隨著《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》的正式發(fā)布,數(shù)據(jù)安全再次沖上了安全圈的熱搜榜,是不是意味著數(shù)據(jù)安全市場(chǎng)的蛋糕將會(huì)越來(lái)越大了,能否為低迷的網(wǎng)絡(luò)安全行業(yè)注入新的活力,催生出越來(lái)越多的技術(shù)創(chuàng)新,誕生出越來(lái)越多的專精特新企業(yè)了。在信息化社會(huì),數(shù)據(jù)對(duì)國(guó)家、企業(yè)及個(gè)人來(lái)說(shuō),都是無(wú)形資產(chǎn),有其獨(dú)特的價(jià)值所在,是催生數(shù)字經(jīng)濟(jì)的核心動(dòng)力。數(shù)據(jù)就是財(cái)產(chǎn),數(shù)據(jù)就是生命力,其價(jià)值需要被放大,也需要被保護(hù),數(shù)據(jù)安全的重要性不言而喻。如果不重視數(shù)據(jù)安全,就無(wú)法為數(shù)字經(jīng)濟(jì)保駕護(hù)航。
國(guó)家從2016年陸續(xù)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)保守國(guó)家秘密法》、《中華人民共和國(guó)密碼法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等,從立法到條例、規(guī)定、辦法、國(guó)標(biāo)、行標(biāo)等都明確了相關(guān)要求,做到有法可依,有據(jù)可查,真正遵循頂層設(shè)計(jì)。政府單位、企事業(yè)單位、個(gè)人都必須嚴(yán)格按照相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)做好合規(guī),以合規(guī)方式驅(qū)動(dòng)數(shù)據(jù)安全建設(shè),廠商也是“一窩蜂”的扎堆數(shù)據(jù)安全領(lǐng)域。
迄今為止,應(yīng)當(dāng)還沒(méi)有哪個(gè)公司能真正地做好數(shù)據(jù)安全產(chǎn)品。如果要做好數(shù)據(jù)安全,不應(yīng)當(dāng)依葫蘆畫瓢照搬以前的粗放式網(wǎng)絡(luò)安全建設(shè),不以落地為目標(biāo),而是安全廠商基于自己的安全理念去引導(dǎo)甲方建設(shè),這種建設(shè)思路是錯(cuò)誤的,脫離了甲方的業(yè)務(wù),不僅造成了資源浪費(fèi),實(shí)際效果大打折扣,除了幾張光彩奪目的大屏,甚至數(shù)據(jù)都有可能是偽造的,實(shí)在是找不出有價(jià)值的功能和技術(shù)創(chuàng)新的點(diǎn),網(wǎng)絡(luò)安全的概念年年出新,實(shí)際上底層的邏輯是沒(méi)有任何變化的。看問(wèn)題應(yīng)當(dāng)抓住事物本質(zhì),從甲方業(yè)務(wù)實(shí)際出發(fā),基于風(fēng)險(xiǎn)和威脅建模的思路,真正地找出安全問(wèn)題,將安全問(wèn)題進(jìn)行分類分級(jí),陳述利害關(guān)系,再提供有針對(duì)性的解決方案。
如果數(shù)據(jù)安全建設(shè)還是以往的方式來(lái)進(jìn)行建設(shè)的話,網(wǎng)絡(luò)安全行業(yè)就不可能真正地回歸業(yè)務(wù)和技術(shù)驅(qū)動(dòng)的市場(chǎng)環(huán)境,也不可能真正迎來(lái)量變到質(zhì)變,甲方也只是在合規(guī)的驅(qū)使下背動(dòng)地做數(shù)據(jù)安全建設(shè),內(nèi)心深處是不情愿的。組織和企業(yè)也有大、中、小之分,不希望于都重視數(shù)據(jù)安全,一方面是靠合規(guī)驅(qū)動(dòng)的,一方面是自身業(yè)務(wù)和數(shù)據(jù)安全深度綁定的。數(shù)據(jù)安全的市場(chǎng)也要進(jìn)行客戶細(xì)分,目標(biāo)客戶在哪里,目標(biāo)客戶的痛點(diǎn)有什么。數(shù)據(jù)安全其實(shí)是一個(gè)很大話題,涉及面是非常廣的,安全風(fēng)險(xiǎn)不僅來(lái)自于外部,更多地來(lái)自于內(nèi)部,堡壘最容易從內(nèi)部攻破。
最近大家一直提的數(shù)據(jù)安全管控平臺(tái),其實(shí)站在我的角度,如果數(shù)據(jù)安全一開(kāi)始從從管控的角度出發(fā),又會(huì)重走老路,以幾張大屏草草收尾,最終沒(méi)有一點(diǎn)實(shí)際效果。行業(yè)、組織及企業(yè)的業(yè)務(wù)及數(shù)據(jù)各不相同,也不可能通過(guò)標(biāo)準(zhǔn)化的產(chǎn)品去做數(shù)據(jù)安全,通過(guò)提供咨詢、產(chǎn)品及服務(wù)的方式做數(shù)據(jù)安全才有出路,從客戶業(yè)務(wù)、數(shù)據(jù)價(jià)值、數(shù)據(jù)內(nèi)容等方面確定客戶的數(shù)據(jù)安全風(fēng)險(xiǎn),再有針對(duì)性地提供適合客戶的數(shù)據(jù)安全解決方案。
如果要做好數(shù)據(jù)安全,我個(gè)人的觀點(diǎn)是要從業(yè)務(wù)系統(tǒng)本身出發(fā),做好開(kāi)發(fā)安全及軟硬件供應(yīng)鏈管理是基礎(chǔ),如果忽略這點(diǎn),再好的管控系統(tǒng)也做不好數(shù)據(jù)安全。在以往的工作中遇到有些企業(yè)員工通過(guò)API獲取公司敏感數(shù)據(jù)進(jìn)行牟利,這往往是一個(gè)容易忽略的點(diǎn)。很多情況下系統(tǒng)開(kāi)發(fā)人員往往為了省事,也沒(méi)有相關(guān)的開(kāi)發(fā)安全培訓(xùn),API接口都沒(méi)有做安全驗(yàn)證,也沒(méi)有針對(duì) API調(diào)用做完整的日志詳情記錄,這些都成為了被利用的點(diǎn)。這種情況在很多安全公司也普遍存在這種類似情況,常說(shuō)的安全公司不安全。
要實(shí)實(shí)在在的從業(yè)務(wù)本身出發(fā)去做好數(shù)據(jù)安全,不考慮業(yè)務(wù)本身的數(shù)據(jù)安全建設(shè)是沒(méi)有靈魂的,涉及到數(shù)據(jù)威脅建模、開(kāi)發(fā)安全、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)權(quán)限管控、數(shù)據(jù)存儲(chǔ)/傳輸加密、數(shù)據(jù)脫敏、水印技術(shù)、安全辦公、數(shù)據(jù)庫(kù)安全、API安全、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維審計(jì)、容災(zāi)備份、數(shù)據(jù)生命周期跟蹤管理等目前已有的技術(shù)和產(chǎn)品都是數(shù)據(jù)安全的范疇。如果做數(shù)據(jù)安全管控,數(shù)據(jù)的每個(gè)流動(dòng)環(huán)節(jié),沒(méi)有詳細(xì)的日志記錄,是否能真正做好數(shù)據(jù)安全管控平臺(tái),為什么不是首先對(duì)現(xiàn)有的系統(tǒng)和流程進(jìn)行改造了,難道是要通過(guò)該平臺(tái)去操控?cái)?shù)據(jù)。
總之,數(shù)據(jù)安全這個(gè)賽道,還是基于已經(jīng)有技術(shù)和產(chǎn)品,更多的考慮是基于業(yè)務(wù)和數(shù)據(jù)本身了解風(fēng)險(xiǎn),有針對(duì)性解決數(shù)據(jù)安全問(wèn)題,并不是賣幾個(gè)產(chǎn)品就能解決客戶數(shù)據(jù)安全問(wèn)題,有的客戶上百個(gè)業(yè)務(wù)系統(tǒng),每個(gè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)和服務(wù)對(duì)象都不一致,廠商講PPT的人能短時(shí)間內(nèi)了解客戶痛點(diǎn)是不可能的,除了吹牛還是吹牛。數(shù)據(jù)安全很火,但是更需要?jiǎng)?wù)實(shí),要做好數(shù)據(jù)安全咨詢和服務(wù),當(dāng)賣產(chǎn)品的賣產(chǎn)品,當(dāng)定制開(kāi)發(fā)的定制開(kāi)發(fā),當(dāng)要求客戶整改業(yè)務(wù)系統(tǒng)的整改業(yè)務(wù)系統(tǒng)。按照以往無(wú)效內(nèi)卷,只會(huì)讓數(shù)據(jù)安全市場(chǎng)越來(lái)越難做。
