关于网络安全和数据安全,我们常听到如下两种不同声音:
观点一:网络安全是数据安全的基础,把当年做网络安全的那一套用数据安全再做一遍。
观点二:数据安全如今普遍以为是网络安全的延伸,实际情况是忽略数据资产与业务之间的关系,没有厘清数据对象、数据实体和数据主体的关系,而一味的用等保思路满足合规。WRONG!只有懂得数据价值才知道数据安全。
这两种观点也都有较明显的代表人物,综合安全厂商既做网络安全,又做数据安全,可以将二者很好结合,提供综合安全解决方案;专门的数据安全厂商,将数据安全与网络安全解耦,强调业务场景。"网络安全"和"数据安全"这两到底啥关系,有啥异同?今天来捋一捋。
法规视角
广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护 。它包括系统连续、可靠、正常地运行,网络服务不中断 ,系统中的信息不 因偶然的或恶意的行为而遭到破坏、更改或泄露 。狭义的网络安全 ,侧重于网络传输的安全 。
《中华人民共和国数据安全法》,自2021年9月1日起施行。 根据《数据安全法》第三条的定义,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据安全要保证数据处理的全过程安全,包括数据的收集、存储、使用、加工、传输、提供、公开等。
《数据安全法》第二十七条要求,开展数据处理活动应对依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理的活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
综上,广义的网络安全包含数据安全 ;网络安全是数据安全的基础,需在等保基础上,实施数据安全保护。但数据安全的目的不只是安全与合规,最大价值还是在促进数据安全有序流通,充分发挥业务数据价值。
自2025年1月1日起,《网络数据安全管理条例》施行。
"以终为始"视角
以终为始的视角看安全防护,坏人有两类:黑客和内鬼。
对于黑客来说,攻击的目的有三种:
-
看你不爽,让你网络瘫痪,服务不可用;
-
窃取数据,暗网上卖点银子;
-
勒索,加密勒索,曝光勒索,获取利益。
对于内鬼来说,两个目的:
-
干得不爽,泄愤报复,埋个雷;
-
内部数据泄露,为情,为钱,为其他。
-
当下数据已经成为与土地、劳动力、资本、技术并重的第五大生产要素,数据是企业的核心资产。2024年,西部数据交易中心与华夏银行重庆分行携手合作,成功创设并发放全国首笔"数据资产挂钩抵押贷款",为重庆两江智慧城市投资发展有限公司提供130万元贷款。与以往的数据资产信贷业务有所不同,此次业务极具创新性地将贷款利率与企业数据资产价值紧密挂钩,当企业的数据资产价值不断提升时,贷款利率便会随之下降。
产品视角
2021年,美国总统拜登签署行政令要求政府各级部门落实零信任技术。美国国防部发布了他们的零信任参考架构,其中数据级的访问控制占了一大部分。SDP架构是零信任理念目前最好的技术实现方案,也是最好的访问控制安全架构。用零信任架构来落实数据的访问控制是一种非常可行的选择。零信任数据安全方案的主要特色在于数据的权限管控,可以基于身份和数据属性进行细粒度的授权。由此可知,可以通过身份安全、网络安全实现数据安全访问控制。
项目视角
过去做网络安全项目,梳理下客户的网络拓扑,就直接上设备了,不大关心客户业务场景,类似黑盒。
数据安全和客户业务强耦合,数据安全项目建设需要懂客户业务场景,摸盘客户数据资产,梳理数据流转链路,厘清数据对象、数据实体和数据主体的关系数据。数据安全项目实施,需要做大量的调研评估。同时,不能追求满分安全,也没有百分之百的安全,数据安全需要平衡安全和业务的关系。