随着大数据时代的到来，数据价值的深度应用成为助力企业发展的重要源动力。在企业的数字化转型过程中，加强数据治理、深化数据开发、保障数据安全成为释放数据价值的关键环节，而强化数据安全对企业的数字化转型和升级起着至关重要的作用。

　　基于此，CIO时代、新基建创新研究院联合霍因科技推出”霍因安全观”系列线上微课堂，详细介绍数据安全治理的方法论、先进技术、典型案例及实践成果，展现数据安全治理的全生命周期管理，助力企业的数字化转型与升级。

　　在CIO时代、新基建创新研究院与数世咨询联手打造的《安全说》直播栏目中，吕颖轩作为特邀嘉宾空降第二期节目，围绕主题“数据安全治理为什么难以落地”分享了目前霍因在数据安全治理中的方法论以及研发的最新先进技术的介绍。

　　数据治理需要安全驱动与伴行

　　数据安全是需要懂业务，懂数据，需要了解数据的态势，在数据市场化的前提下去部署数据安全。不论是从Gartner的定义，还是在IT策略、经营策略层面上来看，数据安全治理都是一个庞大的概念，顶层设计非常繁重。

　　从霍因多年的行业实践中发现，许多客户会有意识的去做数据治理的工作，但数据治理本身的一些短板也会导致问题产生，前期如数据咨询方面的工作量会占到整个治理过程的90%，消耗巨大;客户在做业务层面的数据治理时，诉求多为数据使用混乱，希望通过治理去校正它;同时，在相关的安全法律法规出台后，数据治理又多了一项重点——安全合规。

　　所以，霍因将数据治理分成三类：一是业务类，如智能制造、BI;二是效率类，如降本增效、流程再造;三是安全合规类。就目前已服务的客户来看，越来越多的客户把数据使用过程中，如何做到安全合规、不违规、不违法作为数据治理的一个重要驱动力。

　　霍因科技在业内提出了“安全驱动的数据治理”这一理念：从数据治理方法论上去 “瘦身”，从比较精简的咨询业务开始，以安全合规为目的，将数据治理的顶层设计“瘦身”化，并通过一些AI工具辅助实现落地。

　　“在我看来，一定是数据治理先行，安全后行。安全合规是可以作为整个数据治理过程的切入点，同时也是一个基座，是数据治理服务商可以看重的一片蓝海。“ 霍因科技创始人吕颖轩说。

　　数据安全治理需要聚焦业务

　　数据安全是等保的最基础要求。传统的网安思路遵循的原则是尽量不要去干扰业务，属于典型的筑墙防守，在业务的外围去筑一道城墙，不管是防火墙或是WAF，其本质都是在业务或者在资产外围形成保护，并未真正的解决数据安全问题。

　　所以，真正的数据安全必须正视的事实是沿用传统思路已经走不通，必须将数据的业务和态势看得足够清楚，并深入到应用层，才能真正地去做数据安全。如果不了解数据资产，不清楚业务管理中的敏感数据在哪里，不知道相同数据资产在流转过程中的不同安全等级，那数据安全防护就无从说起了。

　　目前，数据保护的类型有两种：一是个人隐私数据;二是企业机密数据，它又分为商业数据、经营数据、研发数据等，这些数据具有极重的行业属性，需要靠机器学习来积累能力。

　　所以，数据安全一定要具备行业属性，通过积累这个行业里面一些数据的能力，才能做好数据安全防护。

　　在数据治理中，场景的理解是一个难点。以霍因科技目前聚焦的泛电力行业(如物联网、新能源、电子装备制造等)来讲，数据特性是数据标准相对清晰，霍因科技可以基于机器学习的能力，将泛电力行业中的数据进行场景化解读，并进行标准化，然后将数据安全治理理念与实践快速复制到同行业其它客户的治理工作中，这也是我们提到的数据治理方法论上的瘦身。

　　数据安全治理加速数据管理目标达成

　　数据安全治理的目标客户可分为两种：

　　一类是经历过数据治理，这类客户会有一个基本的数据治理基础，只需要补足数据安全方面的短板即可，所以传统数据安全治理体系更适合;

　　另一类是没有经历过数据治理，这类客户是希望以安全合规为目标，同时完成数据业务+数据安全治理工作。因此，通过安全驱动的数据治理方法论(就是数据治理+安全能力)，针对安全合规类的目标做数据治理实践，其他系统再进行复制。

　　所以，数据管理目标是非常清晰的，不光要解决安全问题，还要解决业务问题。现在市面上的一些数据安全治理产品，还是基于网安建设思路，并没有从数据治理的理念出发，仅仅涉及数据管理某一阶段的安全工作，比如出口安全控制，敏感数据发现等，但关注重点不在数据管理的需求，这就没有解决客户对于“如何通过安全更好的完成数据治理目标”的痛点。

　　霍因科技认为，数据安全治理要从业务出发，解决数据+安全的问题，通过数据治理+安全能力相结合，以安全驱动的数据治理方法论，可针对安全合规类的目标做数据治理实践，其他系统再进行复制，从而实现数据安全的治理。

　　数据安全治理的顶层设计理念

　　发现数据问题后该怎么处置、用什么方式处置、处置方式是否合规等这些问题应基于数据管理的理念，做项目全周期的设计，里面会包含数据咨询，安全咨询，产品配合等。

　　“业界提到的数据的全生命周期，在我看来数据不一定是全生命周期的事情，不是只有计算和流转场景。如果要检查是否分级，那它的静态存储数据就不需要检查了吗?” 霍因科技创始人吕颖轩说，“不，安全追求的是非短板效应，它应该是基于全量全域去检查所有的分类数据，这也是传统数据治理的基础性工作。”

　　责任编辑：张华