專注于數(shù)據安全并不容易。這種壓力或許并不來源于技術上的突破或者產品的更迭，而是來源于生存的壓力。相對于傳統(tǒng)網絡層防護產品，數(shù)據安全的市場并不是很大，而且加密就已經占據了很大一部分。不管怎么樣，頂?shù)米∩�存的壓力，忍得住�?shù)據安全的“寂寞”，這樣的公司就可以稱之為優(yōu)秀。隨著《網絡安全法》、《數(shù)據安全管理辦法征求意見稿》的相繼發(fā)布，在數(shù)據安全這條路上跋涉了十二年的華途，眼看著風口越來越近。

第二屆數(shù)據安全峰會上，尖銳軟件CEO李夢然提出了他眼中數(shù)據安全治理中的最關鍵的幾個環(huán)節(jié)，包括數(shù)據風險識別、數(shù)據資產發(fā)現(xiàn)、數(shù)據內容的機器學習與自動識別、敏感數(shù)據的訪問與權限控制、數(shù)據流轉的審計與分發(fā)管控以及行業(yè)的定制化開發(fā)這六點。

定制化開發(fā)比較容易理解，做企業(yè)級業(yè)務都會有這一步，談一談對其他五點的看法。

1

大數(shù)據時代數(shù)據本身發(fā)生了幾個非常明顯的變化：

第一，由小變大。大量的應用場景、大量的客戶以及合作伙伴都被連接起來，這個數(shù)據量的增長遠超人們的想象。甚至以前我們想都沒想到過的數(shù)據比如鼠標點擊頻率等，都可能成為輔助決策的關鍵。

第二，由靜變動。數(shù)據的計算、流轉、分發(fā)與交易是大數(shù)據時代最明顯的一個特征，有人說靜止的數(shù)據是負債，不僅不能產生價值還要耗費大量人力物力去保護它；流轉的數(shù)據才是資產，能給企業(yè)帶來源源不斷的收益。

第三，由簡單變復雜�；ヂ�(lián)網的發(fā)展尤其是電商網絡、社交網絡、IoT、工業(yè)互聯(lián)網的崛起，大量的音頻、圖像以及視頻等非結構化數(shù)據涌入到了企業(yè)的視野中來。

數(shù)據量的增大、場景的增多，使得數(shù)據的存儲方式、計算方式以及交易方式發(fā)生了巨大的變化。數(shù)據可能存儲在本地的服務器，可能存儲在不同的公有云，會涉及到各種各樣的社交、電商、物流應用以及各種數(shù)據庫，企業(yè)可能根本就不知道我有哪些數(shù)據、我的數(shù)據都在哪里。搞清楚有哪些數(shù)據以及數(shù)據在哪里，是做數(shù)據安全的前提。所以，李夢然把數(shù)據資產發(fā)現(xiàn)放在了一個很重要的位置上，我非常贊同。

更進一步，為了提升數(shù)據識別的自動化水平，李夢然也提出了利用機器學習技術做內容識別。信息化建設的觸及階段，企業(yè)的核心數(shù)據大部分都是各類文檔，但是現(xiàn)在大量的非結構化數(shù)據涌入進來，給數(shù)據的分級分類工作帶來了很大的挑戰(zhàn)。從國內市場上來看，基于機器學習，把內容安全技術應用于DLP中，是大家通常的做法，其目的就在于可以實現(xiàn)敏感數(shù)據的分級保護、權限控制、安全審計等等多項工作。

2

數(shù)據的變化帶動了數(shù)據安全風險的變化，這個風險可以來自企業(yè)外部也可以來自企業(yè)內部；可以是技術上的，也可以是管理上的。

在過去ICT基礎設施還比較落后的時候，數(shù)據的價值很難體現(xiàn)在企業(yè)的日常運營過程中。所以過去我們保護數(shù)據的方法就是利用加密機把重要文檔加密存放起來，或者利用DLP配置一些規(guī)則，來阻止重要文檔的泄露。那個時候，企業(yè)其實很少考慮到風險識別的問題。

但后來伴隨著軟硬件技術的發(fā)展，我們引入了IaaS、引入了各類云存儲、Hadoop或者Spark大數(shù)據集群、各類開源數(shù)據庫等等，就是希望能利用這些工具，充分挖掘數(shù)據的價值。如前文所說，大數(shù)據時代最重要的一個變化是數(shù)據的流動，數(shù)據不僅僅會從一個部門流動到另外一個部門，還會從一家企業(yè)流動到另外一家企業(yè)，甚至還會涉及到數(shù)據跨境。這其中的風險將會比過去多得多。并且，這些新技術的引入必然帶來新的漏洞和新的攻擊方法。所以，李夢然將風險識別放在了第一位，足以說明風險識別的重要程度。

舉幾個比較火的例子。

第一，勒索病毒。勒索病毒可以簡單理解成為一種可以快速自我復制的加密軟件，但它絕對可以算的上是加密的“克星”。因為企業(yè)一旦感染，加密是沒有用的，勒索軟件可以對文檔進行二次加密。企業(yè)如果沒有做好相應的異地容災，那基本上只能祈禱對方在收到贖金之后能信守承諾了。在永恒之藍事件中，開放445端口就是一種風險，沒及時安裝微軟推送的補丁，也是一種風險。

第二，APT攻擊。當黑客利用魚叉郵件或者其他社會工程學的方法，成功入侵到企業(yè)內網并且控制了大量的特權賬號，那基本意味著企業(yè)內部的數(shù)據全部暴露在了黑客的眼前。今年，特權賬號的管理也上了Gartner的十大安全項目。

第三，來自企業(yè)內部和供應鏈企業(yè)的風險。實際上這一點是最容易被忽視的。員工利用既定權限非法訪問數(shù)據所帶來的風險，絲毫不亞于黑客攻擊。企業(yè)必須要知道正在訪問敏感數(shù)據的人是誰，你對數(shù)據都做了什么。

前兩個例子是屬于外部的攻擊。當然不論是什么類型的攻擊，都要利用到技術本身的漏洞。嚴格而言，漏洞的治理和網絡層、應用層的攻防并不屬于數(shù)據安全的范疇，但它卻給數(shù)據安全帶來了嚴重的威脅。

第三個例子主要說的是企業(yè)的內部風險。風險有很多種，比如員工通常都是在企業(yè)內網訪問數(shù)據，突然他的IP出現(xiàn)在了一個未知區(qū)域，或者該員工希望將數(shù)據下載到本地。出現(xiàn)這種情況，就有可能是該員工的賬戶被黑客入侵，也有可能是外部人員收買了該員工。

應付這種情況通常的做法是引入動態(tài)的訪問控制來取代過去的靜態(tài)口令，用比較時髦的說法就是零信任身份安全。其原理是系統(tǒng)通過行為識別技術來監(jiān)測訪問行為，一旦監(jiān)測到異常訪問，即通過多因子認證等方式來驗證訪問者的身份，并且需要對該用戶的訪問行為進行審計。2017年RSAC創(chuàng)新沙盒冠軍得主UnifyID就是身份安全的典型代表企業(yè)。

當然，來自供應鏈的風險同樣難以防范。除了針對供應商的權限管理以及訪問控制外，還會涉及到數(shù)據流轉過程中的脫敏、審計以及分發(fā)管控等等。

所以謝永勝就強調了解決數(shù)據安全問題，應該是網絡安全和數(shù)據安全共同融合，底層要解決外部的攻擊風險，做好網絡層與應用層的檢測與相應，另一方面要通過準入、訪問權限控制以及數(shù)據庫加密、數(shù)據庫脫敏，包括向數(shù)據庫、防火墻、數(shù)據庫審計、流量管理和網絡傳輸?shù)陌踩�，解決數(shù)據本身的安全。

最終，謝永勝是希望能夠做到數(shù)據安全的態(tài)勢感知，實現(xiàn)數(shù)據資產發(fā)現(xiàn)、風險識別、威脅防護以及追蹤溯源的閉環(huán)。

4

最后說一句。數(shù)據治理不僅僅是技術層面和管理層面的事情，還需要政策和法規(guī)方面的支持。美國的的cloud法案給了美國人在數(shù)據方面的“長臂管轄權”，GDPR規(guī)定了所有在歐盟開展生意的企業(yè)都要遵守這個規(guī)定。

目前，中國還沒有類似的法案。如謝永勝所說，作為數(shù)據安全的服務者和從業(yè)者來講，我們希望國家要加快推動數(shù)據安全相關法律和標準的推出，讓企業(yè)有體系化的思路、思維解決數(shù)據安全問題。