在之前的文章我們提及過,按照DIKW模型,沒有經過整理的數據只是一堆冰冷的數據,要想讓他們燃燒成為知識,進而躍升到智慧,你需要一個給他裝上一個世界觀,這個時候數據本身就承載了更多的含義,其中就包含了各類主體在數字空間或者按照現在流行的術語叫做賽博空間的映射。
那么數據安全的本質是保護構建這個賽博空間的基礎組成元素【數據】,從而實現對物理世界中各個主體在這個賽博空間映射體的保護,并確保其衍生的各類權益不會被侵害。于此對應的網絡安全可以理解為與計算設備、網絡等物理設施有關,是對構建這個賽博空間物理基礎設備的保護。
如果說,網絡安全問題是通過對設備運行系統本身的破壞達到某種目的,那么數據安全就是基于平臺、數據、算法和算力、各類主體(個人、組織、國家)一種彼此交織、彼此關聯、彼此依存的復雜性生態風險。針對網絡安全,我們可以借助先進技術、物理性措施來阻斷網絡安全風險,這就是網絡安全提及的各類邊界,通過各類邊界、各類縱深防御措施等防范安全風險。
但是,隨著移動互聯網已經滲透到我們生活的每一個毛細血管,我們已無法通過切斷自身與互聯網的連接規避或阻斷數據安全風險,你可能沒有辦法生活在一個沒有網絡和數據的物理空間里,像陶淵明書中提及的桃花源在這個無人不連接的時代如夢幻泡影。
如此看來,數據安全問題已呈現出一種泛分布、且不斷擴散、放大的風險特征。比如,你每個上傳至微信朋友圈、微博等各類社交媒體的的上的個人信息、圖片和視頻均是個人的思想情緒表達,而當一種具有收集數據意圖的機構利用了這些數據,有可能就會轉化為數據安全問題。
在當今數字化時代,數據的流動已成為推動經濟社會發展的重要動力,這個時候我們不能用靜態的視角來看待泛化的數據安全,倒逼我們需要采用數據的流動來看數據安全,它包含了即數據與數據之間流動、數據與人之間流動,數據與設備之間流動。這些海量多源數據的匯聚、流動、處理和分析活動中所呈現出的安全風險,使得數據安全的涉及的主體更加多元,利益訴求更加多樣,治理方式更加豐富,數據安全邊界在不斷擴展和延伸,我們不知道它的邊界在哪里,更加不知如何圍繞邊界構建治理體系。
在安全行業,有一個不好的風氣,就是輕易的否定的以前系統性的安全建設理念,各類安全廠商會提出各類抓眼球的理念,證明他提出理念的合理性。個人已經無數次在各類論壇看各種大V對傳統的網絡安全的邊界防御理論嗤之以鼻。但是他們的實際行動又很誠實,在客戶側推薦實際落地建設時還是邊界防御為主,這就是理念和現實的割裂感。既然邊界防御防御被證明有效,那么前文提及的泛化數據安全,也需要尋找數據自己的邊界來構建治理體系。
數據是為業務服務的,從本質上看數據安全也是圍繞業務本身,那么數據安全的邊界必然包含兩個層級,第一個層級,就是傳統安全的視角,如何通過各類技術手段構建數據安全的邊界,第二個層級,就是業務視角的數據安全邊界。國家既然要鼓勵數據產生價值,讓數據成為生成要素,此時不太適合用“安全領域”邊界的思想來界定數據。
我們分別從兩個層次來闡述這兩類邊界的內在需求。
稻盛和夫在企業經營中提及:當你面對世界復雜,越是看似錯綜復雜的問題,越是要趕快回歸原點,依據單純的原理原則做出決斷。萬事萬物都擁有共同性,面對復雜多變的數據流動場景,我們需要回到數據安全的起點,那就是數據的本身,圍繞數據本身構建安全邊界。從數據流動的視角來看主要是分兩個方式,就是主體信任和技術信任,那么我們從兩個方向來看邊界在哪里?
從主體信任的視角來看,那么數據的邊界就是對訪問數據的主體身份的認可、對訪問數據的行為、邏輯的認可,那么這個時候數據安全邊界就是主體身份、主體行為,我們需要依據其構建治理體系。
從技術信任的視角來看,它的前提基本上可以理解為主體不信任,或者說主體信任關系存疑,那么只能通過技術信任的關系來實現數據的流動,那么這個時候數據安全的邊界就是各類技術手段,如:A、數據存儲態、傳輸態加密后,數據安全的邊界就是密鑰。B、差分隱私,那么數據安全邊界就是偏移量、噪音。C、聯邦學習,數據安全邊界就是算法模型,等等。
在實際的工作中,我們一般不會孤立的通過單一的方式構建邊界,往往會采用多種方式構筑多重邊界的方式來保障數據流通時的安全需求。那么在安全的視角來看,數據安全的邊界在哪里?他的邊界是身份、是行為、是密鑰、是算法等等,我們需要結合自身的現狀,尋找適合自己的邊界。從業務視角看,數據需要流動才有價值,我們需要鼓勵數據自由流動,只不過需要“有序流動”,有序就是數據的邊界之一,它是一個綜合復雜性要求。比如數據要素頂層設計中最為關鍵的是“三權分置”原則,即資源持有權、加工使用權和產品經營權,這些原則明確了數據在不同環節中的權利歸屬,為數據流通提供了清晰的路徑。各類行業數據標準規范、數據交易管理制度、國內各地紛紛成立數據交易機構、公共數據的授權運營等等,這些都已經遠遠超出安全領域的范疇,這也就是前文提及的數據安全目前處于的泛化、彌散化的不穩定狀態。綜上,我們再談及數據安全時,我們需要圍繞數據本身構建邊界,也就是通過構建安全維度的邊界來保證數據流動的可管、可控,但是回到業務層面,它包括數據有序流動過程中的“業務規則”“數據合規”,比如確保數據合規引入、合作方的管控、數據跨境等各類業務場景的安全邊界,它是一個廣泛復雜的綜合體,也不可能找到一套標準模式來做好數據安全工作,數據安全只是其中很小一部分,需要融合業務、合規、安全、IT等多方面,協同綜合保障。
浙公網安備 33010502006954號 
