《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《电子签名法》、《涉及国家秘密的计算机信息系统分级保护管理办法》等等一系列法律法规的颁布,将数据这一重要生产要素的流通安全性要求提高到前所未有的高度。
数据安全一直以来都是往安全领域建设和关注的重点,事实上,数据安全也并不是一个非常新的话题和领域。
从网络安全发展的历史来看,传统网络安全保护的方式都是保障数据产生和存放的系统和设备的安全,来达到间接地对其上的数据进行保护的目的。
无论是在网络边界部署网络流量类设备,例如设置防火墙、IPS等,还是在业务服务器上部署防病毒等主机保护产品;亦或是在生产服务区的数据库服务器上部署相应检测防护产品,如数据库防火墙、数据库审计、数据库安全评估等。本质上来说,保护的都是数据系统所有者的数据安全,是聚焦于对数据控制权的保护,目的仅仅是数据保管安全。
2021年11月1日起,《个人信息保护法》正式开始施行。与9月1日起施行的《数据安全法》,及《网络安全法》等构成了我国新的数据安全的法律保障体系,“数据安全”这一网络安全领域的概念,快速被各个行业和领域所关心和重新认知。
新的法律法规的颁布实施,对数据的归属、分发、使用、交易,以及数据的分级、传输、存储、回收都提出了明确的法律要求。也对整个数据安全的保护和提出了一个新的要求,数据安全保护从数据保管安全,变成了要保障数据生命周期的全流程安全,是一种根本性的变化。
我们认为数据安全产品和方案,也需要从数据存储、数据使用,数据业务系统保护的功能,变成了以数据为本的,在社会化生产中所有数据要素参与的全流程的数据安全治理,而非单纯的基于网络对抗的保护。即:数据原生的,数据安全治理。
从广义上来说,全生命周期的数据治理是对数据相关的各个环节进行安全管理。包括数据查询、数据挖掘、数据交易中所包括数据的产生、采集、清洗、转换等传统数据集成环节;数据存储、数据资产化管理,数据分级分类,数据清洗,数据质量规划管理等狭义数据治理环节;以及这个些环节过程中的数据存放、分发、流通、回收、销毁等诸多方面。
这对于数据安全的从业者和数据安全产品来说提出了全新的要求和挑战,需要从传统的数据系统的攻防能力,逐步地向数据安全治理进行转变,以满足国家法律、行业监管要求、企业自身制度规范的要求。
在新的法律体系和监管要求下,网络安全企业要从攻防对抗为核心的数据安全视角中迈出来,不仅要解决数据保管的安全问题,更要从数据生产、数据流通、数据分级分类、数据使用这些环节入手,逐步形成安全治理的整体能力和方案。数据安全要从“攻防视角”、“系统视角”,真正转变为“业务视角”、“数据视角”。数据安全要真正与业务紧密结合,数据安全的从业人员,不仅要懂安全,更要懂业务、懂数据、懂法规。
不可避免的,在产品方面会发生巨大的变化。从原来的围绕系统,变为进入系统;从原来的动作监控,变成过程治理;从静态控制,变成动态控制。也许这种深入业务的部署方式难以短时间内被甲方系统及业务管理人员接受,但随着新的轻量化产品的出现,产品稳定性提升、云及容器等新的架构广泛应用,长期来看一定是必然的趋势。
类比EDR,用户逐步接受这种在业务服务器部署轻量化Agent方式的产品,也用了几年的时间,但事实的使用效果是广泛得到认可的。进一步来说,在一个大的威胁分析能力平台之上,可以将网络流量威胁检测NDR与业务主机的威胁检测EDR的结合和关联分析,这就是目前网络安全领域最受关注的XDR。
同样地进行类比,将生产业务系统的数据、流转传输的数据、其他业务使用的数据、存储存放的数据进行整体管理,会形成整体的数据安全治理平台。
甚至未来企业信息安全,会形成“综合网络安全”和“数据安全治理”两个基本层面,前者是以主机、OS、网络等为出发点的基础网络安全视角,后者是以数据为出发点的数据安全治理视角。
该文观点仅代表作者本人,企服科学平台仅提供信息存储空间服务。