说明:
数据时代、数字经济、数据要素、数据安全、数据治理、数据安全治理等词汇充斥着大家的耳朵。当下是数据时代不假、数字经济已经到来也没有错,数据要素、数据安全、数据治理和数据安全治理都很重要也都是社会的共识。为掌握先机,众多单位纷纷推出自己的认识、方案、产品,但总体上看还有很多问题没有考虑清楚,甚至有些单位的观点和做法都是错误的。其实,作者虽然在思考和实践数据方面的相关工作有很长时间了,但,有几个问题一直困扰着作者,刚好因疫情有更多的时间进行安静的分析思考,将几点认识总结一下。
问题一:数据时代的核心是什么?
在网上,关于这个问题会有很多种答案,以作者看来,数据时代的核心就一句话:通过数据能力提升,推动社会进步,所以数据能力是数据时代的核心。
所谓数据能力,无外乎“收集汇总、分析加工、应用流转”三个层面的能力。
所以,数据时代就是通过信息化手段收集汇总数据,并对其进行分析加工,使其能具备应用流转能力,从而推动价值实现。
进而,那些认为数据是数据时代核心的认识就存在一定的片面性。回顾一下你的四周能发现有很多单位掌握着众多数据,但并没有能力进行价值实现,这样的数据有与无又有什么关系。
问题二:数据作为要素,其如何界定范围是?
数据作为要素将在数据时代发挥重要的作用,但,在信息化中那些可以称之为数据要素呢?作者认为,在信息化中除了硬件其他的都是数据(手机克隆就是一个很好例子),仅是数据的表现形式不同而已。【软件也是数据,从这个角度讲,数据价值早已实现经济化了】
以往大家多关注的是业务数据,所以惯性上就会按照业务数据的认知来思考数据要素问题,这就会存在很大的局限性。
按照上述的认识,除了硬件外的所有都是数据,从放大数据要素范围角度去设计和思考数据要素问题,将更加全面,更能满足数据处理整体性(元数据就是这个道理)要求,大家可试试。
问题三:数据所有者如何利用数据发挥价值?
为了便于理解和应用,作者建议数据分为环境数据(基础数据)、行为数据、业务数据三类(在以往的文章中《数据安全:要搞清楚数据与安全的关系(重视行为数据和环境数据成为必然)》,多次提及这样的分类方法和对应的好处),按照这个分类,数据所有者就可以清晰的找到每类数据应该发挥价值的方向:
业务数据:提升所有者单位效益和存在感的基础
行为数据:提升所有者单位效能和防控能力的基础
环境数据:展示所有者单位基础条件和业务承载能力的基础
问题四:数据治理到底是什么含义?
常常听到各种报告或要求,要开展数据治理。到底什么是数据治理?总是有点困惑。
数据治理这个叫法真是高大上,怎么说怎么行,但却很难被深刻认识和理解。作者用类比的方式试着理解一下:数据好比矿山,数据治理好比是采矿和冶炼。那好,数据治理其实就是开采数据并进行价值提炼。所以,数据治理的核心也就清楚了,就是采集数据、处理数据使得有价值。(市面上很多说数据安全治理是数据治理的核心,这种认识目的性太强,有失偏颇)
问题五:数据安全是否为一个全新的领域?
数据安全当下确实很火,也出现了很多好的数据安全方案、产品和企业,在数据安全的政策红利中获得众多的发展机会,但,作者总是觉得,数据安全之于网络安全并不是一个全新的领域,而仅仅是一个应用场景而已,理由如下:
1、按照数据的分类来讲,对业务数据、行为数据、环境数据这三类数据进行安全保护,并没有出现什么特殊的技术和方法,都还是一些传统安全技术的应用而已。
2、对于业务数据的安全需求的核心是确权、鉴权、授权和可服务(什么可用不可见、可算不可识等),都是场景化的东西,并没有独特的特点。行为数据和环境数据更是如此
3、另外对数据取证和鉴证更不是什么全新方向,一些通用的安全方法和手段都可以发挥功效
鉴于数据安全仅是一个网络安全的场景化的领域,所以有些问题就需要特别注意:
1、数据安全设计只能追求通用组件而绝不能追求通用体系
2、数据安全建设要因实而定,定制化那是一定的
3、数据安全建设在方法上是一个多选题,没有最好,只要合适即可
问题六:数据安全的核心设计思想是什么?
鉴于数据安全是网络安全的一个场景,那么网络安全的攻防原理同样适合数据安全,结合数据的分类即可得出数据安全的核心设计思想:
从保护环境数据、行为数据、业务数据三个维度出发,通过传统的网络安全技术,按照数据一致性安全要求打通传统网络安全分层体系设计,消除木桶原理,最终形成以环境数据安全为支撑,以行为数据安全为保障,以业务数据安全为体现的数据安全核心设计思想。请参考《网络安全 产业思路思考(三):从数据安全维度设计,提升整体性和实用性更强》和作者的其他文章。
问题七:数据安全的范围和目标是什么?
按照上述的数据安全设计思想,数据安全的范围和目标如下:
环境数据安全:确保客观、稳定、可控、可管、可关联、可分析
行为数据安全:确保真实、可溯、可关联、可分析、可预见
业务数据安全:确保真实、关联、合法、可流转
问题八:网络安全从业者怎么参与到数据时代中去?
鉴于数据安全并非一个全新的领域,仅是一个网络安全的场景化落地,进而,网络安全从业者分享数据时代、数据安全等相关政策红利是完全ok的。要做的是如何发挥自身优势并结合数据时代的特点获得更大的成就感,建议如下:
1、已有的技术思想和体系结构并不需要做太大的改变,但必须知道数据安全的特质,并储备对数据进行分而治之的思想和能力,数据安全更侧重针对性保护,不要一刀切
2、数据保护的关注点不要拘泥于业务数据,必须把工作重心一部分放到环境和行为数据上,这样你会发现,解决数据安全问题其实并不复杂
3、要善于使用通过环境数据、行为数据、业务数据的方式串接传统的网络安全体系和技术,在数据时代中一定要认识到并竭力做到“安全保数据,数据也能保安全”,利用数据可以使得安全体系更加丰满并且更值得信赖
最后要说
当下的数据时代,还有很多认识没有统一,还需要在国家层面明确和细化,但这并不影响时代发展的进程,也不会影响数据安全作为一个网络安全场景的规模化落地。
我们能做的就是竭力提高认识,快速形成应对思想甚至是行动方案,大不了在过程中进行完善,总之,数据时代给网络安全从业者提供了更多的发展机会,但是确实挑战很大,唯有大家多讨论,多交流,才能提高的更快一点,也少走一些弯路。
【注:以上仅是作者肤浅认识,仅供参考】
部分参考文章
一个“责任主体”网络安全的应对:灯笼方案
疫情之下,网络安全行业需要做适度变化
清晰定位、补齐缺位,自然水到渠成
一 篇好文《好好生活》,很有意思的几个观点
网络安全工作就是将“不确定”转化为“确定”的过程
寻找网络安全设计主线@寻找数据安全治理方法
数据安全:要搞清楚数据与安全的关系(重视行为数据和环境数据成为必然)
劳动节快乐!网络安全工作“十问、十答”
网络安全工作:依靠技术、更要依赖思想
安全“零改造”,不再是乌托邦
要知道:掌握数据,是掌控安全的前提
集中化体系中,网络安全工作建议
一 条网络安全工作思路,为“4 1 5 全民国家安全教育日”出点力
网络安全大舞台:台上要有节目、台下更要有观众
肉眼所见,未必真实,更何况“电子眼”。但保护“眼睛”就是保护平安
网络安全工作要利用好“知情权”
网络安全设计和建设被忽视的一 个方面:威慑能力
清明话网安
网络安全产业,出路思考(九 ):操作层面
网络安全工作平台,一 个全新的网安工作抓手
网络安全产业,出路思考(八 ):搞清技术定位
网络安全产业,出路思考(七 ):重视实训
网络安全产业,出路思路(六 ):咨询驱动
网络安全产业,出路思考(五 ):从“工作”本质出发
网络安全产业,出路思考(四 ):“关联”出路
网络安全 产业思路思考(三 ):从数据安全维度设计,提升整体性和实用性更强
网络安全产业,出路思考(二 ):抓手层面
网络安全产业,出路思考(一 ):思想层面
来源:与智慧做朋友
作者:李志勇
声明:文章中部分图片来源于网络,版权并不属于作者
,
