实现数据安全的最佳路径，到底是什么？

谈起数据安全，

T先生突然想起了之前的一页PPT。

那也是一个冬天，

只不过是8年前的一个冬天，

2016年11月16日，

T先生的第一次发布会，

T先生讲了如下的一张图：

8年前的那天，

T先生说安全将发生变化，

从产品形态、运营模式、防护模式三个方面，

进行了趋势的预测和研判。

8年后的今天，

再看这张图，有些已经是现实，有些还在路上。

在防护模式方面，

当时提到了防护的对象将从“网络或系统”转变为“信息或数据”；防护范式将从“防范”转变为“快速检测和应急响应”。

今天，

数据安全的重视，

终于让防护对象回到了“数据”上，

要保护的是数据，不再是网络或系统，

不是说网络和系统不重要，

而是防护网络和系统的方法保护不了数据。

那么，数据安全的最佳路径是什么呢？

从甲方的视角来看，安全工作的本质和底层逻辑，可以归结为“九要素”：

（1）安全工作的开展，三个工作要素是：专业人才、技术手段、管理手段；

（2）安全工作的对象是三个要素：资产、脆弱性、威胁；

（3）安全工作的目标是三个要素：可用性、机密性、完整性。

如下图所示：

甲方安全的一切工作，其实都是围绕上述的这9个要素展开，我称之为 “安全九要素”。这个九要素，是3*3的关系。

数据安全，也是如此，从本质和底层逻辑出发，依然是做好上述的九要素工作：

（1）保障数据的可用性、机密性、完整性；

（2）围绕数据的资产、威胁、脆弱性三个方面展开工作；

（3）数据安全的人才、技术手段、管理手段缺一可不。

• ‌可用性、机密性、完整性

• 资产、威胁、脆弱性

• 人才、技术、管理

数据安全，要想真正的做到安全，难度很大。

‌数据是要保护的资产，那么数据在哪里？服务器？云端？网络里？终端里？手机里？....

如何发现数据资产？本身就是一个难题。

‌知道了数据在哪里？那么哪些数据是要重点保护的？不同的数据的保护级别是不是不同？

于是，有了数据的分类分级。

确实，数据安全的第一步是分类分级。

先搞定哪些数据是要重点保护的，这点尤其重要。

‌一提到数据安全，必提全生命周期安全。

那么，数据和业务的关系？数据和业务系统的关系？

全生命周期，是从数据的视角，还是业务的视角？

数据安全网关，依然是传统的网络安全的思路。

有了所谓的数据安全网关，数据就安全了吗？

答案显而易见，是不能够的。

‌比如，如何判断一个数据操作行为是有害或者是攻击？在数据流转过程中，正常的业务操作和黑客的攻击难以区分，黑客可能通过模拟正常业务操作来盗取数据，甚至利用AI工具进行深度伪造。

再比如，如何判断内部员工的操作是正常的，还是违规的？

数据，或许已不再是原来的那个“数据”，详情如下图所示：

数据安全，需要重新思考一下。

数据安全，和网络安全相比，有三个主要的转变和特征：

（1）从“系统”视角到“业务”视角 ：数据安全需要转换一下视角，站在业务的视角上来看，从业务的视角来看数据的流动，来看数据的每一步静态的存在和动态的流动都需要哪些安全措施。真正的数据安全，业务系统一定是主角，且一定要进行安全适配改造或者适量的改造。

（2）从“on”到“in”  ：传统的网络安全是伴生关系，是on在之上的防护；而数据安全，得是“in”在之内。

（3）安全原生、AI驱动：数据安全，要从“伴生”到“内生”再到“原生”，业务原生安全，才可能解决数据的安全问题，且需要借助AI的力量，如分类分级、异常操作行为的判断等等。

因此，建立数据安全原子能力池，实现数据安全能力编排；将数据安全能力嵌入到业务数据全生命周期中，深度融入业务。

这才是实现数据安全的最佳路径，无他。

打造面向业务、协同联动的AI驱动的数据安全能力体系，就成了数据安全的核心；

业务从自身安全出发，调度原子能力，保障数据安全，就成了数据安全的关键。

‌从业务视角出发，从业务入手，调度数据安全的原子能力，来保障数据的静态和动态安全。

原子能力的粒度越细，越灵活，但难度也越大。

数据安全，是业务+安全的双向奔赴，唯有融合，方能解决数据安全问题。

on在之外的传统网络安全的范式，将失效。

重新思考，重新出发，拥抱数据安全。