以下文章来源于数世咨询 ,作者数世咨询
国内与西方的“数据安全治理”有何异同?
近半年来,数据安全领域发生了许多大事件。无论是安全圈内部,还是普通群众,甚至外交部发言人,都表现出了对数据安全的更多担忧与重视。在这样的大背景下,话题 —— 自然而然从大家都关注的西方和国内数据安全治理的异同开始聊起。
刘霖认为,到了今天,西方和中国的数据安全治理,最大的区别是驱动力不同,相同点则都是落地难!国外是技术发展促进数据安全治理的落地;国内则是数据量空前庞大,丰富多彩的各种数据应用,倒逼数据安全治理的落地。
西方的数据安全治理起步更早——大概15年前,以德勤为首的“四大”就已经开始抓住全球数字化转型潮流的契机,逐步建立了一套企业风险评估服务体系,开始提供数据安全的咨询与服务——但在提供咨询服务的过程中,德勤发现“数字化”中的数据是全程流动的,不同的人、不同的部门,使用不同的数据,为企业创造价值。而传统的安全技术,很难解决数据全程流动的问题,主要原因:缺少有效的落地手段。于是,西方开始对技术和产品进行更新换代。当时,“四大”进行数据安全治理的技术抓手是以赛门铁克为代表的洋公司的数据泄露防护(DLP)。
国内的数据安全治理起步稍晚,但在十年前,像中国信息安全测评中心(简称国测)等国字头的安全测评机构就开始在国内大型企业推广数据安全治理体系,因为越大的机构业务数字化之后,面临数据安全的风险越大。刘霖举了一个真实的案例。十年前,国内最大的能源企业提出了数据安全治理的需求,找到了国测。但遗憾的是当设计好理论框架后,找遍了国内安全企业,没有一家满足要求,最后只好找了某知名洋DLP产品。国内的需求和理念并不落后于西方,很早就有人想做数据安全治理,只可惜当时没有国产技术落地,无论是全局管控所需的“策略能力”还是具体抓手所需的“know how能力”都很难。提起洋产品、洋咨询公司在中国数据安全市场独领风骚的当年,刘霖不胜唏嘘。
到了今天,国内的数据安全治理技术落地,仍然落后于数据业务的发展,甚至也落后于数据安全法的要求。《数据安全法》第一章第四条已明确提到数据安全必须要建立健全数据安全治理体系。然而从数安法草案发布到现在两年的时间里,像滴滴、中国最大的公有云服务提供商等,作为行业内技术领先的佼佼者,近年来仍然先后出现了重大的数据安全事故,也成为数据安全治理缺少落地手段的一种间接体现。
具体来说,刘霖认为落地难点主要有三处:
(1)技术手段匮乏
传统数据安全技术主要是加密和隔离技术,对于数据安全治理流程难以覆盖。比如数据库安全,数据一旦出了“库”,传统手段就失效了,离了就隔不了;同时数据流通环节全部做管控又难以实现——大规模的数据采集、传输、使用,全部加解密,处理能力远远跟不上时效性需求,无法做到全流程加解密。
(2)覆盖度不够
数据安全治理不是数据库安全治理!很多单位的数据安全治理只解决了数据库中结构化数据的治理,最多只占整个数据体量的20%。而占据绝大多数的非结构化数据,目前仍然处于“采集数据不遗余力,保护数据无能为力”的尴尬境地。
(3)新技术使用少
人工智能在数据安全领域的应用仍远远不够,例如国内少有真正的UEBA产品——这个领域Gartner认可的国内厂商,包括天空卫士在内目前只有1-2家。大部分数据安全平台还需要像态势感知一样依靠“堆人”才能真正发挥效能,后果就是大量的低成本人员导致数据安全的分析质量堪忧。随着数据量越来越大,数据安全的隐患自然也会越来越大。按照MTTD/MTTR的响应标准,国内相比西方的技术差距已经出现代差。因此必须要靠人工智能等新技术,才能发挥出数据作为“第五大生产要素”的价值。
上述三个数据安全治理落地难的问题,并不是中国独自面临的问题,欧美也有。那欧美是怎么应对的呢?
事件触动、技术驱动、围绕数据、强调业务、强强联合
事件触动是指2015年美国的大规模公务员信息泄露事件,即人事管理局OPM数据泄露事件。该事件发生后,美国联邦政府加速建成了国家数据安全防护系统"Continuous Diagnostics and Mitigation(CDM)持续诊断与缓解计划 ",立志通过技术驱动解决此类问题。这个项目的核心是数据安全防护,而非网络安全防护。该系统符合欧美的安全界目前的普遍认知:
2、攻破以后就是为了拿数据
3、保护数据是安全的核心(见下图)
