借鉴的应对建议和专业的解决方案。
在第二届中国数据安全治理高峰论坛期间,安华金和CTO杨海峰接受媒体独家专访,针对欧盟“一般数据保护条例”(GDPR)做出思路清晰的分析,并结合安华金和数据安全全线产品,以及基于方案积累所提出的“数据安全治理”框架,提供了部分应对思路。
一、迎接GDPR时代,做好战略布局
记者:
安华金和在数据安全领域已经耕耘多年,能否请您谈一谈欧盟发布的“一般数据保护条例”(GDPR)和国内对数据安全法律法规或技术体系规范上有何不同?安华金和在数据安全领域有哪些战略布局和计划?
杨海峰:
安华金和是在2010年左右涉及数据安全,在那个年代我们国内对数据安全领域起步比国外稍晚,起步时间并不长,因为那个时候像传统的数据库厂商Oracle也才开始涉及数据安全这块,从那个时代之后,国外传统的数据库厂商逐步开始涉及数据安全,这个时间要比国内早几年,像美国的数据库厂商,大多采用的是以色列技术,很多新的技术都是从以色列开始的,那么美国的厂商通过收购等手段获得数据安全方面的领先技术,数据安全概念的提出到应用大概在8-10年之间。从数据安全的前沿技术来看,国外一直领先,从数据库安全到大数据安全,以及现在的云上数据安全,这些方面美国比我们国内要先进很多,但是另一方面我们比欧洲的一些厂商要领先一些。尤其GDPR法案出台以后,安华金和也有计划去到欧洲开辟新兴市场,我们面对主要的竞争对手还是以美国公司为主。
在国内做数据安全的厂商现在也有几家,除了大家熟悉的几个大型互联网企业已经开始数据安全这项业务以外,随着数据资产的重要性以及云技术的发展,数据集中和数据价值不断展现,数据安全越来越得到大家的关注,很多大企业也进入到数据安全这个业务领域,与安华金和也会产生一定的竞争,但同时也催生了很多合作机会,例如安华金和与阿里的合作,也是由于他们已经关注到这块领域。
安华金和随着多年积累,从前期、中期、后期这三个围度已经形成一套完整的数据安全产品线,后续的产品线整合已经开始实施,包括这次峰会我们重点推的数据安全治理DSG理念,就是要把以前单一的产品,融合成一套完整的从梳理到保护以及最后的态势感知的数据安全解决方案提供给用户,这是我们目前的一个主要业务方向。单一产品解决不了的问题采取多维角度,融合多个产品一起去解决用户的数据安全问题。另一方面,随着云技术的发展,也会在云的场景下,包括和阿里云、腾迅云、华为云等国内云平台的厂商,把我们的产品变得云化。
所谓云化,不是简单把产品变成适配云环境的一个产品,而是把产品的核心技术和云上的核心技术整合在一起,就相当于一个土生土长的云下的数据安全产品,但这也面临很多技术架构的重构和一些概念上的重新调整,要适合云的环境,适合云的多用户的角度,包括一些安全的SAAS化,包括数据库的审计、数据的脱敏、数据库防火墙……随着与阿里云的深度合作,我们会把它做成SAAS化的数据安全产品提供给用户,这样的好处就是成本会大幅降低,覆盖面会更大,中小用户因此不用花很多钱,就可以享用开箱即用的数据安全能力,这是我们近期规划,也就是未来一两年要做的事情。
记者:
安华金和数据安全业务重点在哪几个行业应用更多一些,特点是什么?
杨海峰:
从行业的角度来说,有数据的地方,就有数据安全需求,但是从重点行业和领域方面,一是金融,包括银行、证券、保险这三个重点领域;二是能源,主要是电力、石油这两个方向;还有一个是社保和公积金这几大块的IT建设是做的比较早,也相对先进,其复杂度比较高,因此对数据安全的需求也非常高。另外,还有一个新的领域,就是教育,每年教育的数据泄漏事件比较严肃,像去年的徐玉玉事件,在社会上造成非常大的影响,目前教育领域对数据安全的需求关注度非常高,安华金华也在为教育行业提供完整的数据安全解决方案,同时参与到方案的建设和规范编制以及后续培训的工作中。
二、借鉴该借鉴的,分辨与国情不符的
记者:
GDPR从16年出台,我们从他们的法律里面得到哪些借鉴,与中国国情有哪些不太适用的地方?
杨海峰:
GDPR法案最早是从欧洲的一个数据保护法案演变过来,专门针对个人隐私制定,整个法案的要求非常高,因为这种高标准的要求,不得不让人思考新的技术和新的解决方案以满足法案的要求。通过对这个法案的理解,结合我们国内产品未来的发展方向,能够看到很多新的挑战。因此,我们会和Gartner去沟通,吸收它对这个法案的理解,反过来促进我们在产品特性和技术上往GDPR的要求上靠拢,这对我们做产品确实有一定的影响。GDPR对国内的一些标准和法律也产生了较大的影响,包括现在我国的网络安全法律,也能看到一些GDPR的影子,像“个人信息保护法草案”,这里面的很多要求和GDPR存在很多关联性,但是具体到实施和监管,以及对法案的解读上还是会存在一定差异,毕竟国情不一样,那么在法案的实施和细节的解释上也会有一定差异。
三、数据安全治理框架下个人敏感信息保护思路
记者:
这两年国内个人信息泄漏情况非常严重,安华金和除了在云平台以外,其它业务方面有没有规划?
杨海峰:
我们会在重点行业和领域专门针对数据的分类分级和个人敏感信息的保护,给客户提供安全治理咨询。很多用户会面临个人隐私数据保护的需求,甚至业务内重要的核心数据也需要进行防护,但目前面对的问题是,用户有可能都不清楚这些数据在哪,甚至不知道这些系统中数据访问的情况如何,需要怎么样去保护它,整体呈现不清晰的状态。那么,我们就要帮助用户进行梳理、评估、咨询,帮用户理清整个数据的架构以及隐私数据在哪,使用情况是什么样的,做到对自己数据状况的深度了解,再为用户提供一套重要数据的保护方案和措施,同时加上配套的培训、规范的制定、组织架构的建议,从组织、规范、技术支撑、数据梳理、咨询几个方面帮助用户把数据安全做好。
记者:
安华金和产品线是如何划分的?
杨海峰:
目前从最前端的数据库漏扫,到中间的数据库防护层,数据库加密、防火墙,数据库的安全运维;到再下一层,数据梳理、数据库的审计、脱敏,包括现在正在做的数据库水印,新的产品会逐步加入进来,比如数据安全态势感知产品。态势感知产品实际上是多个产品的整合,基于审计、数据梳理这两个产品,把数据拿出来,供态势感知做数据分析,然后对用户使用数据的行为进行分析,产生用户行为分析的结果,继而将结果展现给用户,使用户明确现在数据使用状况如何,从而形成一个完整闭环的过程。最终使用户的数据安全建设达到理想结果。