正文

数据安全,为什么并不存在?

admin
admin V管理员 /0 评论 /32 阅读
1107
此篇文章发布距今已超过16天,您需要注意文章的内容或图片是否可用!

如果加星标,可以及时收到推送

《安全晓说》第62篇,锐安全总第286篇原创

本文1735字,阅读时长约6分钟

“数字安全到“数据安全”,今天可以了解以下内容:

【1】安全的最大边界

【2】数字安全的三大切面

【3】数据安全并不存在

你是不是和我一样,最近觉得这个世界特别魔幻。

AI获得诺贝尔物理学奖和化学奖,特别魔幻;双11京东因为杨笠,即没讨好了女人、又得罪了男人,特别魔幻;某安全大厂近日鞭打猎头,试图撕裂高端人才服务行业的底裤,特别魔幻。

所以,当我说出“数据安全其实并不存在”的时候,你是不是也觉得特别魔幻?

而且你大概会有强烈的被冒犯感和反感:数据安全如火如荼,国家法律法规层出不穷,什么叫不存在?!怎么就不存在了?!

从本质上看,数据安全存在本身就是一个悖论:数据因为没有边界,所以没办法做数据安全;当数据有了边界,却又看不见数据安全。

想弄明白这一点,咱们得一起再捋捋。

【1】
安全的最大边界

当我们谈到“安全”这个概念的最大边界时,可以延用“国家安全观”里定义的:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等11种。

如果我们把这11种安全再做一下聚类,可以得出3个大的安全范畴:物理世界安全、人类世界安全和数字世界安全。

图:安全的最大认知边界

从上面的分类里可以看出,国家把“物理世界的安全”分成了2个切面:物质和生物。

把“人类世界的安全”分成了物质和意识2个层面等8个维度。

而“数字世界的安全”只有1个维度:信息。所以数字世界又叫信息世界,数字技术又叫信息技术。

在数字世界里,数字等同于信息,而信息本质上就是数据。所以整个“数字世界的安全”就是信息安全,就是数据安全。这里的数据安全,它是一个全集。

那可能你会说:“你要是这么说那就太矫情了,我说的‘数据安全’不是你这样的‘广义数据安全’,而是‘狭义的数据安全’”。

如果要这么说,那咱们就得把“数字安全”这个“瓜”切开看。

【2】

数字安全的三大切面

这时候你能看到数字安全的3大切面:威胁、网络和数据。

图:数字安全三大切面

“威胁”可以通过“网络”远程获取“数据”,也可以通过近源的方式直接获取“数据”。

总的来说,威胁是信息的破坏者;网络是信息的物理载体;这里的数据指的其实是有商业价值的信息,所以是信息的价值载体。

当我们谈“威胁防御”时,谈的其实就是杀毒、防黑、反勒索、高级威胁防御、反欺诈、内部威胁防御等。

当我们谈“网络安全”时,谈的其实就是今天看到的“安全赛道”的概念:终端安全、边界安全、云安全、物联网安全、应用安全、业务安全和身份安全。

当我们谈“数据安全”时,更多指的是国家标准《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》里提到的DSMM架构(Data security capability maturity model)。

图:DSMM架构

DSMM架构包括一个“数据生存周期安全”和“PA体系”(过程域,Process Area)。

“数据生存周期安全”包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等6个阶段。

PA体系包括“数据生存周期安全过程域”和“通用安全过程域”两大部分的30个PA域。

图:数据安全PA体系

在数据生存周期安全过程域中:

  • 数据采集阶段的核心安全能力是:数据分类分级;

  • 数据传输阶段的核心安全能力是:数据传输加密;

  • 数据存储阶段的核心安全能力是:数据备份与恢复;

  • 数据处理阶段的核心安全能力是:数据脱敏;

  • 数据交换阶段的核心能力是:隐私计算、数据API安全;

  • 数据销毁阶段的核心安全能力是:数据擦除。

在通用安全过程域中,有终端数据安全、监控与审计、数据资产管理、数据安全供应链等要素。

【3】

数据安全并不存在

当看完数据安全DSMM架构后,你会发现,所谓数据安全,其实就是网络安全的每个环节多了数据安全的需求而已。

所以,虽然存在数据,但是不存在“数据安全”这样一个独立的赛道,也不存在“数据安全”这样一个独立的产品,数据安全就是网络安全的一个数据切面而已。

这就像外地朋友来北京旅游,远远望去,你能看到整个北京,但是到了北京才发现,没有一个具体的地方叫“北京”。

所以你看,数据虽然真实存在,但是当它没有边界时,它就像空气一样无处不在,所以你没有办法去做数据安全;而当它拥有边界时,它又成为了网络安全的一部分,所以你没有办法看见数据安全。

所以,数据安全,本质上就是用数据的视角重新再做一遍网络安全!

因此,不存在所谓的专业数据安全厂商,因为没有哪个厂商有能力用数据的视角重新做一遍网络安全。

说得再精准一点,事实上,世界上存在数据全生命周期的解决方案,但是不存在所谓的数据全生命周期的安全厂商!

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下次再见!

如果对我描述的安全世界感兴趣,可以翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:

点击文末【阅读原文】,看到一个完整的安全系统

end

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)

参考资料:

[1]风暴眼.“这个惩罚,我一个单亲妈妈承受不起”,猎头向上市公司董事长“求饶”!最新回应......,2024年10月25日.https://mp.weixin.qq.com/s/UOKdO45xAON6Pa98kzJ0Uw

[2]新华社.中央国家安全委员会第一次会议召开 习近平发表重要讲话,2014-04-15.https://www.gov.cn/xinwen/2014-04/15/content_2659641.htm

[3]国家标准委.GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型,2019-08-30.https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=3CFD5E5A14C24D303EA1E139E6EB75C8

题图:数字安全与数据安全

题图创作者:晓兵与AI小助手

算法提供:FLUX


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com