51

出现，社会的运转也将陷入僵局。站在公共安全治理的角度，我们会组建公检

法体系，会有军队来提供保障，会出台法律政策，会建立公共设施和安检制度

等，既有组织策略，也有技术手段，还有协同联动。数据安全治理也一样，但

将其落地实施到一个具体的企业中，形成贯穿于整个组织架构的完整链条，绝

非易事。

数据安全治理本质上就是一套自上而下的多层框架，涵盖决策层到技术

层，它要求企业建立安全政策和组织保障；评估企业自身面临的安全风险，对

不同等级的风险设定不同的管理政策；针对安全风险控制，制定相应策略，内

部进行资源匹配，这里面将涉及具体的技术工具；通过安全评估及具体指标衡

量，以确保风险得到有效管理，否则需要重新纠偏，以此形成一个完整的闭环。

从战略高度来指导数据安全治理，好处在于宏观的控制和推进，但在美

好的愿景之下，它的推进难度、执行效率极大地依赖于该项目在企业中的重要

性和地位、企业组织架构是否足够成熟优越、企业成员的安全意识是否与此高

度匹配等因素。而在现实情况中，我国大部分企事业单位的 IT 建设、组织建

设在过去长期处于“重发展轻安全”的状态，在此基础上直接落地数据安全治

理有些“水土不服”“不接地气”。

03 信息安全杂志与保密社：昂楷科技如何把控数据行业痛点？

李四阶：数据库破坏的形式有三种：一是对数据库的结构性破坏，导致数据库

无法正常运行，数据库是信息化系统的核心，数据库无法正常工作，系统即无

法正常工作；二是对数据进行定向恶意篡改以达到自己的目的，这方面的问题

比较隐蔽，大家谈的比较少，但危害极大；三是核心数据的盗取，这是广为讨

论的问题，其本质就是信息泄露。

三种破坏形式组合起来兴风作浪，其外在的危害表现错综复杂，总结起

来有几个典型危害：其一，国家重要部门或企事业单位机密被别有用心的他国

窃取，或重要信息化系统、工业控制系统被迫瘫痪，将严重影响国家的政治、

经济，甚至国民安全；其二，企业核心数据泄密或信息化系统不能正常运行导

52

致企业竞争力下降、声誉受损，甚至破产；其三，个人隐私泄露导致财产损失，

甚至付出生命的代价。

因此，行业迫切需要对数据安全的破坏行为做到有效防护；构建事前预

防、事中拦截、事后取证三位一体的积极防护体系。该防护体系的核心是将不

可见的破坏之源，做到准确可视、进而做到自主可控，并且要平衡好效率和安

全、稳定与安全、开放与安全的矛盾关系；还要有发展性，能够适应大数据、

云计算、万物互联的信息化架构及技术发展带来的新挑战！

面对行业迫切需求以及未来发展带来的各种挑战，从国家机关、企事业

单位的数据安全防护方案建设方面来讲，应该打破从前“以外防为主建立防护

边界系统”的老思路，建立终端、外防、内审内控的三级联动联防主动积极防

御体系；尤其重要的是数据安全态势感知系统，其作为整个防护体系的雷达探

测和中枢指挥系统，是核心中的核心。数据安全态势感知系统与原有的网络安

全态势感知系统融为一体，建立全态势的安全感知和统一指挥调度系统，能够

有效整合终端安全、网络安全、数据安全、应用安全等各大系统，形成强大的

联动效应。

昂楷科技正是按照这个建设思路，先从最核心的数据库安全审计监控产

品开始研发，解决对数据库攻击行为及攻击者的可视；进而打造数据库漏洞检

测、数据库状态监控、数据库防火墙、数据库安全态势感知系统，构建针对数

据库的主动防御一体化解决方案。在设计系统方案时，积极研究最新前沿技术。

目前，昂楷科技已率先支持后关系型数据库的安全保护、Hadoop 数据库安全的

保护、工业控制数据库的安全保护，是第一个与公有云运营商联合推出运营级

的云数据库安全审计监控服务的企业。

04 信息安全杂志与保密社：昂楷科技如何实践数据安全治理？

李四阶：昂楷科技在帮助企业落地数据安全治理项目时，进行了很好的本土优

化，采用自上而下和自下而上的双向结合循环路线。一方面，在策略上，从顶

层起步进行宏观路线的规划，形成一套完整的从梳理到管理再到控制的方法论；

另一方面，在执行上，从大到小、从整体到局部，动态地、精细地逐步进行实

53

施，比如，先进行“卡口”实现对基本面的安全控制，再结合对数据资产的梳

理情况进行数据安全策略的智能化设置。

整体方案的构成涵盖了资产梳理、风险评估、主动防御、监控审计、态

势感知、数据溯源、数据处理、联动联防等全面的能力，这些数据安全能力单

元搭配 SOC 平台、应用安全、终端安全、网络安全等安全能力单元，集中到拥

有自学习能力的数据安全综合治理平台上，实现对复杂威胁的联动联防，可以

覆盖数据采集、传输、存储、处理、交换、销毁的全部流转周期。

数据资产的明显特征在于瞬息万变，数据是高度灵活、高频变动的，如

果像盘点实物资产一样去梳理数据资产，并根据梳理结果对数据进行管理控制，

很难达到“与时俱进”的效果。因此，昂楷科技通过 AI 机器学习的方式持续

地监测数据本身实时变动情况，包括其格式、状态、敏感性等维度，实现持续

的智能化数据盘点，通过不断地重塑企业数据资产，指导后续的安全动作，达

到更精准、更灵敏、可持续性发展的安全防控效果。

05 信息安全杂志与保密社：昂楷科技数据安全治理方案能够给客户带来哪些价

值？

李四阶：昂楷科技数据安全综合治理解决方案让客户的大数据平台实现精准可

视、安全可控，以安全态势感知平台为枢纽，清晰掌握了平台上数据库资产、

数据库健康状态以及敏感数据分布情况，对数据库操作行为与敏感数据使用状

态进行实时监控和及时告警，高敏数据和测试数据通过去隐私化以及访问控制

的方式确保安全可控，方案从整体上形成全面、准确审计以及安全防护体系的

建设，以满足客户对安全事前防御、事中管控、事后溯源的安全管理需求。

事前防御阶段。根据数据安全的管理制度及标准，对敏感数据如个人的

手机号、住址、社保信息、公积金信息、房产信息、就诊信息等，企业的纳税

信息、股权信息等非公示项信息，实行事前识别并严格执行访问管控策略。

在不同访问场景下，通过脱敏规则，对不同身份的运维人员访问敏感数

据中的身份证、银行卡、电话号码、姓名、住址等敏感信息进行掩码处理，实

54

现敏感数据动态遮蔽，防止泄露敏感数据，同时不影响常规的数据迁移、备份

等日常工作。

事中管控阶段。使用数据库防火墙屏蔽直接访问数据库的通道，可基于

IP 地址、时间、操作、关键字、数据库账号、语句长度、列名、表名、行数、

注入特征库等多种条件，制定灵活多变的数据防护策略。对于高危操作行为需

提交申请，待审批通过后方可进行操作，同时，在操作过程中，要进行监控审

计，阻断异常和违规的数据修改、删除等操作，达到在数据使用过程中有效防

止敏感数据泄露和被非法篡改的目的。

事后溯源阶段。通过数据库审计，对数据分析人员、应用管理及运维人

员、DBA、普通用户、管理员的数据访问行为进行全记录，判断行为的合规性，

同时可以通过审计操作与数据库审计进行关联分析对比，以三层关联精准定位

到人，准确判断是否存在违规行为，做到事后可溯源、可分析。

06 信息安全杂志与保密社：昂楷科技如何持续保持对数据的支持能力？

李四阶：昂楷科技一直保持对新一代数据库的快速支持能力，并同时追踪区块

链、分布式数据库的发展演进，凭借团队对数据库安全的基础性攻防研究能力

以及对新 IT 架构的支持响应能力，紧跟数据库技术的发展，实现对新数据库

及安全威胁的快速响应并采取有效技术措施应对，同时参与安全标准制定，共

建数据安全长城。

昂楷科技基于“不做‘关系型’产品”这一思想，自 2016 年开始，面向

用户和合作伙伴，推出了“寻找不一样的 VIP”活动。活动理念在于只要有数

据安全需求的用户在数据安全方面遇到了难题，或找不到满意的产品，那他就

是昂楷科技的 VIP 客户，昂楷科技不仅免费帮助其解决难题，还给予奖品答谢。

通过这种方式，不但为用户解决了自身的数据安全问题，昂楷科技也能够实时

准确地把握用户在数据安全方面的真实需求，同时通过解决各种难题提升自身

的产品技术实力，实现双方互利共赢。

55

目前，昂楷数据安全综合治理解决方案已应用在政府、金融、证券、医

疗卫生、教育、电力等行业，服务于三千多家客户，其中包括：广东省公安厅、

云南省公安厅、湖北省公安厅、东北电力大学、北京协和医院、北京安贞医院、

江苏苏豪国际等。据透露，昂楷科技实行项目制方式运营，并于 2019 年已达数

千万元营收。

昂楷科技成立至今，团队已达 220 余人，其中技术研发团队占据近 100

人，核心团队来自华为、华赛等知名厂商的高管及技术骨干。

昂楷科技创始人兼 CTO 刘永波曾于 1998 年加入华为综合接入产品线，并

在华为将 UA5000 系列产品打造成为世界第一品牌，该产品为华为十大主力产品

之一，年销售额过百亿元人民币，成为华为海外市场的开路尖兵。

鉴于此，昂楷科技曾获得华睿投资的 A 轮融资和海达投资的战略投资，

2020 年 7 月宣布获得奇安投资的独家投资，2021 年 8 月宣布获得方广资本的新

一轮投资。完成多轮融资后的昂楷科技加速公司发展，加大对数据安全综合治

理解决方案的研发和服务升级的投入，扩大销售渠道建设，同时，广纳英才、

研发产品、拓展市场，发展数据安全新生态，共同推动国内数据安全行业的发

展。

07 信息安全杂志与保密社：昂楷科技未来战略的侧重点是什么？

李四阶：当数据安全的策略、技术、措施都越来越智能和灵活，我们可以看到

数据安全正逐渐与数据使用深度绑定在一起，趋向一种平衡的进化。整个行业

已经越过了非黑即白的强管控时代，当数据的量级和价值极大地凸显，我们需

要意识到，把数据关起来是一条“死”路，但是让数据不受控地放飞，只会

“死”得更快。这从颁布的《中华人民共和国数据安全法》中也能得到印证，

这部在网络安全行业发展过程中具有里程碑意义的法律，正是从统筹发展与安

全的角度规定了必须在保证数据安全的前提下，对其进行挖掘、利用和创造，

安全从附属、外围的边缘属性正式转换为与数据业务伴生、嵌套、互相成就的

共生属性，这十分考验数据安全的全局部署、技术创新和实施服务等能力。

56

昂楷科技的安全战略向前发展，会更加侧重于工程化的落地能力，它不

再是一个产品级别的安全方案，而是与数据利用结合在一起的业务性质的工程。

近年来，在政府、公检法司、能源电力、运营商、金融、教育、云端数据库等

多个领域，昂楷科技已帮助多家核心头部客户有效实施其数据安全治理方案，

积累了不少工程标准化经验和服务经验，这也将成为他们未来助力各行业数字

化转型的一大核心优势。