隨著《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》的正式發(fā)布,數(shù)據(jù)安全再次沖上了安全圈的熱搜榜,是不是意味著數(shù)據(jù)安全市場的蛋糕將會越來越大了,能否為低迷的網(wǎng)絡(luò)安全行業(yè)注入新的活力,催生出越來越多的技術(shù)創(chuàng)新,誕生出越來越多的專精特新企業(yè)了。在信息化社會,數(shù)據(jù)對國家、企業(yè)及個人來說,都是無形資產(chǎn),有其獨特的價值所在,是催生數(shù)字經(jīng)濟的核心動力。數(shù)據(jù)就是財產(chǎn),數(shù)據(jù)就是生命力,其價值需要被放大,也需要被保護,數(shù)據(jù)安全的重要性不言而喻。如果不重視數(shù)據(jù)安全,就無法為數(shù)字經(jīng)濟保駕護航。
國家從2016年陸續(xù)頒布《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國保守國家秘密法》、《中華人民共和國密碼法》、《網(wǎng)絡(luò)安全等級保護條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等,從立法到條例、規(guī)定、辦法、國標、行標等都明確了相關(guān)要求,做到有法可依,有據(jù)可查,真正遵循頂層設(shè)計。政府單位、企事業(yè)單位、個人都必須嚴格按照相關(guān)的法律法規(guī)和技術(shù)標準做好合規(guī),以合規(guī)方式驅(qū)動數(shù)據(jù)安全建設(shè),廠商也是“一窩蜂”的扎堆數(shù)據(jù)安全領(lǐng)域。
迄今為止,應當還沒有哪個公司能真正地做好數(shù)據(jù)安全產(chǎn)品。如果要做好數(shù)據(jù)安全,不應當依葫蘆畫瓢照搬以前的粗放式網(wǎng)絡(luò)安全建設(shè),不以落地為目標,而是安全廠商基于自己的安全理念去引導甲方建設(shè),這種建設(shè)思路是錯誤的,脫離了甲方的業(yè)務(wù),不僅造成了資源浪費,實際效果大打折扣,除了幾張光彩奪目的大屏,甚至數(shù)據(jù)都有可能是偽造的,實在是找不出有價值的功能和技術(shù)創(chuàng)新的點,網(wǎng)絡(luò)安全的概念年年出新,實際上底層的邏輯是沒有任何變化的。看問題應當抓住事物本質(zhì),從甲方業(yè)務(wù)實際出發(fā),基于風險和威脅建模的思路,真正地找出安全問題,將安全問題進行分類分級,陳述利害關(guān)系,再提供有針對性的解決方案。
如果數(shù)據(jù)安全建設(shè)還是以往的方式來進行建設(shè)的話,網(wǎng)絡(luò)安全行業(yè)就不可能真正地回歸業(yè)務(wù)和技術(shù)驅(qū)動的市場環(huán)境,也不可能真正迎來量變到質(zhì)變,甲方也只是在合規(guī)的驅(qū)使下背動地做數(shù)據(jù)安全建設(shè),內(nèi)心深處是不情愿的。組織和企業(yè)也有大、中、小之分,不希望于都重視數(shù)據(jù)安全,一方面是靠合規(guī)驅(qū)動的,一方面是自身業(yè)務(wù)和數(shù)據(jù)安全深度綁定的。數(shù)據(jù)安全的市場也要進行客戶細分,目標客戶在哪里,目標客戶的痛點有什么。數(shù)據(jù)安全其實是一個很大話題,涉及面是非常廣的,安全風險不僅來自于外部,更多地來自于內(nèi)部,堡壘最容易從內(nèi)部攻破。
最近大家一直提的數(shù)據(jù)安全管控平臺,其實站在我的角度,如果數(shù)據(jù)安全一開始從從管控的角度出發(fā),又會重走老路,以幾張大屏草草收尾,最終沒有一點實際效果。行業(yè)、組織及企業(yè)的業(yè)務(wù)及數(shù)據(jù)各不相同,也不可能通過標準化的產(chǎn)品去做數(shù)據(jù)安全,通過提供咨詢、產(chǎn)品及服務(wù)的方式做數(shù)據(jù)安全才有出路,從客戶業(yè)務(wù)、數(shù)據(jù)價值、數(shù)據(jù)內(nèi)容等方面確定客戶的數(shù)據(jù)安全風險,再有針對性地提供適合客戶的數(shù)據(jù)安全解決方案。
如果要做好數(shù)據(jù)安全,我個人的觀點是要從業(yè)務(wù)系統(tǒng)本身出發(fā),做好開發(fā)安全及軟硬件供應鏈管理是基礎(chǔ),如果忽略這點,再好的管控系統(tǒng)也做不好數(shù)據(jù)安全。在以往的工作中遇到有些企業(yè)員工通過API獲取公司敏感數(shù)據(jù)進行牟利,這往往是一個容易忽略的點。很多情況下系統(tǒng)開發(fā)人員往往為了省事,也沒有相關(guān)的開發(fā)安全培訓,API接口都沒有做安全驗證,也沒有針對 API調(diào)用做完整的日志詳情記錄,這些都成為了被利用的點。這種情況在很多安全公司也普遍存在這種類似情況,常說的安全公司不安全。
要實實在在的從業(yè)務(wù)本身出發(fā)去做好數(shù)據(jù)安全,不考慮業(yè)務(wù)本身的數(shù)據(jù)安全建設(shè)是沒有靈魂的,涉及到數(shù)據(jù)威脅建模、開發(fā)安全、數(shù)據(jù)分類分級、數(shù)據(jù)權(quán)限管控、數(shù)據(jù)存儲/傳輸加密、數(shù)據(jù)脫敏、水印技術(shù)、安全辦公、數(shù)據(jù)庫安全、API安全、日志審計、數(shù)據(jù)庫審計、運維審計、容災備份、數(shù)據(jù)生命周期跟蹤管理等目前已有的技術(shù)和產(chǎn)品都是數(shù)據(jù)安全的范疇。如果做數(shù)據(jù)安全管控,數(shù)據(jù)的每個流動環(huán)節(jié),沒有詳細的日志記錄,是否能真正做好數(shù)據(jù)安全管控平臺,為什么不是首先對現(xiàn)有的系統(tǒng)和流程進行改造了,難道是要通過該平臺去操控數(shù)據(jù)。
總之,數(shù)據(jù)安全這個賽道,還是基于已經(jīng)有技術(shù)和產(chǎn)品,更多的考慮是基于業(yè)務(wù)和數(shù)據(jù)本身了解風險,有針對性解決數(shù)據(jù)安全問題,并不是賣幾個產(chǎn)品就能解決客戶數(shù)據(jù)安全問題,有的客戶上百個業(yè)務(wù)系統(tǒng),每個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)和服務(wù)對象都不一致,廠商講PPT的人能短時間內(nèi)了解客戶痛點是不可能的,除了吹牛還是吹牛。數(shù)據(jù)安全很火,但是更需要務(wù)實,要做好數(shù)據(jù)安全咨詢和服務(wù),當賣產(chǎn)品的賣產(chǎn)品,當定制開發(fā)的定制開發(fā),當要求客戶整改業(yè)務(wù)系統(tǒng)的整改業(yè)務(wù)系統(tǒng)。按照以往無效內(nèi)卷,只會讓數(shù)據(jù)安全市場越來越難做。
