2017年1月12日下午�����,由中國首席技術(shù)官聯(lián)盟�、CCTV證券資訊頻道《創(chuàng)智》、國家科技部現(xiàn)代服務(wù)產(chǎn)業(yè)聯(lián)盟�、中國移動互聯(lián)網(wǎng)投融資聯(lián)盟主辦,功虎社區(qū)���、菜根科技�����、網(wǎng)易浙江聯(lián)合主辦�,亞洲傳媒集團(tuán)共同執(zhí)行的“中國IT武林大會暨中國首席技術(shù)官2016年度人物頒獎盛典”在杭州未來科技城國際會議中心開幕�。
曾擔(dān)任國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、擁有十余年互聯(lián)網(wǎng)安全經(jīng)驗、現(xiàn)任阿里巴巴技術(shù)副總裁的杜躍進(jìn)博士在本次活動中做了精彩分享���,以下是演講的核心內(nèi)容:
1. 數(shù)據(jù)代表未來����,數(shù)據(jù)就是財富����;
2. 讓數(shù)據(jù)安全成為競爭力;
3. 以組織為單位看數(shù)據(jù)安全����;
4. 做數(shù)據(jù)安全要換一套思路�����,不同于過去的系統(tǒng)安全�����,要變成以數(shù)據(jù)為中心的安全����。
以下為杜躍進(jìn)博士的演講內(nèi)容(經(jīng)億歐整理,有刪減)
今天我主要講兩個方面:第一,怎么理解數(shù)據(jù)安全�;第二,數(shù)據(jù)安全的方向性���。
在一個企業(yè)內(nèi)部����,安全都是成本����,安全都是阻力。但如果安全這件事情已經(jīng)成了一個全面的需求或者全面的壓力的情況下�,大家有可能把安全當(dāng)成你的企業(yè)和別人競爭的優(yōu)勢。
我們有這樣的例子���,比如說電梯����、汽車����、飛機(jī),安全是非常強(qiáng)的共性需求�。當(dāng)你賣產(chǎn)品的時候����,“安全”便是很好的賣點�。在未來,因為一切東西都在線上�,一切東西都在智能,一切東西都在和所有的東西發(fā)生聯(lián)系�,安全會成為越來越強(qiáng)的需求。我認(rèn)為未來安全這方面如果做得好��,會成為競爭力��。
數(shù)據(jù)代表未來��,數(shù)據(jù)就是財富�����。國外有一種說法是“數(shù)據(jù)就是新的黃金”�,IDC估計2019年的時候��,數(shù)據(jù)產(chǎn)業(yè)就有1870億美元/年����。但是數(shù)據(jù)本身進(jìn)來以后���,數(shù)據(jù)安全也會變成一個非常重要的問題,我們都在關(guān)注明年正式實施的《國家網(wǎng)絡(luò)安全法》��,同時還有我國馬上要公布出來的《個人信息保護(hù)規(guī)范》���。
關(guān)于數(shù)據(jù)安全的方向性:第一��,數(shù)據(jù)安全到底解決哪些問題���?很多人認(rèn)為數(shù)據(jù)安全主要來源于外部。實際上在今天����,絕大部分的數(shù)據(jù)都是內(nèi)部人偷走的;第二��,關(guān)于對象�����,我們要保護(hù)的東西是什么�?個人信息保護(hù)都是屬于消費(fèi)者數(shù)據(jù),還有公司的商業(yè)秘密和知識產(chǎn)權(quán)��。
“數(shù)據(jù)安全”這個概念,不同于普遍理解的IT安全�,數(shù)據(jù)安全是以數(shù)據(jù)為中心的安全,但是傳統(tǒng)是以一個一個IT系統(tǒng)為中心的安全���。這兩者有非常大的不同��。
另外�,要以組織為單位看數(shù)據(jù)安全��。我們需要注意到當(dāng)這個數(shù)據(jù)進(jìn)入到這個組織中���,進(jìn)入到這個部門以后����,它是有一整個的生命周期��。如果是以數(shù)據(jù)為中心的安全的話����,需要從整個生命周期來保護(hù)它���。好像在座的每一個人�,我想保護(hù)你的安全,是從你出生到長大全過程�����。我要保護(hù)你的安全����,你整個的生命周期在一個組織內(nèi)部大致上包括創(chuàng)建、存儲�、使用、傳輸��、共享����、銷毀。
結(jié)合系統(tǒng)安全����,以系統(tǒng)為中心的安全,假設(shè)一個系統(tǒng)本身只是負(fù)責(zé)數(shù)據(jù)傳輸?shù)脑?,安全是什么?只要做到通信過程中不被破密就可以了�����。
成熟度模型是一個可以借鑒的方法,用成熟度的方式來衡量一個組織在某個方面發(fā)展到什么樣的水平����,從初始到可重復(fù)級,到定義級����、到可持續(xù)級,到管理級�����。
安全從來不是靠簡單的產(chǎn)品來完成的�,數(shù)據(jù)安全也是一樣。和數(shù)據(jù)安全相關(guān)的產(chǎn)品非常多�����,大家容易聽到的是數(shù)據(jù)泄露防護(hù)����,會在你們終端上或者網(wǎng)絡(luò)中運(yùn)行這樣的系統(tǒng)。但是只靠這個是完全不夠的�����。對于一個組織來說����,至少這四個角度都是非常重要的:一是組織架構(gòu);二是制度流程��;三是技術(shù)手段����;四是人員能力。以上幾個能力加在一起構(gòu)成一個“數(shù)據(jù)安全能力成熟度模型”��。
我最后總結(jié)一下:第一�����,大家要有對數(shù)據(jù)安全的強(qiáng)認(rèn)知�、強(qiáng)需求,如果在這個領(lǐng)域做好會成為未來的競爭力�;第二,做數(shù)據(jù)安全要換一套思路����,不同于過去的系統(tǒng)安全,要變成以數(shù)據(jù)為中心的安全??梢越梃b成熟度模型,用數(shù)據(jù)整個生命周期�,同時結(jié)合組織結(jié)構(gòu)、制度流程�����、技術(shù)手段����、人員能力等等,去打造數(shù)據(jù)安全的能力�。
