王志海:数据管理需求取决于流动程度而不是机密程度
在大数据行业,数据安全一直处于一种很尴尬的局面中。一方面人们明显知道数据安全的重要性,但另一方面,强调数据安全就跟强调要强身健体一样,往往不到生病住院,就不会真的行动起来去做些什么。面对这种局面,做数据安全的企业只能耐心等待一个成熟的时机,如今,新基建的提出或许预示着这个时机就要出现了。
围绕“新基建为数据安全带来哪些新机遇”这个话题,《数据》杂志对在数据安全领域深耕15年的明朝万达公司董事长王志海进行了一次专访。专访了在数据安全领域坚持了15年之久的明朝万达公司董事长王志海,在他看来,新基建主要聚焦新一代信息化的基础设施,数据融合共享是新一代信息化的主要目标,这对数据安全必然带来巨大的挑战,这也决定了数据安全是新基建中的基础建设要素之一。
“数据安全的机会来了”
当新基建概念出来之后,王志海的认为是数据安全行业发展的一个新动力机会,第一反应是“机会来了”。尤其是其中包括大数据中心、AI、工业互联网以及5G会起到明显的推动作用。,王志海表示,“如果这基础建设上来之后,会大量产生数据,而围绕数据的共享和互联互通就会越来越多,应用也会越来越复杂。,基于此,政府或者企业对数据安全,包括对整个数据全生命周期管理的需求肯定是越来越旺盛”。
随着新基建从概念提出到陆续有项目落地,王志海仿佛已经看到了未来数据应用层爆发的场景,这个时候届时,对数据安全的需求也会越来越强烈。
当然,有机会就会有挑战。,而新基建对数据安全的挑战,在王志海看来,就是随着数据应用场景层爆发而来的。“数据应用场景层的爆发会造成IT网络异构的情况会越来越多、越来越复杂,这就意味着我们要面对各种一堆不同的系统、终端设备及、各种异构网络”。
据悉,现阶段网络安全研究主要聚焦于主流微软、Windows与linux等操作这样的系统,当新基建出现之后,会陆续出现新的国产操作系统及各种专用操作系统。,王志海表示,“短期内这种基于新国产操作系统的安全需求增加,对安全企业来说,就需要更多跟多研发技术上的投入,需要研究很多不同的平台”。
新基建将改变数据交换场景
新基建概念出来之后,几乎每一家大数据相关的企业都在思索如何能从中获取更大的机遇。为此,王志海表示,明朝万达也在思考改变公司在数据安全上新的的发力点。
新调整都与新基建有直接关系。,首先是服务对象模式的变化,“新基建主要的推动单位肯定是各地政府科技信息化、各个主管部门,所以未来明朝万达将更加重视面向省市级政府信息化部门类的服务客户他们将会是明朝万达未来的,将之他们作为公司未来发展的一个重点服务对象。”王志海提到,面向省市级政府信息化部门的数据安全服务话,就要做相应的调整,去需要做一些更具普适性及、更基础性的方案东西。
进一步来说,这样的调整还是因为新基建之后数据交换和流动将会发生较大改变。据王志海介绍,此前明朝万达的重点客户已覆盖金融银行、公安、政府主要是银行、电信运营商等多个行业领域,从聚焦不同的行业需求,到省市级政府共性基础数据管理需求层面,乃至更基础层面上的数据管理,,“数据管 理模式和我们原来做的肯定有区别出入”。
王志海解释称,面对一个行业,只需要考虑行业内部的数据交换问题,而且一个行业内之间的用户信任关系会更强一些,也就是数据流通的阻力会小一些点。“但如果现在作为一个基础设施,面对的是多个全行业及部门之间的数据存储与、交换,就需要考虑怎样建立不同行业之间的信任关系问题,需要、怎么保证跨行业间的数据安全交换问题”。
更具体的来说,王志海认为与原来有出入的地方具体的区别主要有两点。,首先是面向对象不一样,“原来我们做行业的整体解决方案是直接面向最终用户,例如银行就是我们的直接用户。,而但新基建的这些解决方案可能面向的是新型基础设施运维人员,但这个运维人员不是最终用户,最终用户涉及遍及各行各业”。
另一方面是技术上的力度管理的粒度不一样,政府做新型基础设施新基建的数据安全,可能重点要只需要做好不同用户行业用户单位之间的数据安全管理,“数据颗粒相对会比较粗一些,对于到用户单位内部的数据交换和使用安全这个延伸层面,政府端基础设施运维单位可能就不需要参与管理管了”。
据悉,明朝万达此前做数据安全管理,会结合用户的业务,梳理IT架构,甚至需要了解日常应用场景,进而发现具体的隐患点,在这个基础上设计用户的做数据安全架构,保障数据流通的同时保护数据安全。
数据安全重点是过程安全
王志海认为,数据安全与数据价值相辅相成,他有一句座右铭,“安全铸就数据价值”。具体解释是,做好管好数据安全是为了让数据活起来、用起来,从而实现数据的价值的最大化。
数据作为生产要素的概念已经从国家层面被明确,但生产要素想要真正影响经济效益,就需要很多细节管理,这个时候数据安全的重要性就开始体现出来发挥了,“数据管理不是一刀切式的什么数据都不能用,而是结合具体业务,保证数据流通及使用过程中的安全”王志海说道。
王志海始终强调,数据安全管理重点是过程安全,是要做全生命周期的数据安全管理,而不是只解决其中一个环节、一个问题,“我们做数据安全非常强调数据安全的动态管理和全流程管理”。
“管理数据安全就跟对疫情期间的流动人口管理是一样的道理”,王志海形容,数据安全防护就像病毒防护,现在政府的重点是既要关注病毒防护,又不能让经济运行瘫痪。“如果一味强调绝对安全,让所有人不出门,势必会影响经济”,从这个角度来说,王志海再次提出“动态管理”一词,“更好的办法肯定是动态管理,考虑的是如何让人进行安全可控的流动,在确保基本安全的前提下最大程度的进行复产复工”。
数据安全不是把数据藏好了就安全,王志海认为,数据安全要与数据流动形成一种平衡,“尽量在风险可控的范围内保证数据的正常流动,不能追求绝对的安全,因为没有绝对安全”。
在这样的认知下,王志海又提出一个观点,数据管理的难度不是取决于它的机密程度,而是它的流动程度。在他看来,数据管理最大的挑战恰恰在需要数据共享、交换和使用的场景中。
“比如在银行这种直接跟消费者对接的结构中,数据就必须要保证充分流动,这种场景下数据安全才会显得更加重要”,王志海表示,而传统意义上高级别涉密机构的数据安全,对数据安全技术本身要求并不大,通常只要做好物理隔离手段就可以保护好数据。
数据安全还需从基础标准层规范
数据安全的整体管理不是一件容易事,王志海表示,它需要的技术涉及各种终端系统、各种应用的,特别是基础的应用协议,各种操作系统,还有各种平台。当然,王志海也表示,对于一个单位来说,构建做这样一个完整的数据安全管理体系服务器没有几年时间是很难的,但“我觉得这关系都不大,最主要的是先要定义出完整的数据安全是什么概念 ”。
王志海认为,现阶段,数据安全市场之所以比较混乱,核心原因就是数据安全这个概念非常混乱。“现在数据安全的概念非常大,我们能看到各种做数据安全的,比如说做数据备份的,防止数据丢失,又比如做防服务器漏洞加固的,各种各样的”,缺乏一个权威意义上的标准规范。
概念混乱还导致了数据安全业务的割裂,“我们看到数据安全相关的防护业务,基本都被拆分成了各个小块飘散在市场上,那对用户来说,只做一小部分其实是没有意义的”。王志海认为,这再一次背离了他理解的数据安全,“数据安全管理是一整个闭环,就像疫情防控,不是只管理好车站,其他地方就可以不管了,整体管理才会显现出效果来”。
在王志海看来,行业中一次又一次出现员工恶意泄露数据事件,最好的解决办法也是树立数据全流程管监控的意识。“我们不会孤立的去判断风险点,防止员工泄露,而是从数据本身角度出发,假设每个使用数据的对象都可能会出现问题,那么我们就必须要做数据流动过程中全流程的监测防控”。
用王志海的话说,就对一个技术上人员而言,“一个外部人员进入到一台计算机设备和服务器,跟一个内部员工在本地操作计算机,本质上是没有太大区别的”。
数据是在整个体系中不断流动的,这是做数据安全最大的技术挑战之一,不过,王志海还提到,客户的信息化水平低也会制约数据安全管理系统搭建。尤其是目前数据安全依然缺乏法律层面的支持。
“虽然最近两年出了很多像《网络安全法》、《个人隐私保护条例》,但缺乏进一步的细化,在落地执行上现在还是非常弱的”,王志海表示,这几年很多公司因踩到灰色地带被惩罚,“这不仅仅是企业自身的问题,还有部分原因就是因为相关法律规则不明确所导致”。