我看到的数据安全(DPO社群成员观点)
编者按:
DPO社群最大的特色就是法律、合规、技术等不同专才的人齐聚。此次,DPO社群首席技术专家方兴给我们从技术角度带来了对数据安全保护的深刻理解,非常值得大家仔细揣摩。方兴的个人简介见文末。
正文开始:
2017年8月我从阿里离职,创办了全知科技,聚焦在数据安全方向。数据安全这个词其实很早以前就有了,吴鲁加和黄鑫同学2005年创办大成天下,锁定的就是数据安全方向,做了DLP、铁卷加密等产品,当时还记得吴鲁加同学给我大讲特讲数据安全未来前景的兴奋状态。可惜之后数据安全产业发展的态势并不如预期,吴鲁佳同学最后也淡出安全圈,转战互联网,最后以小密圈/知识星球崛起。那么为什么我也来做数据安全呢?我看到的数据安全又和大家看到的数据安全有什么区别呢?大家都知道:如果你看到的是大家都已经看到的,你不会有太多的机会。所以抽了些时间,谈谈我对数据安全的思考。
这几年网络空间安全(网安法的网其实是网络空间)、网络安全、信息安全、数据安全处于一种术语非常混乱的状态,这里我谈的XX安全,更多是站在企业视角来看。
如果从企业视角去看,我们把这些归结为一个大的“IT体系安全”。一个企业需要的也不仅仅是“IT体系安全”,还包括各种各样的安全,但无论如何,都是围绕着企业的价值链来产生的,企业的价值链如下图:
企业的核心价值和活动是通过人的智力、管理和劳动,把原材料通过生产转化为产品和服务,再提供给客户,获取利润,投入到再生产过程中,不断的循环。
企业最核心的要素除了人,包括钱、信息、物资、通过生产过程,产出产品和服务,再通过营销获得价值实现。一般而言,未加入到生产过程时的钱、信息、物资,我们关注他们自身的价值属性,我们把这种静态的钱、信息、物资统称为资产;一旦钱、信息、物资参与到生产的过程中,与多个生产要素融合生产。通过动态使用甚至消耗自身产生价值超越所有生产资料总和价值的产品和服务时,我们把这种动态的钱、信息、物资统称为生产资料;
企业随着业务发展的不同阶段,围绕自己的价值链,会产生3钟不同类型的安全需求,如下图:
第一类安全需求:资产安全:更强调对静态资产本身价值的保护。防范的是企业资产损失。资产安全是企业最早遇到的安全需求。
第二类安全需求:业务安全;随着市场化进程的加深,企业业务面临更多来自客户的不确定性因素和竞争对手的恶性竞争。如何保证业务的可持续性,减少外部环境带来的业务风险,以及具备和竞争对手恶意竞争的对抗能力,保护企业业务竞争力。对企业而言,业务安全远远大于资产安全,因为一个企业存在的目的是通过业务持续盈利,资产风险更多是成本问题,业务风险是影响自己业务模式是否可行的生存问题。
第三类安全需求:生产安全;随着工业化进程的发展,企业生产的产品越来越复杂,可能是个由原材料、材料、半成品、组件、再到产品的复杂过程,即使内部每个过程,工艺也需要多个环节,形成复杂的上下游生产流通的供应链体系;如果各种生产资料管理不善、生产过程管理不善,可能带来高危事件如爆炸的损失远远高于生产资料本身资产属性价值的损失;同时产出的产品如果因为生产资料和生产过程管理不善产生的质量问题,也可能会输出到外界形成高危的社会公众安全风险(如有毒食品、过期疫苗),因此在生产过程中需要管控整个的安全;生产安全不仅可能既带来远大于资产的损失(如爆炸可能带来远大于生产资料价值的损失),也可能带来业务安全风险(如输出带毒奶粉导致奶粉行业一蹶不振)。
企业“IT体系的安全”一样也是围绕企业价值链的,映射的3类安全需求,都已经产生或正在产生,而我认为数据安全,其实核心是映射生产安全的。
最早,企业对“IT体系的安全”产生的是资产属性的安全,因为最早IT系统是为内部业务系统服务,承载业务信息资产的。这个时候谈的狭义的信息安全、物理安全、网络安全,其实都是围绕资产价值产生的。
互联网普及之后,本质上是加强了人的互联,企业逐步将自己的业务通过互联网链接到自己的客户来展开业务,IT系统成为产品和服务到客户的关键承载体,对客户服务的持续可用性,对客户业务价值甄别等业务安全需求逐步产生,以阿里为代表的业务互联网化电商、互金行业,产生了基于“IT体系”的业务安全需求,成为安全产业发展的新方向,开始产生同盾、顶象这样的业务安全厂商。
随着AI、DT时代的来临,企业IT系统之间,企业和企业之间,开始进行业务系统的互联,核心是通过数据(信息的生产资料态)的流通,来链接流程以及通过对数据的二次加工,创造更大的价值,本质上,数据作为一种生产资料,加入到企业的生产过程中,并成为重要的能源,但数据本身,在生产过程这可能因生产资料的管理不善,生产过程的控制不善带来各类风险,并能在输出的产品和服务中输出风险。如内部人员导致的大规模的数据泄露、数据质量引起的业务系统故障风险、产品和服务暴露个人隐私。
说到这里,可能大家会清晰一点,我谈的数据安全和以前谈的数据安全之间的一些视角差异:
1)以前的数据安全,强调的是资产属性价值保护;本质而言谈的是信息在数据载体上的安全;而我们强调的是数据作为生产资料,在生产过程中的整个安全管理体系。关注对数据可能带来的风险进行控制。
2)以前的数据安全,站在资产视角以保护的视角居多,防范的主要是外部威胁;或者内部人员的恶意行为;而我们强调的是需要建立针对数据流动和使用的风险控制体系,需要一整套的规范、数据分类管理体系、场景控制流程、可追溯体系、数据风险识别和度量体系、检测体系;主要是防范内部各种涉及数据的生产系统以及人员的不规范行为,导致的各类数据风险(数据自身以及数据带给其他主体和客体的f风险,当然也内降低内部人员的恶意行为以及外部威胁混入内部伪装成内部人员带来威胁的可能)
为什么我们要用这种生产安全的视角来看待数据安全?
1)数字化转型的核心是企业具备数据业务化能力,而数据的业务化是未来企业竞争的最核心的能力来源之一,也就是说每个行业活得好的企业,都会逐步形成跨系统甚至跨组织的数据流动,通过这些数据流动改进自己的生产营销组织管理客户体验各个环节获得增值,但对数据在多个系统和环节、组织的生产过程中的管理和风险控制变得越来越重要。
2)企业价值链决定了企业在安全投入上的比重。可以评估一下大型工业化企业在通用的业务安全、生产安全、资产安全上的投入,以及负责人员的职责权利角度,可以了解到对企业而言,保护业务和生产安全的需求远大于资产安全的需求。对于资产安全企业的投入度〈资产价值*风险概率,对于低概率或低价值资产,企业投入意愿很低。而对于业务安全,由于业务的循环往复,风险概率会大很多。而业务影响不仅是当期价值,还有未来预期的价值。生成安全影响的不仅是自身生成资料的价值,还有关联生产系统和业务的价值。未来从合规角度,政府更多关注企业给第三方和国家带来的风险而非企业自身的损失。
企业在“IT体系“的资产价值维度的投入虽然是最容易被认知和最早产生需求的,但随企业业务的互联网化和企业数字化转型发展,企业逐步会加大在“IT体系”的业务安全维度和生产安全(数据安全是最主要的维度)的投入。
其实如果围绕数据安全的核心是“IT系统体系”的“生产安全”的视角去看,完成可以借鉴现有的生产安全的体系,来梳理数据安全未来的体系,这又是另一个非常有意思的话题,可以留到下次有空了再写。
作者简介:
方兴,网络ID FLASHSKY。知名网络安全专家,历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全专家、翰海源CEO、阿里巴巴资深安全专家,现为网络安全初创公司全知科技的CEO。2003年世界首发MS03-026漏洞(冲击波使用漏洞)细节,引发全球安全体系变革,2004年世界第一个发布WINDOWS内核溢出远程利用技术,最早的漏洞自动化挖掘研究者,第一个BLUEHAT中国演讲者,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。连续创业者,2010年和王伟联合创立翰海源,2015年翰海源被阿里巴巴全资收购。方兴创建的全知科技专注于以数据为中心的风险管理体系建立和相应的产品技术研发。
此前方兴在本公号发表的专论见【构建数据时代的数据安全体系】
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点