嘶吼專訪 | 天空衛士楊明非：順勢而為，以人為本的資料安全捍衛者

現下，網際網路及移動網際網路的發展與廣泛應用導致企業安全邊界消失，提升資料安全治理能力成為數字經濟時代的緊迫議題。由於資料分佈在雲、資料中心、終端、移動裝置等各個位置，傳統的基於防火牆、入侵防禦系統構建的企業安全邊界防護手段失效，很難進行有效的資料保護，資料安全存在極大的隱患。

對此，嘶吼對北京天空衛士網路安全技術有限公司董事、合夥人、高階技術總監楊明非進行了人物專訪，就企業如何建設資料安全治理體系進行了深度訪談。

創業就該做點不一樣的事

談及加入天空衛士的初衷，楊明非還是堅信那句話：創業就是要做點沒做過的事情，有挑戰才有意思。

性格使然，如同他大學選擇了自己並不擅長的英語專業。因本身還是喜歡理工科，楊明非一直都在自學計算機。源於興趣，從初二開始，他就開始“搗弄”無線電，家裡裝滿了好幾大箱子的電路板、積體電路、CPU、三極體等各種電子元器件，直到現在還在組裝功放、音響。

1995年畢業之後的楊明非進了工廠，負責管理IT裝置，正式進入了計算機行業。1997年開始接觸負載均衡、資料庫、災備等專業領域，涉及到大量與安全相關的東西。

加入F5 Networks之後，他把全國大型銀行的網銀安全接入全部做了個遍，包括參與編寫和制定網銀建設的安全標準規範。F5的每一個安全相關產品推出，他總是第一個衝上去學習、理解並和客戶做深入的討論。

2015年，雲端計算剛剛興起，雲涉及到很多大型專案，渴望往上走的楊明非，希望能接觸到更多的高層資源，有更廣闊的發展空間。於是他加入了一家當時正在上升期的雲端計算公司，後來因為種種原因離開後，他重新開始看下一個增長點。

對於楊明非而言，之所以最終選擇資料安全方向，基於兩個原因：第一，彼時的F5 Networks一直期望轉型做安全領域，但由於外企背景以及317號文要求銀行100%使用國產化的安全產品，使個人發展空間受到很大限制；第二，在他看來，資料安全將來會是一個很大的機會發展點。

於是在2016年，他選擇加入才成立一年的天空衛士，有充足的時間去學習和了解資料安全行業，直到第一個使用者產品真正誕生。

構建資料安全治理體系

綜合資料安全建設產品型別來看，傳統國內廠商普遍提供通道型、終端類、工具級DLP產品，而國際主流廠商多提供整合型、整合功能（郵件安全閘道器或安全代理）為主的產品。

對於天空衛士而言，早在2017年，就開始實施UCS系統產品，把Web、資料、郵件、終端和移動裝置安全等技術有效結合到統一的管控平臺，把整個企業內部員工的辦公網路進行全面覆蓋，並且做到垃圾郵件防護和從內向外的敏感資料的防護。

楊明非表示，後來通過與客戶的深度需求討論和業界趨勢分析，天空衛士在標準的資料安全的基礎之上加入了人的行為分析。因為所有資料都是人在操作，無論是內部的壞分子或者內鬼，還是外部的黑客，而這些人的目標是都是資料資產。人對資料資產的操作行為，會體現出最主要的資料安全風險，也就是資料的流動性風險。

而在數字化轉型的過程中，資料會被大量的分享和共享，這個過程中存在大量的資料安全風險。我們沒有辦法通過單一的策略去做判斷資料的好壞，所以只能通過行為分析來識別。在網路安全體系中，即使是級別最高的零信任體系，也只是細化到應用的授權管理。但應用的訪問授權並不能代表資料授權。因此安全到最終需要解決的一個核心的問題，就是人和資料之間的關係，每個個體，是否能訪問對應級別的資料。

歷經2年的時間，楊明非和團隊把整個產品體系推進了一步，融合統一內容安全技術（UCS）和內部威脅管理技術（ITM）推出內部威脅防護體系 （ITP），最終構建以人和資料為中心的資料安全體系，全面覆蓋企業IT架構，在無邊界的網路中保護企業的核心資料資產。

在資料安全法和個人資訊保護法釋出後，資料安全治理、資料分類分級保護被提高到了法律的高度，但對很多企業而言，對於資料安全治理如何能切合到企業的實際資料安全保護仍然是一個困惑的問題。而天空衛士一直以來的重點ITP體系，正好是對分類分級保護支撐，能對資料安全整理在企業中落地的最佳手段。因此，整合過去的經驗，結合使用者的實際需求，團隊對內部威脅防護體系進行了革命性的升級，於2021年年底推出了資料安全治理自動化平臺（DSAG）。

在DSAG中提出了更為巨集大的平臺體系設計，從資料的分類分級流程自動化開始，到資料識別模板的生成，通過對與應用系統資料處理的對接和傳統辦公環境中的關鍵節點通道分析。使用DSAG可以形成一個完整的以資料為中心的安全平臺，提供分類分級保護和資料的儲存、使用和流轉的視覺化管理。

資料安全建設處於“裸奔”階段

在企業的資料安全體系建設裡，楊明非發現，很多使用者的資料安全建設，是處於一個“裸奔”的狀態。

很多使用者對資料安全的概念沒有特別清晰的認識，認為修好了牆，資料就一定安全了。比如用虛擬桌面來處理所有的敏感資料，認為所有的資料都出不去，就認為已經安全了，然而事實上並非如此。任何的隔離系統都存在有外部資料交換通道，只要這些通道的傳輸內容沒有進行很好的分析和保護，那對於資料安全來說就是“裸奔”。

舉個簡單的例子，在任何一個銀行、金融機構或者很多企業都有第三方互聯，以前拉個點到點的專線，兩邊防火牆一架，只允許兩臺機器之間進行通訊就認為高枕無憂，網路安全建設就到此為止。

但實際上，每家從不同的業務系統裡面究竟取走了多少個人敏感資訊，這些從資料安全形度來說，全部都是在盲區。很多時候在企業裡，從生產到測試、資料的大量遷移的這些過程，以及一些內部的資料處理等系統，都是資料安全建設的一些高風險點，存在著很大的風險。

楊明非強調，資料安全從要充分考慮到和業務之間的平衡度。既要讓業務跑的很好很順暢，又要保證業務能去安全地保護這些資料。

這就需要從業務戰略與合規的要求入手，首先對資料進行分類分級，區分出敏感資料和資料資產。然後按照資料的儲存、使用和傳輸的情況制定整體的資料安全策略，通過對資料在哪裡、如何被使用、被哪些人使用、如何被傳輸、如何被分享進行審計，根據需求選用相應的資料安全的產品和技術，從上至下從企業的整個業務框架到IT構架，實現為整個資料資產安全性的體系編排統一的策略。

隨著《資料安全法》的釋出，整個行業將處於一個爆發式的發展趨勢。資料分類分級是資料安全治理中的第一步，之後就是資料安全保護體系的建設，這兩個必須聯絡在一起，會有一個逐步的過程，但必然會進入一個爆發期。

“從資料安全這個行業來說，我們要做的事，就是順勢而為。大家要一起努力，把資料安全這個蛋糕往大了做。”楊明非最後表示。

人物簡介

北京天空衛士網路安全技術有限公司董事、合夥人、高階技術總監。華東理工大學EMBA，在安全相關工作領域有超過20年的從業經驗，目前主要專注於資料安全治理平臺與SASE安全接入服務邊界體系的研究工作。現任中國資訊協會資訊保安專業委員會資料安全組長單位技術負責人；中關村可信聯盟專家委員會專家委員；中國網路空間安全協會資料安全工作組成員；中國網路安全產業聯盟專家委員；健康醫療信創與大資料分會專家成員；CCIA技術專家庫專家。參與過全國30多家銀行的雙活資料中心建設，網上銀行安全體系建設。

參與過金融、製造業、高科技、物流等多家大型企業的資料安全體系建設。曾參與人民銀行、銀保監的多個金融資料安全的行業規範制定。專注資料安全治理，熟悉金融行業的資料生命週期、場景化資料安全治理、各類資料安全技術應用等。