數據安全未來前景展望

2019-04-01 11:26

3、數據安全的3．0時代

3．0時代進入到了系統化的數據安全治理的時代，數據上升到資產、基礎設施層面。好比人類發展到需要考慮公共安全的階段，不可能再通過氣囊、頭盔這樣的單一的個體防護方式。在面臨更大的風險威脅的時候，我們會建立組織、公檢法體系，建立軍隊；會出臺政策規范、刑法、交通法等等來予以保證；同時會建立公共設施安全，比如機場安檢，建立登機制度等。

3．0時代最關鍵的特征就是體系化安全。安全不再是一個純產品技術上的安全，實際上是組織規范＋技術的完美整合，以呈現整體的安全。2．0步入到3．0時代的驅動源頭有幾點總結如下：

1．數據成為國家戰略性資源，通過數據可以構造出新的生產力，在這種情況下，國家會實行嚴格保護。無論從我們國家開始頻繁出臺相關管理辦法看，還是放眼全球，歐盟與美國都在制定數據所在地的使用原則，都表明了各個國家已經開始把數據當做戰略資源。

2．數據成為企業核心資產。創新型企業如滴滴、京東、淘寶，以及銀行金融科技，大多數企業積累的數據往往會變成企業最重要的資產，不再是一個符號。

3．數據泄露已經形成重大威脅。如今大家都是透明人，從國家的監管層面看，實際上關系我們任何一個人，都將實現數據的全覆蓋。同時現在很多大型機構的運轉都依托于手機、互聯網，整個行為都在網絡上留下痕跡。通過這些行為的記錄，很快就會建成一個沒有任何隱私可言，甚至陷入到騷擾、欺騙、第三方調查的境地。這就意味著數據不僅是企業的基礎性安全問題，已經成為國家性，社會性問題，并上升到一個體系化的層面。

在這個數據安全已經上升到體系化層面的大環境下，針對數據保護工作開展了一系列措施：

國家已經開始有動作，相繼出臺了網絡安全法、數據處境管理辦法、關鍵信息基礎設施安全保護條例等，同時預計在2019年上半年出臺個人數據保護法。而2017年11月完成的刑法修訂案，其嚴苛程度也相當驚人，最低50條數據的非法泄露，即可入刑。簡單舉個實例，2018年11月2日，某獵頭公司因在QQ群發布招聘信息，已被刑事訴訟。

除了國家法律，各個行業也都在行動，《國網營銷系統數據脫敏規范》、《商業銀行信息科技風險管理指引》、《電信和互聯網用戶個人信息保護規定》、《政府數據分級分類指南》、《央企商業秘密安全保護技術指引》，以及教育、稅務、地方上的法規，陸續出臺。整件事情不再是技術性的行為，而會逐漸演變成一個社會性、規范性的行為。

此外，還會看到越來越多的企業側的行為。

Gartner在2016年提到一個理念——數據安全治理（簡稱DSG）。這個理念包含如下內容：

首先是數據分級分類，可以看到數據到底包含了什么；

其次，在這樣一個基礎的情況下，基于各種數據分類，完成處理和控制策略，要梳理出哪些人能夠接觸這樣的數據；這些數據接觸的權限、行為范疇；超出范疇應該采用什么樣的方法進行審批。

第三，這樣的策略之后，要在執行環節有相關的控制措施、監控手段。比如，互聯網企業可能會作為首批數據發現和數據訪問行為獲監管的對象。

第四個階段是稽核。對于數據過程要進行審計、報告，改善措施，并重新構建。

在數據安全治理時代，新的核心技術要求，比如說數據梳理，就是搞清楚數據資產到底有多少，敏感數據如何分布，以及數據是如何被使用的。要利用數據的特征發現記錄，數據主機掃描技術，網絡分析技術，以及大數據的處理整合技術，才能完成數據梳理。

在未來，基于AI深度日志分析來實現數據監管，信息審計，潛在風險發現，而不是策略制定。潛在風險可能是類似APP，需要通過建模的方式完成這樣的學習分析。在國外，甚至僅需一到兩天之內就可完成自動化的設定，經過一天左右的時間，就能基于深度行為日志建模完成整體的防護體系。而通過行為日志、業務日志的積累，可以驅動未來安全的進一步發展。

網絡安全時代態勢感知的概念叫的響亮，卻沒出現幾個多么好的落地產品。但如果把數據安全時代態勢感知做出來的話，一定非常具有價值。因為各種數據的行為實現了可視化，即在大型數據中心層面通過大屏技術，呈現出數據分布和數據使用分布，以及數據在庫之間流動，業務系統流動，人之間的流動，以及發生的異常，在一種可視化的方式下，能夠快速感覺到。

三、小結

DBMS1．0時代的核心的理念是系統安全，市場啟蒙早期是在2010年左右，也是安華金和公司剛成立的時候，安華金和踏上數據庫安全的開拓之路。這個市場高速發展大規模企業進入，是在2017年。市場爆發恰恰是這個時期。預計到2020年左右，市場將達到一個成熟期，并慢慢演進。

第二個時代——數據時代很快會到來。這時期要以場景化來構建安全產線，預計規模能夠達到百億級。2015年左右應該可以算得上是2．0時代的一個啟蒙期，到2019年相信會成為業界主流性的理念。數據庫安全從DBMS安全演進成以數據為中心的安全，將會成為業界的共識。預計到2023年，2．0時代會達到高速的平衡期。3．0時代的核心是體系化安全，預計會出現在2025年左右，隨著安全的市場在快速的放量，市場將會抵達千億級規模。

數據安全治理是安華金和在2016年在國內率先提出來的，第一屆數據安全治理高峰論壇也由此發起，客戶逐漸開始認可這個理念。并且我們也看到像阿里這樣的企業，也開始談數據安全治理。同時，國網網安處專門成立了數據安全治理的工作組，在稅務側也有專門的組織，這些都說明這個理念既是被數據安全生態所認可的，也是符合客戶認知的。我們期待，該理念可以從啟蒙到逐漸被社會廣泛認可，到2021年實現在全國大型企業中數據安全治理體系的構造。同時，我們也樂觀期待，到2025年數據安全可以進入成熟期，達到千億級的市場。

最后，在整個社會經濟大環境悲觀的論調下，請允許我們能夠樂觀看待整個網絡安全行業的發展，從毛竹這種植物里找到一些激勵。毛竹生命的前幾年，它把所有的努力用在了地下、用在了伸展根系上。這些年中，它的根居然可以扎到幾英里遠。過了這幾年的默默儲備期，它就會像被施了魔法，半年時間里就能躥到30多米。長得快的時候，一天可以長半米多。想象一下，春天還是一棵齊腰高的小苗苗，到了秋天就變得高大挺拔、直插云天。這么奇妙的成長，全然是因著最初幾年充分的準備、這么強大的根系，才造就了這么令人驚嘆的奇跡啊。期待安全行業也能在未來迎來直插云天的蓬勃前景。

<上一頁 1 2