如何从网络安全走向数据安全

随着信息化的不断发展，外部横向合规要求，垂直行业要求，以及内部内生安全需要，由数据泄露带来的损害企业已越来越难承担，一旦发生数据泄露将会给企业带来经济、声誉、司法、人员变动等多方面影响，目前多数用户通过边界防护手段进行整体防御，但随着数据价值在运营过程中越来越重要，以网络为中心的安全防护短板越发明显，如何对数据进行整体安全防护，数据流动到哪，安全就辐射至哪的场景建设已迫在眉睫。

1.安全的发展

安全的发展主要经过三段即信息安全、网络安全、和数据安全。

安全发展轨迹

最早为信息安全，在信息化发展的初期，基础物理环境不复杂，上层业务系统建设也非常简单，整体信息处于白纸状态，所以安全范围非常大，从管理办法到防护技术都可以在该框架下填充。

随着企业自身业务不断发展，支撑业务的基础环境也越来越复杂（私有云的形成），基于自身网络边界防护需求日益突出，当时主要以防火墙、网闸、入侵检测、waf等防护为主要手段。随着公有云的与私有云的密切结合，混合云的形态已在企业中广泛使用，网络空间安全的需求也随之而来，以安全域划分，结合支持混合形式的边界防护组成的网络安全防护技术也日益兴起，该网络形态是现今大家所聊的网络安全，即网络安全第二种形态，网络空间安全。

安全服务与业务，数据驱动带来新的运营变化，是当前和后期的业务发展趋势，目前业务以数据为中心，而安全则以网络为中心（即处于第二安全发展第二阶段），两者目标不一致性带来的问题已日益严峻，所以以数据为中心的安全建设更接近安全目标（安全的目标是更好服务业务，与业务更加融合）。

2.现今手段对数据防护缺失

目前在以边界防护为主要手段下，如何保障数据的安全方面，存在多点缺失。

安全防护层面的缺失

1.与业务脱钩，安全与业务无法有效融合

业务依托于数据，让数据成为资产，产生价值已是各大企业正在做的事情，如近几年，提出数据治理的概念,数据治理以数据为中心，通过对数据的综合利用，提升企业数据价值收益。数据治理中对数据生命周期管理有相应的要求，而目前边界防护不能满足对数据、对数据的生命周期的管控。随着治理的延伸，现今的防护手段短板也会越发明显。

2.对数据层的安全监测与管控

数据泄露事件不断递增，其根本还是因为边界防护手段是以网络为中心的建设方式和理念，它不能为数据层面提供更多防护需要，如何让数据可视化？如何对数据进行管控？如何对数据进行监测？这是目前边界防护所无法涉及也无从涉及的。

3.数据安全应该如何建设

数据安全建设思想应为：融合业务、融合边界。

 

融合业务、融合边界

融合边界：数据安全并不能解决网络安全所有事情，它只能补齐网络安全对数据层面的缺失，所以数据安全必须要融合边界防护手段，与边界防护深度结合起到1+1>2的效果，如：现有企业部署soc平台，而该平台是以网络、主机层面为主，缺失数据层面。该soc平台可与数据层的感知平台有效结合，通过统一soc平台集中展示，实现企业整体的态势感知。

融合业务：与业务的融合是数据安全的真正价值所在，数据安全解决了业务与网络安全的目标不对等性，使其安全与业务目标一致，为两者融合提供了前提条件。数据安全必须以业务流向为基础，在此基础上对企业业务进行安全管控，使业务与安全两者融合。

建设步骤

数据安全的建设大体步骤可分为安全识别、数据梳理、数据安全建设三个步骤。

 

建设步骤

安全识别：对现有从管理、技术、数据三个层面进行整体摸查，了解目前现状、安全隐患，为后续的数据梳理打下坚实基础。让建设有依据。

数据梳理：对数据进行分类、敏感定级、数据使用中的角色及权限、数据使用场景等多个方面进行整体梳理，通过对数据梳理，可直观了解企业目前存在哪些问题、已有哪些防护手段、后期应从哪几个方向进行建设。让建设有方向。

体系建设：体系建设应从管理体系和技术体系及运维体系三个层面着手，使其可达到管理可落地，技术可支撑、运维可收敛的效果。让建设可落地。

让数据发挥价值的同时，如何保障数据的安全应是安全厂商不断思考的问题，数据即生命，早已不是天上云，保护企业的数据，等于保护企业生命，想必企业会比安全厂商更加有体会。以此，数据安全领域将会成为安全企业下一步的角斗场。