如果加星标,可以及时收到推送
《安全晓说》第62篇,锐安全总第286篇原创
本文1735字,阅读时长约6分钟
从“数字安全”到“数据安全”,今天可以了解以下内容:
【1】安全的最大边界
【2】数字安全的三大切面
【3】数据安全并不存在
你是不是和我一样,最近觉得这个世界特别魔幻。
AI获得诺贝尔物理学奖和化学奖,特别魔幻;双11京东因为杨笠,即没讨好了女人、又得罪了男人,特别魔幻;某安全大厂近日鞭打猎头,试图撕裂高端人才服务行业的底裤,特别魔幻。
所以,当我说出“数据安全其实并不存在”的时候,你是不是也觉得特别魔幻?
而且你大概会有强烈的被冒犯感和反感:数据安全如火如荼,国家法律法规层出不穷,什么叫不存在?!怎么就不存在了?!
从本质上看,数据安全存在本身就是一个悖论:数据因为没有边界,所以没办法做数据安全;当数据有了边界,却又看不见数据安全。
想弄明白这一点,咱们得一起再捋捋。
当我们谈到“安全”这个概念的最大边界时,可以延用“国家安全观”里定义的:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等11种。
如果我们把这11种安全再做一下聚类,可以得出3个大的安全范畴:物理世界安全、人类世界安全和数字世界安全。
图:安全的最大认知边界
从上面的分类里可以看出,国家把“物理世界的安全”分成了2个切面:物质和生物。
把“人类世界的安全”分成了物质和意识2个层面等8个维度。
而“数字世界的安全”只有1个维度:信息。所以数字世界又叫信息世界,数字技术又叫信息技术。
在数字世界里,数字等同于信息,而信息本质上就是数据。所以整个“数字世界的安全”就是信息安全,就是数据安全。这里的数据安全,它是一个全集。
那可能你会说:“你要是这么说那就太矫情了,我说的‘数据安全’不是你这样的‘广义数据安全’,而是‘狭义的数据安全’”。
如果要这么说,那咱们就得把“数字安全”这个“瓜”切开看。
【2】
这时候你能看到数字安全的3大切面:威胁、网络和数据。
图:数字安全三大切面
“威胁”可以通过“网络”远程获取“数据”,也可以通过近源的方式直接获取“数据”。
总的来说,威胁是信息的破坏者;网络是信息的物理载体;这里的数据指的其实是有商业价值的信息,所以是信息的价值载体。
当我们谈“威胁防御”时,谈的其实就是杀毒、防黑、反勒索、高级威胁防御、反欺诈、内部威胁防御等。
当我们谈“网络安全”时,谈的其实就是今天看到的“安全赛道”的概念:终端安全、边界安全、云安全、物联网安全、应用安全、业务安全和身份安全。
当我们谈“数据安全”时,更多指的是国家标准《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》里提到的DSMM架构(Data security capability maturity model)。
图:DSMM架构
DSMM架构包括一个“数据生存周期安全”和“PA体系”(过程域,Process Area)。
“数据生存周期安全”包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等6个阶段。
PA体系包括“数据生存周期安全过程域”和“通用安全过程域”两大部分的30个PA域。
图:数据安全PA体系
在数据生存周期安全过程域中:
数据采集阶段的核心安全能力是:数据分类分级;
数据传输阶段的核心安全能力是:数据传输加密;
数据存储阶段的核心安全能力是:数据备份与恢复;
数据处理阶段的核心安全能力是:数据脱敏;
数据交换阶段的核心能力是:隐私计算、数据API安全;
数据销毁阶段的核心安全能力是:数据擦除。
在通用安全过程域中,有终端数据安全、监控与审计、数据资产管理、数据安全供应链等要素。
【3】
当看完数据安全DSMM架构后,你会发现,所谓数据安全,其实就是网络安全的每个环节多了数据安全的需求而已。
所以,虽然存在数据,但是不存在“数据安全”这样一个独立的赛道,也不存在“数据安全”这样一个独立的产品,数据安全就是网络安全的一个数据切面而已。
这就像外地朋友来北京旅游,远远望去,你能看到整个北京,但是到了北京才发现,没有一个具体的地方叫“北京”。
所以你看,数据虽然真实存在,但是当它没有边界时,它就像空气一样无处不在,所以你没有办法去做数据安全;而当它拥有边界时,它又成为了网络安全的一部分,所以你没有办法看见数据安全。
所以,数据安全,本质上就是用数据的视角重新再做一遍网络安全!
因此,不存在所谓的专业数据安全厂商,因为没有哪个厂商有能力用数据的视角重新做一遍网络安全。
说得再精准一点,事实上,世界上存在数据全生命周期的解决方案,但是不存在所谓的数据全生命周期的安全厂商!
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下次再见! |
如果对我描述的安全世界感兴趣,可以翻翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:
点击文末【阅读原文】,看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]风暴眼.“这个惩罚,我一个单亲妈妈承受不起”,猎头向上市公司董事长“求饶”!最新回应......,2024年10月25日.https://mp.weixin.qq.com/s/UOKdO45xAON6Pa98kzJ0Uw
[2]新华社.中央国家安全委员会第一次会议召开 习近平发表重要讲话,2014-04-15.https://www.gov.cn/xinwen/2014-04/15/content_2659641.htm
[3]国家标准委.GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型,2019-08-30.https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=3CFD5E5A14C24D303EA1E139E6EB75C8
题图:数字安全与数据安全
题图创作者:晓兵与AI小助手
算法提供:FLUX
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...