CCIA理事 | 新品发布—安华金和数据安全运营管控平台

2020-12-17

图片

统一部署 � 统一监控

统一管理 � 统一运营

2020年12月15日,安华金和数据安全运营管控平台正式发布上市!新品以“平台化、体系化、可视化、实用化”为出发点,将为各行业客户提供具备“统一部署、统一监控、统一管理、统一运营”的一站式数据安全治理解决方案与技术支撑!


大势所趋

近年来,伴随移动网络、数字经济、电子政务等领域的持续高速发展,数据的价值和作用日益彰显,成为世界各国新兴、重要的生产资料,攸关国家安全与社会稳定。然而,面对因黑客攻击、内鬼泄密、操作失误、违规使用等导致的数据安全事件及各类隐患、风险、问题,过去市面上常见的数据安全方案大都通过提供单一化的功能解决客户在某个方面的问题和需求,这让不同安全产品间的数据“孤岛”现象突显,继而影响到数据安全建设在落地执行过程中的效率、质量乃至成本投入等诸多层面。可预见的,从当前到未来很长一段时期内,对数据的价值利用与安全防护将持续并行,因而需要一套成体系、可持续运营的平台化数据安全产品,为客户在日常工作中提供更加便捷、可靠的技术手段。


痛点问题


仅以产品能力交付为主要目标

而不是提供系统化的安全解决方案


当一家数据安全厂商同时具备包括数据脱敏、数据库审计、数据库防火墙、数据库加密等多款数据安全能力的产品时,将多个产品进行堆砌并打包成方案,通常是迈向产品“平台化”的最快方式。不过,以“产品能力堆砌”为基础的方案,在交付时的割裂感较强——由于各产品能力之间的联动性不足,未实现完整的元数据打通,继而出现单点功能林立又各自为战的情况,最终在落地交付时更像是客户买走了一堆设备,而不是体系化的产品和整体的方案。这类方案和多产品堆砌虽然初看上去“很丰满”,短期内也确实提供了一些产品能力,但在落地交付后客户却很难用得起来,从长远看并不利于数据安全治理本身的价值体现及其在各行业的普及发展。


仅以单品能力出发去匹配业务场景

而不是以场景出发找能力支撑


由于上述问题的存在,如果厂商只是对具备不同功能点的产品进行“堆砌和打包”,那么在实际交付后也大多会按照这些产品的功能点去和客户的业务场景进行匹配,用一个或多个功能组合去满足客户对数据的某个业务使用场景需求。这样做的确能够解决一些问题,但不能系统化地解决客户的安全场景诉求,因为切入方向反了——一套综合性的数据安全建设方案首先要与业务强关联,并由业务场景主导方案的构建,从而明确业务运作过程中需要何种安全措施及安全能力提供支撑;在以多个单品堆砌的方案里,诸如产品联动性弱、二次改造成本过高等问题将阻碍交付的方案被“真正用起来”。因此,只有构建以业务场景触发的安全管理流程和体系,才具备可用性、易用性、持续性,也才是能够有效解决客户切实问题的数据安全解决方案。


仅以产品方案的管理能力驱动使用

而不是全面量化体现管控成效


传统数据安全厂商在进行产品和解决方案的交付过程中,通常会强调其丰富的“管理能力”,即现有的能力可以做什么或在哪些场景会用到等等,但这些显然还不够!当前,政府、金融、能源、教育、运营商等不同行业,都需要通过量化指标来直观呈现安全建设在各个维度的成效,比如:什么做的好、好在哪里、好到什么程度,又或是哪些做的有所欠缺、哪里需要改进或进行针对性补齐等等。如果没有这些量化指标的支撑,监管者将难以对全局情况有整体的认知,而管理人员在实际执行相关工作时也难以抓住发力的关键点,常常事倍功半。以量化指标体现管控成效,不仅是对已经完成的工作效果进行总结,更重要地,是对未来持续开展相关数据安全建设工作提供关键决策参考依据。


仅以临时应对的方式开展工作

而不是将数据安全运营管理日常化


在数据安全项目建设并交付完成后,却往往难以被客户持续、有效地用起来,而只是在面临安全检查或需要进行汇报时才临时进行紧急部署和突击操作等等,这几乎是传统数据安全建设工作的一个顽疾和通病。造成此类问题的因素是多方面的,比如:对数据安全建设工作的价值和意义认知不足,还停留在满足合规、应对检查的层面;对执行层面的工作落实不足,对需要做什么、节奏是怎样、周期是多长等不够明确,实际执行不严格、不规律;没有充足的量化指标来驱动对数据安全建设工作的监督和管理等等。须知,数据的价值只有在使用和流动中方能体现,而对数据安全的有效运营和管控工作需要在可落地、可持续的前提下开展。


解决方案

1 以数据资产为核心视角开展数据安全管理

在“数据安全治理”理念指导下的数据安全建设,要以“数据资产为核心”,即相关建设工作应围绕数据资产来展开,比如:从对数据资产发现、核实及其业务使用场景的备案,到对数据资产中的敏感数据分布、定级与安全、合规使用,再到对数据资产使用过程中可能面临的安全事件及后续风险、问题处置等;而以“数据资产为核心”的首要基础,是形成数据资产级与数据级的元数据统一管理,只有在此基础之上,才能实现对数据资产的基础属性管理、安全使用风险监测、安全防护等数据安全场景的联动。正所谓不破不立,唯有打破通过“单品堆砌 独立功能点拼凑”的固有思维,才能解决由此带来的问题和制约,从而结合客户的真实业务场景构建行之有效的数据安全解决方案。


2 以数据使用场景驱动的数据安全能力建设

如果说数据的价值必须在流动中得以体现,那么业务就是决定数据如何流动的那一方;而数据安全建设究其根本,就是要保障数据在流动中被安全使用。数据安全建设既依赖于业务又最终服务于业务,因而要在不影响业务本身的同时,通过简单易用的“一站式”操作完成。


通过搭建数据安全运营管控平台,首先根据数据使用情况抽象出多个数据业务场景,比如:数据采集、生产区应用业务、运维区业务、数据离线共享分发、数据对外接口等;再根据业务场景的数据交互方式,进一步抽象出对应业务场景需要何种数据安全措施来支撑和保障业务的安全,并分析出相关安全措施之间的先后依赖关系;继而梳理出对应业务场景的数据安全监测与防护工作业务流,并最终形成完整的数据安全场景化模块。


3 管控与运营并举,以运营提高安全管控能效

在安全能力建设的前期,“安全管控”无疑是建设的重点;而伴随安全管控手段的逐步完善,如何将安全管控日常化,如何在持续使用中完善并优化安全管控的措施和策略,使得前期对安全能力建设的投入发挥更大的能效价值,则成为后续建设的重点。通过构建数据安全运营管控平台,可将数据安全运营提升到一个全新的高度,即通过“运营”让安全监测与管控更具目的性,让客户不止于“可用”,还能让客户感到“好用”,并“持续地用起来”。


因此,可从“资产、合规、事件、风险”四大视角施展运营手段,通过量化每个维度的数据安全管控建设指标,以明确哪里做的好、好到什么程度,又有哪些做的有所欠缺、需要改进和优化等等,从而不断丰富和提升数据安全建设的完整性与成熟度。


4 以工作台引导工作,更轻松地完成日常运营

针对数据安全的管理、运营与执行是一系列庞杂的工作过程,比如:当监管方明确工作任务方向和重点后,执行者又该在具体工作中通过怎样的业务流程、技术手段和安全策略进行落实?类似的问题在日常运营工作中比比皆是;而数据安全运营管控平台能够以日常运营工作台、待办事项工作台等可视化的方式,将日常运营工作规范化、流程化、指标化——以清晰的业务流程和数据统计,引导监管与执行人员“要做什么、先做什么、后做什么、怎么去做”等等,从而解决相关工作落地难的问题,在提高工作效率的同时,大大降低运营成本投入。
联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号