在之前的文章我们提及过,按照DIKW模型,没有经过整理的数据只是一堆冰冷的数据,要想让他们燃烧成为知识,进而跃升到智慧,你需要一个给他装上一个世界观,这个时候数据本身就承载了更多的含义,其中就包含了各类主体在数字空间或者按照现在流行的术语叫做赛博空间的映射。
经典的DIKW模型
那么数据安全的本质是保护构建这个赛博空间的基础组成元素【数据】,从而实现对物理世界中各个主体在这个赛博空间映射体的保护,并确保其衍生的各类权益不会被侵害。于此对应的网络安全可以理解为与计算设备、网络等物理设施有关,是对构建这个赛博空间物理基础设备的保护。
如果说,网络安全问题是通过对设备运行系统本身的破坏达到某种目的,那么数据安全就是基于平台、数据、算法和算力、各类主体(个人、组织、国家)一种彼此交织、彼此关联、彼此依存的复杂性生态风险。针对网络安全,我们可以借助先进技术、物理性措施来阻断网络安全风险,这就是网络安全提及的各类边界,通过各类边界、各类纵深防御措施等防范安全风险。
但是,随着移动互联网已经渗透到我们生活的每一个毛细血管,我们已无法通过切断自身与互联网的连接规避或阻断数据安全风险,你可能没有办法生活在一个没有网络和数据的物理空间里,像陶渊明书中提及的桃花源在这个无人不连接的时代如梦幻泡影。
如此看来,数据安全问题已呈现出一种泛分布、且不断扩散、放大的风险特征。比如,你每个上传至微信朋友圈、微博等各类社交媒体的的上的个人信息、图片和视频均是个人的思想情绪表达,而当一种具有收集数据意图的机构利用了这些数据,有可能就会转化为数据安全问题。
在当今数字化时代,数据的流动已成为推动经济社会发展的重要动力,这个时候我们不能用静态的视角来看待泛化的数据安全,倒逼我们需要采用数据的流动来看数据安全,它包含了即数据与数据之间流动、数据与人之间流动,数据与设备之间流动。这些海量多源数据的汇聚、流动、处理和分析活动中所呈现出的安全风险,使得数据安全的涉及的主体更加多元,利益诉求更加多样,治理方式更加丰富,数据安全边界在不断扩展和延伸,我们不知道它的边界在哪里,更加不知如何围绕边界构建治理体系。
在安全行业,有一个不好的风气,就是轻易的否定的以前系统性的安全建设理念,各类安全厂商会提出各类抓眼球的理念,证明他提出理念的合理性。个人已经无数次在各类论坛看各种大V对传统的网络安全的边界防御理论嗤之以鼻。但是他们的实际行动又很诚实,在客户侧推荐实际落地建设时还是边界防御为主,这就是理念和现实的割裂感。既然边界防御防御被证明有效,那么前文提及的泛化数据安全,也需要寻找数据自己的边界来构建治理体系。
数据是为业务服务的,从本质上看数据安全也是围绕业务本身,那么数据安全的边界必然包含两个层级,第一个层级,就是传统安全的视角,如何通过各类技术手段构建数据安全的边界,第二个层级,就是业务视角的数据安全边界。国家既然要鼓励数据产生价值,让数据成为生成要素,此时不太适合用“安全领域”边界的思想来界定数据。
我们分别从两个层次来阐述这两类边界的内在需求。
01.传统安全视角的数据安全边界
围绕数据本身的边界有哪些?
从主体信任的视角来看,那么数据的边界就是对访问数据的主体身份的认可、对访问数据的行为、逻辑的认可,那么这个时候数据安全边界就是主体身份、主体行为,我们需要依据其构建治理体系。
从技术信任的视角来看,它的前提基本上可以理解为主体不信任,或者说主体信任关系存疑,那么只能通过技术信任的关系来实现数据的流动,那么这个时候数据安全的边界就是各类技术手段,如:A、数据存储态、传输态加密后,数据安全的边界就是密钥。B、差分隐私,那么数据安全边界就是偏移量、噪音。C、联邦学习,数据安全边界就是算法模型,等等。
02.业务视角的数据安全边界
本文作者 木言 合规社特邀嘉宾
数字安全业务规划专家 在金融、政府、医疗、等行业有丰富的行业实践经验,对数据安全体系有深入的理解,长期关注和从事零信任、CARTA、CSF等技术框架在数据安全领域的实践落地,擅长数据安全方向的技术体系建设与应用、数据安全体系的创新与实践等。
合规社特邀嘉宾
在金融、政府、医疗、等行业有丰富的行业实践经验,对数据安全体系有深入的理解,长期关注和从事零信任、CARTA、CSF等技术框架在数据安全领域的实践落地,擅长数据安全方向的技术体系建设与应用、数据安全体系的创新与实践等。
