3、数据安全的3.0时代
3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。
3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。2.0步入到3.0时代的驱动源头有几点总结如下:
1. 数据成为国家战略性资源,通过数据可以构造出新的生产力,在这种情况下,国家会实行严格保护。无论从我们国家开始频繁出台相关管理办法看,还是放眼全球,欧盟与美国都在制定数据所在地的使用原则,都表明了各个国家已经开始把数据当做战略资源。
2. 数据成为企业核心资产。创新型企业如滴滴、京东、淘宝,以及银行金融科技,大多数企业积累的数据往往会变成企业最重要的资产,不再是一个符号。
3. 数据泄露已经形成重大威胁。如今大家都是透明人,从国家的监管层面看,实际上关系我们任何一个人,都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网,整个行为都在网络上留下痕迹。通过这些行为的记录,很快就会建成一个没有任何隐私可言,甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题,已经成为国家性,社会性问题,并上升到一个体系化的层面。
在这个数据安全已经上升到体系化层面的大环境下,针对数据保护工作开展了一系列措施:
国家已经开始有动作,相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全保护条例等,同时预计在2019年上半年出台个人数据保护法。而2017年11月完成的刑法修订案,其严苛程度也相当惊人,最低50条数据的非法泄露,即可入刑。简单举个实例,2018年11月2日,某猎头公司因在QQ群发布招聘信息,已被刑事诉讼。
除了国家法律,各个行业也都在行动,《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息保护规定》、《政府数据分级分类指南》、《央企商业秘密安全保护技术指引》,以及教育、税务、地方上的法规,陆续出台。整件事情不再是技术性的行为,而会逐渐演变成一个社会性、规范性的行为。
此外,还会看到越来越多的企业侧的行为。
Gartner在2016年提到一个理念——数据安全治理(简称DSG)。这个理念包含如下内容:
首先是数据分级分类,可以看到数据到底包含了什么;
其次,在这样一个基础的情况下,基于各种数据分类,完成处理和控制策略,要梳理出哪些人能够接触这样的数据;这些数据接触的权限、行为范畴;超出范畴应该采用什么样的方法进行审批。
第三,这样的策略之后,要在执行环节有相关的控制措施、监控手段。比如,互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。
第四个阶段是稽核。对于数据过程要进行审计、报告,改善措施,并重新构建。
在数据安全治理时代,新的核心技术要求,比如说数据梳理,就是搞清楚数据资产到底有多少,敏感数据如何分布,以及数据是如何被使用的。要利用数据的特征发现记录,数据主机扫描技术,网络分析技术,以及大数据的处理整合技术,才能完成数据梳理。
在未来,基于AI深度日志分析来实现数据监管,信息审计,潜在风险发现,而不是策略制定。潜在风险可能是类似APP,需要通过建模的方式完成这样的学习分析。在国外,甚至仅需一到两天之内就可完成自动化的设定,经过一天左右的时间,就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志的积累,可以驱动未来安全的进一步发展。
网络安全时代态势感知的概念叫的响亮,却没出现几个多么好的落地产品。但如果把数据安全时代态势感知做出来的话,一定非常具有价值。因为各种数据的行为实现了可视化,即在大型数据中心层面通过大屏技术,呈现出数据分布和数据使用分布,以及数据在库之间流动,业务系统流动,人之间的流动,以及发生的异常,在一种可视化的方式下,能够快速感觉到。
三、小结
DBMS1.0时代的核心的理念是系统安全,市场启蒙早期是在2010年左右,也是安华金和公司刚成立的时候,安华金和踏上数据库安全的开拓之路。这个市场高速发展大规模企业进入,是在2017年。市场爆发恰恰是这个时期。预计到2020年左右,市场将达到一个成熟期,并慢慢演进。
第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。2015年左右应该可以算得上是2.0时代的一个启蒙期,到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全,将会成为业界的共识。预计到2023年,2.0时代会达到高速的平衡期。3.0时代的核心是体系化安全,预计会出现在2025年左右,随着安全的市场在快速的放量,市场将会抵达千亿级规模。
数据安全治理是安华金和在2016年在国内率先提出来的,第一届数据安全治理高峰论坛也由此发起,客户逐渐开始认可这个理念。并且我们也看到像阿里这样的企业,也开始谈数据安全治理。同时,国网网安处专门成立了数据安全治理的工作组,在税务侧也有专门的组织,这些都说明这个理念既是被数据安全生态所认可的,也是符合客户认知的。我们期待,该理念可以从启蒙到逐渐被社会广泛认可,到2021年实现在全国大型企业中数据安全治理体系的构造。同时,我们也乐观期待,到2025年数据安全可以进入成熟期,达到千亿级的市场。
最后,在整个社会经济大环境悲观的论调下,请允许我们能够乐观看待整个网络安全行业的发展,从毛竹这种植物里找到一些激励。毛竹生命的前几年,它把所有的努力用在了地下、用在了伸展根系上。这些年中,它的根居然可以扎到几英里远。过了这几年的默默储备期,它就会像被施了魔法,半年时间里就能蹿到30多米。长得快的时候,一天可以长半米多。想象一下,春天还是一棵齐腰高的小苗苗,到了秋天就变得高大挺拔、直插云天。这么奇妙的成长,全然是因着最初几年充分的准备、这么强大的根系,才造就了这么令人惊叹的奇迹啊。期待安全行业也能在未来迎来直插云天的蓬勃前景。