随着《网络数据安全管理条例》的正式发布,数据安全再次冲上了安全圈的热搜榜,是不是意味着数据安全市场的蛋糕将会越来越大了,能否为低迷的网络安全行业注入新的活力,催生出越来越多的技术创新,诞生出越来越多的专精特新企业了。在信息化社会,数据对国家、企业及个人来说,都是无形资产,有其独特的价值所在,是催生数字经济的核心动力。数据就是财产,数据就是生命力,其价值需要被放大,也需要被保护,数据安全的重要性不言而喻。如果不重视数据安全,就无法为数字经济保驾护航。
国家从2016年陆续颁布《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国保守国家秘密法》、《中华人民共和国密码法》、《网络安全等级保护条例》、《网络数据安全管理条例》等,从立法到条例、规定、办法、国标、行标等都明确了相关要求,做到有法可依,有据可查,真正遵循顶层设计。政府单位、企事业单位、个人都必须严格按照相关的法律法规和技术标准做好合规,以合规方式驱动数据安全建设,厂商也是“一窝蜂”的扎堆数据安全领域。
迄今为止,应当还没有哪个公司能真正地做好数据安全产品。如果要做好数据安全,不应当依葫芦画瓢照搬以前的粗放式网络安全建设,不以落地为目标,而是安全厂商基于自己的安全理念去引导甲方建设,这种建设思路是错误的,脱离了甲方的业务,不仅造成了资源浪费,实际效果大打折扣,除了几张光彩夺目的大屏,甚至数据都有可能是伪造的,实在是找不出有价值的功能和技术创新的点,网络安全的概念年年出新,实际上底层的逻辑是没有任何变化的。看问题应当抓住事物本质,从甲方业务实际出发,基于风险和威胁建模的思路,真正地找出安全问题,将安全问题进行分类分级,陈述利害关系,再提供有针对性的解决方案。
如果数据安全建设还是以往的方式来进行建设的话,网络安全行业就不可能真正地回归业务和技术驱动的市场环境,也不可能真正迎来量变到质变,甲方也只是在合规的驱使下背动地做数据安全建设,内心深处是不情愿的。组织和企业也有大、中、小之分,不希望于都重视数据安全,一方面是靠合规驱动的,一方面是自身业务和数据安全深度绑定的。数据安全的市场也要进行客户细分,目标客户在哪里,目标客户的痛点有什么。数据安全其实是一个很大话题,涉及面是非常广的,安全风险不仅来自于外部,更多地来自于内部,堡垒最容易从内部攻破。
最近大家一直提的数据安全管控平台,其实站在我的角度,如果数据安全一开始从从管控的角度出发,又会重走老路,以几张大屏草草收尾,最终没有一点实际效果。行业、组织及企业的业务及数据各不相同,也不可能通过标准化的产品去做数据安全,通过提供咨询、产品及服务的方式做数据安全才有出路,从客户业务、数据价值、数据内容等方面确定客户的数据安全风险,再有针对性地提供适合客户的数据安全解决方案。
如果要做好数据安全,我个人的观点是要从业务系统本身出发,做好开发安全及软硬件供应链管理是基础,如果忽略这点,再好的管控系统也做不好数据安全。在以往的工作中遇到有些企业员工通过API获取公司敏感数据进行牟利,这往往是一个容易忽略的点。很多情况下系统开发人员往往为了省事,也没有相关的开发安全培训,API接口都没有做安全验证,也没有针对 API调用做完整的日志详情记录,这些都成为了被利用的点。这种情况在很多安全公司也普遍存在这种类似情况,常说的安全公司不安全。
要实实在在的从业务本身出发去做好数据安全,不考虑业务本身的数据安全建设是没有灵魂的,涉及到数据威胁建模、开发安全、数据分类分级、数据权限管控、数据存储/传输加密、数据脱敏、水印技术、安全办公、数据库安全、API安全、日志审计、数据库审计、运维审计、容灾备份、数据生命周期跟踪管理等目前已有的技术和产品都是数据安全的范畴。如果做数据安全管控,数据的每个流动环节,没有详细的日志记录,是否能真正做好数据安全管控平台,为什么不是首先对现有的系统和流程进行改造了,难道是要通过该平台去操控数据。
总之,数据安全这个赛道,还是基于已经有技术和产品,更多的考虑是基于业务和数据本身了解风险,有针对性解决数据安全问题,并不是卖几个产品就能解决客户数据安全问题,有的客户上百个业务系统,每个业务系统的数据和服务对象都不一致,厂商讲PPT的人能短时间内了解客户痛点是不可能的,除了吹牛还是吹牛。数据安全很火,但是更需要务实,要做好数据安全咨询和服务,当卖产品的卖产品,当定制开发的定制开发,当要求客户整改业务系统的整改业务系统。按照以往无效内卷,只会让数据安全市场越来越难做。
