數(shù)據(jù)安全未來前景展望
3、數(shù)據(jù)安全的3.0時代
3.0時代進入到了系統(tǒng)化的數(shù)據(jù)安全治理的時代,數(shù)據(jù)上升到資產(chǎn)、基礎設施層面。好比人類發(fā)展到需要考慮公共安全的階段,不可能再通過氣囊、頭盔這樣的單一的個體防護方式。在面臨更大的風險威脅的時候,我們會建立組織、公檢法體系,建立軍隊;會出臺政策規(guī)范、刑法、交通法等等來予以保證;同時會建立公共設施安全,比如機場安檢,建立登機制度等。
3.0時代最關鍵的特征就是體系化安全。安全不再是一個純產(chǎn)品技術上的安全,實際上是組織規(guī)范+技術的完美整合,以呈現(xiàn)整體的安全。2.0步入到3.0時代的驅動源頭有幾點總結如下:
1. 數(shù)據(jù)成為國家戰(zhàn)略性資源,通過數(shù)據(jù)可以構造出新的生產(chǎn)力,在這種情況下,國家會實行嚴格保護。無論從我們國家開始頻繁出臺相關管理辦法看,還是放眼全球,歐盟與美國都在制定數(shù)據(jù)所在地的使用原則,都表明了各個國家已經(jīng)開始把數(shù)據(jù)當做戰(zhàn)略資源。
2. 數(shù)據(jù)成為企業(yè)核心資產(chǎn)。創(chuàng)新型企業(yè)如滴滴、京東、淘寶,以及銀行金融科技,大多數(shù)企業(yè)積累的數(shù)據(jù)往往會變成企業(yè)最重要的資產(chǎn),不再是一個符號。
3. 數(shù)據(jù)泄露已經(jīng)形成重大威脅。如今大家都是透明人,從國家的監(jiān)管層面看,實際上關系我們任何一個人,都將實現(xiàn)數(shù)據(jù)的全覆蓋。同時現(xiàn)在很多大型機構的運轉都依托于手機、互聯(lián)網(wǎng),整個行為都在網(wǎng)絡上留下痕跡。通過這些行為的記錄,很快就會建成一個沒有任何隱私可言,甚至陷入到騷擾、欺騙、第三方調查的境地。這就意味著數(shù)據(jù)不僅是企業(yè)的基礎性安全問題,已經(jīng)成為國家性,社會性問題,并上升到一個體系化的層面。
在這個數(shù)據(jù)安全已經(jīng)上升到體系化層面的大環(huán)境下,針對數(shù)據(jù)保護工作開展了一系列措施:
國家已經(jīng)開始有動作,相繼出臺了網(wǎng)絡安全法、數(shù)據(jù)處境管理辦法、關鍵信息基礎設施安全保護條例等,同時預計在2019年上半年出臺個人數(shù)據(jù)保護法。而2017年11月完成的刑法修訂案,其嚴苛程度也相當驚人,最低50條數(shù)據(jù)的非法泄露,即可入刑。簡單舉個實例,2018年11月2日,某獵頭公司因在QQ群發(fā)布招聘信息,已被刑事訴訟。
除了國家法律,各個行業(yè)也都在行動,《國網(wǎng)營銷系統(tǒng)數(shù)據(jù)脫敏規(guī)范》、《商業(yè)銀行信息科技風險管理指引》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《政府數(shù)據(jù)分級分類指南》、《央企商業(yè)秘密安全保護技術指引》,以及教育、稅務、地方上的法規(guī),陸續(xù)出臺。整件事情不再是技術性的行為,而會逐漸演變成一個社會性、規(guī)范性的行為。
此外,還會看到越來越多的企業(yè)側的行為。
Gartner在2016年提到一個理念——數(shù)據(jù)安全治理(簡稱DSG)。這個理念包含如下內容:
首先是數(shù)據(jù)分級分類,可以看到數(shù)據(jù)到底包含了什么;
其次,在這樣一個基礎的情況下,基于各種數(shù)據(jù)分類,完成處理和控制策略,要梳理出哪些人能夠接觸這樣的數(shù)據(jù);這些數(shù)據(jù)接觸的權限、行為范疇;超出范疇應該采用什么樣的方法進行審批。
第三,這樣的策略之后,要在執(zhí)行環(huán)節(jié)有相關的控制措施、監(jiān)控手段。比如,互聯(lián)網(wǎng)企業(yè)可能會作為首批數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)訪問行為獲監(jiān)管的對象。
第四個階段是稽核。對于數(shù)據(jù)過程要進行審計、報告,改善措施,并重新構建。
在數(shù)據(jù)安全治理時代,新的核心技術要求,比如說數(shù)據(jù)梳理,就是搞清楚數(shù)據(jù)資產(chǎn)到底有多少,敏感數(shù)據(jù)如何分布,以及數(shù)據(jù)是如何被使用的。要利用數(shù)據(jù)的特征發(fā)現(xiàn)記錄,數(shù)據(jù)主機掃描技術,網(wǎng)絡分析技術,以及大數(shù)據(jù)的處理整合技術,才能完成數(shù)據(jù)梳理。
在未來,基于AI深度日志分析來實現(xiàn)數(shù)據(jù)監(jiān)管,信息審計,潛在風險發(fā)現(xiàn),而不是策略制定。潛在風險可能是類似APP,需要通過建模的方式完成這樣的學習分析。在國外,甚至僅需一到兩天之內就可完成自動化的設定,經(jīng)過一天左右的時間,就能基于深度行為日志建模完成整體的防護體系。而通過行為日志、業(yè)務日志的積累,可以驅動未來安全的進一步發(fā)展。
網(wǎng)絡安全時代態(tài)勢感知的概念叫的響亮,卻沒出現(xiàn)幾個多么好的落地產(chǎn)品。但如果把數(shù)據(jù)安全時代態(tài)勢感知做出來的話,一定非常具有價值。因為各種數(shù)據(jù)的行為實現(xiàn)了可視化,即在大型數(shù)據(jù)中心層面通過大屏技術,呈現(xiàn)出數(shù)據(jù)分布和數(shù)據(jù)使用分布,以及數(shù)據(jù)在庫之間流動,業(yè)務系統(tǒng)流動,人之間的流動,以及發(fā)生的異常,在一種可視化的方式下,能夠快速感覺到。
三、小結
DBMS1.0時代的核心的理念是系統(tǒng)安全,市場啟蒙早期是在2010年左右,也是安華金和公司剛成立的時候,安華金和踏上數(shù)據(jù)庫安全的開拓之路。這個市場高速發(fā)展大規(guī)模企業(yè)進入,是在2017年。市場爆發(fā)恰恰是這個時期。預計到2020年左右,市場將達到一個成熟期,并慢慢演進。
第二個時代——數(shù)據(jù)時代很快會到來。這時期要以場景化來構建安全產(chǎn)線,預計規(guī)模能夠達到百億級。2015年左右應該可以算得上是2.0時代的一個啟蒙期,到2019年相信會成為業(yè)界主流性的理念。數(shù)據(jù)庫安全從DBMS安全演進成以數(shù)據(jù)為中心的安全,將會成為業(yè)界的共識。預計到2023年,2.0時代會達到高速的平衡期。3.0時代的核心是體系化安全,預計會出現(xiàn)在2025年左右,隨著安全的市場在快速的放量,市場將會抵達千億級規(guī)模。
數(shù)據(jù)安全治理是安華金和在2016年在國內率先提出來的,第一屆數(shù)據(jù)安全治理高峰論壇也由此發(fā)起,客戶逐漸開始認可這個理念。并且我們也看到像阿里這樣的企業(yè),也開始談數(shù)據(jù)安全治理。同時,國網(wǎng)網(wǎng)安處專門成立了數(shù)據(jù)安全治理的工作組,在稅務側也有專門的組織,這些都說明這個理念既是被數(shù)據(jù)安全生態(tài)所認可的,也是符合客戶認知的。我們期待,該理念可以從啟蒙到逐漸被社會廣泛認可,到2021年實現(xiàn)在全國大型企業(yè)中數(shù)據(jù)安全治理體系的構造。同時,我們也樂觀期待,到2025年數(shù)據(jù)安全可以進入成熟期,達到千億級的市場。
最后,在整個社會經(jīng)濟大環(huán)境悲觀的論調下,請允許我們能夠樂觀看待整個網(wǎng)絡安全行業(yè)的發(fā)展,從毛竹這種植物里找到一些激勵。毛竹生命的前幾年,它把所有的努力用在了地下、用在了伸展根系上。這些年中,它的根居然可以扎到幾英里遠。過了這幾年的默默儲備期,它就會像被施了魔法,半年時間里就能躥到30多米。長得快的時候,一天可以長半米多。想象一下,春天還是一棵齊腰高的小苗苗,到了秋天就變得高大挺拔、直插云天。這么奇妙的成長,全然是因著最初幾年充分的準備、這么強大的根系,才造就了這么令人驚嘆的奇跡啊。期待安全行業(yè)也能在未來迎來直插云天的蓬勃前景。
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市