在之前的文章我们提及过,按照DIKW模型,没有经过整理的数据只是一堆冰冷的数据,要想让他们燃烧成为知识,进而跃升到智慧,你需要一个给他装上一个世界观,这个时候数据本身就承载了更多的含义,其中就包含了各类主体在数字空间或者按照现在流行的术语叫做赛博空间的映射。
那么数据安全的本质是保护构建这个赛博空间的基础组成元素【数据】,从而实现对物理世界中各个主体在这个赛博空间映射体的保护,并确保其衍生的各类权益不会被侵害。于此对应的网络安全可以理解为与计算设备、网络等物理设施有关,是对构建这个赛博空间物理基础设备的保护。
如果说,网络安全问题是通过对设备运行系统本身的破坏达到某种目的,那么数据安全就是基于平台、数据、算法和算力、各类主体(个人、组织、国家)一种彼此交织、彼此关联、彼此依存的复杂性生态风险。针对网络安全,我们可以借助先进技术、物理性措施来阻断网络安全风险,这就是网络安全提及的各类边界,通过各类边界、各类纵深防御措施等防范安全风险。
但是,随着移动互联网已经渗透到我们生活的每一个毛细血管,我们已无法通过切断自身与互联网的连接规避或阻断数据安全风险,你可能没有办法生活在一个没有网络和数据的物理空间里,像陶渊明书中提及的桃花源在这个无人不连接的时代如梦幻泡影。
如此看来,数据安全问题已呈现出一种泛分布、且不断扩散、放大的风险特征。比如,你每个上传至微信朋友圈、微博等各类社交媒体的的上的个人信息、图片和视频均是个人的思想情绪表达,而当一种具有收集数据意图的机构利用了这些数据,有可能就会转化为数据安全问题。
在当今数字化时代,数据的流动已成为推动经济社会发展的重要动力,这个时候我们不能用静态的视角来看待泛化的数据安全,倒逼我们需要采用数据的流动来看数据安全,它包含了即数据与数据之间流动、数据与人之间流动,数据与设备之间流动。这些海量多源数据的汇聚、流动、处理和分析活动中所呈现出的安全风险,使得数据安全的涉及的主体更加多元,利益诉求更加多样,治理方式更加丰富,数据安全边界在不断扩展和延伸,我们不知道它的边界在哪里,更加不知如何围绕边界构建治理体系。
在安全行业,有一个不好的风气,就是轻易的否定的以前系统性的安全建设理念,各类安全厂商会提出各类抓眼球的理念,证明他提出理念的合理性。个人已经无数次在各类论坛看各种大V对传统的网络安全的边界防御理论嗤之以鼻。但是他们的实际行动又很诚实,在客户侧推荐实际落地建设时还是边界防御为主,这就是理念和现实的割裂感。既然边界防御防御被证明有效,那么前文提及的泛化数据安全,也需要寻找数据自己的边界来构建治理体系。
数据是为业务服务的,从本质上看数据安全也是围绕业务本身,那么数据安全的边界必然包含两个层级,第一个层级,就是传统安全的视角,如何通过各类技术手段构建数据安全的边界,第二个层级,就是业务视角的数据安全边界。国家既然要鼓励数据产生价值,让数据成为生成要素,此时不太适合用“安全领域”边界的思想来界定数据。
我们分别从两个层次来阐述这两类边界的内在需求。
稻盛和夫在企业经营中提及:当你面对世界复杂,越是看似错综复杂的问题,越是要赶快回归原点,依据单纯的原理原则做出决断。万事万物都拥有共同性,面对复杂多变的数据流动场景,我们需要回到数据安全的起点,那就是数据的本身,围绕数据本身构建安全边界。从数据流动的视角来看主要是分两个方式,就是主体信任和技术信任,那么我们从两个方向来看边界在哪里?
从主体信任的视角来看,那么数据的边界就是对访问数据的主体身份的认可、对访问数据的行为、逻辑的认可,那么这个时候数据安全边界就是主体身份、主体行为,我们需要依据其构建治理体系。
从技术信任的视角来看,它的前提基本上可以理解为主体不信任,或者说主体信任关系存疑,那么只能通过技术信任的关系来实现数据的流动,那么这个时候数据安全的边界就是各类技术手段,如:A、数据存储态、传输态加密后,数据安全的边界就是密钥。B、差分隐私,那么数据安全边界就是偏移量、噪音。C、联邦学习,数据安全边界就是算法模型,等等。
在实际的工作中,我们一般不会孤立的通过单一的方式构建边界,往往会采用多种方式构筑多重边界的方式来保障数据流通时的安全需求。那么在安全的视角来看,数据安全的边界在哪里?他的边界是身份、是行为、是密钥、是算法等等,我们需要结合自身的现状,寻找适合自己的边界。从业务视角看,数据需要流动才有价值,我们需要鼓励数据自由流动,只不过需要“有序流动”,有序就是数据的边界之一,它是一个综合复杂性要求。比如数据要素顶层设计中最为关键的是“三权分置”原则,即资源持有权、加工使用权和产品经营权,这些原则明确了数据在不同环节中的权利归属,为数据流通提供了清晰的路径。各类行业数据标准规范、数据交易管理制度、国内各地纷纷成立数据交易机构、公共数据的授权运营等等,这些都已经远远超出安全领域的范畴,这也就是前文提及的数据安全目前处于的泛化、弥散化的不稳定状态。综上,我们再谈及数据安全时,我们需要围绕数据本身构建边界,也就是通过构建安全维度的边界来保证数据流动的可管、可控,但是回到业务层面,它包括数据有序流动过程中的“业务规则”“数据合规”,比如确保数据合规引入、合作方的管控、数据跨境等各类业务场景的安全边界,它是一个广泛复杂的综合体,也不可能找到一套标准模式来做好数据安全工作,数据安全只是其中很小一部分,需要融合业务、合规、安全、IT等多方面,协同综合保障。
浙公网安备 33010502006954号 
