2017年1月12日下午���,由中國首席技術官聯(lián)盟、CCTV證券資訊頻道《創(chuàng)智》�����、國家科技部現(xiàn)代服務產(chǎn)業(yè)聯(lián)盟、中國移動互聯(lián)網(wǎng)投融資聯(lián)盟主辦�����,功虎社區(qū)�、菜根科技、網(wǎng)易浙江聯(lián)合主辦�����,亞洲傳媒集團共同執(zhí)行的“中國IT武林大會暨中國首席技術官2016年度人物頒獎盛典”在杭州未來科技城國際會議中心開幕�����。
曾擔任國家網(wǎng)絡信息安全技術研究所所長��、擁有十余年互聯(lián)網(wǎng)安全經(jīng)驗���、現(xiàn)任阿里巴巴技術副總裁的杜躍進博士在本次活動中做了精彩分享���,以下是演講的核心內(nèi)容:
1. 數(shù)據(jù)代表未來���,數(shù)據(jù)就是財富����;
2. 讓數(shù)據(jù)安全成為競爭力�����;
3. 以組織為單位看數(shù)據(jù)安全���;
4. 做數(shù)據(jù)安全要換一套思路��,不同于過去的系統(tǒng)安全�����,要變成以數(shù)據(jù)為中心的安全。
以下為杜躍進博士的演講內(nèi)容(經(jīng)億歐整理��,有刪減)
今天我主要講兩個方面:第一����,怎么理解數(shù)據(jù)安全;第二�,數(shù)據(jù)安全的方向性。
在一個企業(yè)內(nèi)部����,安全都是成本�,安全都是阻力����。但如果安全這件事情已經(jīng)成了一個全面的需求或者全面的壓力的情況下����,大家有可能把安全當成你的企業(yè)和別人競爭的優(yōu)勢����。
我們有這樣的例子��,比如說電梯��、汽車�����、飛機�����,安全是非常強的共性需求�����。當你賣產(chǎn)品的時候��,“安全”便是很好的賣點����。在未來��,因為一切東西都在線上����,一切東西都在智能,一切東西都在和所有的東西發(fā)生聯(lián)系����,安全會成為越來越強的需求�。我認為未來安全這方面如果做得好�����,會成為競爭力�����。
數(shù)據(jù)代表未來��,數(shù)據(jù)就是財富����。國外有一種說法是“數(shù)據(jù)就是新的黃金”����,IDC估計2019年的時候,數(shù)據(jù)產(chǎn)業(yè)就有1870億美元/年��。但是數(shù)據(jù)本身進來以后����,數(shù)據(jù)安全也會變成一個非常重要的問題,我們都在關注明年正式實施的《國家網(wǎng)絡安全法》��,同時還有我國馬上要公布出來的《個人信息保護規(guī)范》����。
關于數(shù)據(jù)安全的方向性:第一�,數(shù)據(jù)安全到底解決哪些問題��?很多人認為數(shù)據(jù)安全主要來源于外部���。實際上在今天�,絕大部分的數(shù)據(jù)都是內(nèi)部人偷走的����;第二�,關于對象,我們要保護的東西是什么��?個人信息保護都是屬于消費者數(shù)據(jù)����,還有公司的商業(yè)秘密和知識產(chǎn)權�。
“數(shù)據(jù)安全”這個概念,不同于普遍理解的IT安全�����,數(shù)據(jù)安全是以數(shù)據(jù)為中心的安全��,但是傳統(tǒng)是以一個一個IT系統(tǒng)為中心的安全��。這兩者有非常大的不同����。
另外�����,要以組織為單位看數(shù)據(jù)安全���。我們需要注意到當這個數(shù)據(jù)進入到這個組織中�,進入到這個部門以后��,它是有一整個的生命周期。如果是以數(shù)據(jù)為中心的安全的話�,需要從整個生命周期來保護它。好像在座的每一個人����,我想保護你的安全,是從你出生到長大全過程���。我要保護你的安全�����,你整個的生命周期在一個組織內(nèi)部大致上包括創(chuàng)建、存儲��、使用��、傳輸�、共享、銷毀���。
結合系統(tǒng)安全���,以系統(tǒng)為中心的安全���,假設一個系統(tǒng)本身只是負責數(shù)據(jù)傳輸?shù)脑挘踩鞘裁??只要做到通信過程中不被破密就可以了。
成熟度模型是一個可以借鑒的方法��,用成熟度的方式來衡量一個組織在某個方面發(fā)展到什么樣的水平���,從初始到可重復級��,到定義級�、到可持續(xù)級���,到管理級���。
安全從來不是靠簡單的產(chǎn)品來完成的,數(shù)據(jù)安全也是一樣�����。和數(shù)據(jù)安全相關的產(chǎn)品非常多��,大家容易聽到的是數(shù)據(jù)泄露防護��,會在你們終端上或者網(wǎng)絡中運行這樣的系統(tǒng)��。但是只靠這個是完全不夠的����。對于一個組織來說�,至少這四個角度都是非常重要的:一是組織架構;二是制度流程�����;三是技術手段�;四是人員能力�。以上幾個能力加在一起構成一個“數(shù)據(jù)安全能力成熟度模型”���。
我最后總結一下:第一���,大家要有對數(shù)據(jù)安全的強認知��、強需求���,如果在這個領域做好會成為未來的競爭力;第二���,做數(shù)據(jù)安全要換一套思路�,不同于過去的系統(tǒng)安全���,要變成以數(shù)據(jù)為中心的安全�?�?梢越梃b成熟度模型�,用數(shù)據(jù)整個生命周期,同時結合組織結構�����、制度流程�、技術手段、人員能力等等����,去打造數(shù)據(jù)安全的能力���。
