2017年1月12日下午,由中國(guó)首席技術(shù)官聯(lián)盟���、CCTV證券資訊頻道《創(chuàng)智》���、國(guó)家科技部現(xiàn)代服務(wù)產(chǎn)業(yè)聯(lián)盟、中國(guó)移動(dòng)互聯(lián)網(wǎng)投融資聯(lián)盟主辦�,功虎社區(qū)、菜根科技�、網(wǎng)易浙江聯(lián)合主辦,亞洲傳媒集團(tuán)共同執(zhí)行的“中國(guó)IT武林大會(huì)暨中國(guó)首席技術(shù)官2016年度人物頒獎(jiǎng)盛典”在杭州未來(lái)科技城國(guó)際會(huì)議中心開(kāi)幕�����。
曾擔(dān)任國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)���、擁有十余年互聯(lián)網(wǎng)安全經(jīng)驗(yàn)�����、現(xiàn)任阿里巴巴技術(shù)副總裁的杜躍進(jìn)博士在本次活動(dòng)中做了精彩分享��,以下是演講的核心內(nèi)容:
1. 數(shù)據(jù)代表未來(lái)�,數(shù)據(jù)就是財(cái)富;
2. 讓數(shù)據(jù)安全成為競(jìng)爭(zhēng)力�;
3. 以組織為單位看數(shù)據(jù)安全;
4. 做數(shù)據(jù)安全要換一套思路���,不同于過(guò)去的系統(tǒng)安全�,要變成以數(shù)據(jù)為中心的安全��。
以下為杜躍進(jìn)博士的演講內(nèi)容(經(jīng)億歐整理���,有刪減)
今天我主要講兩個(gè)方面:第一��,怎么理解數(shù)據(jù)安全�����;第二��,數(shù)據(jù)安全的方向性�����。
在一個(gè)企業(yè)內(nèi)部�����,安全都是成本,安全都是阻力��。但如果安全這件事情已經(jīng)成了一個(gè)全面的需求或者全面的壓力的情況下����,大家有可能把安全當(dāng)成你的企業(yè)和別人競(jìng)爭(zhēng)的優(yōu)勢(shì)。
我們有這樣的例子���,比如說(shuō)電梯����、汽車�����、飛機(jī)��,安全是非常強(qiáng)的共性需求。當(dāng)你賣產(chǎn)品的時(shí)候�,“安全”便是很好的賣點(diǎn)。在未來(lái)��,因?yàn)橐磺袞|西都在線上��,一切東西都在智能,一切東西都在和所有的東西發(fā)生聯(lián)系����,安全會(huì)成為越來(lái)越強(qiáng)的需求���。我認(rèn)為未來(lái)安全這方面如果做得好,會(huì)成為競(jìng)爭(zhēng)力��。
數(shù)據(jù)代表未來(lái)��,數(shù)據(jù)就是財(cái)富����。國(guó)外有一種說(shuō)法是“數(shù)據(jù)就是新的黃金”����,IDC估計(jì)2019年的時(shí)候,數(shù)據(jù)產(chǎn)業(yè)就有1870億美元/年�����。但是數(shù)據(jù)本身進(jìn)來(lái)以后�����,數(shù)據(jù)安全也會(huì)變成一個(gè)非常重要的問(wèn)題,我們都在關(guān)注明年正式實(shí)施的《國(guó)家網(wǎng)絡(luò)安全法》�,同時(shí)還有我國(guó)馬上要公布出來(lái)的《個(gè)人信息保護(hù)規(guī)范》����。
關(guān)于數(shù)據(jù)安全的方向性:第一,數(shù)據(jù)安全到底解決哪些問(wèn)題�����?很多人認(rèn)為數(shù)據(jù)安全主要來(lái)源于外部����。實(shí)際上在今天,絕大部分的數(shù)據(jù)都是內(nèi)部人偷走的�;第二,關(guān)于對(duì)象���,我們要保護(hù)的東西是什么���?個(gè)人信息保護(hù)都是屬于消費(fèi)者數(shù)據(jù)�,還有公司的商業(yè)秘密和知識(shí)產(chǎn)權(quán)�。
“數(shù)據(jù)安全”這個(gè)概念���,不同于普遍理解的IT安全��,數(shù)據(jù)安全是以數(shù)據(jù)為中心的安全��,但是傳統(tǒng)是以一個(gè)一個(gè)IT系統(tǒng)為中心的安全���。這兩者有非常大的不同。
另外�����,要以組織為單位看數(shù)據(jù)安全�。我們需要注意到當(dāng)這個(gè)數(shù)據(jù)進(jìn)入到這個(gè)組織中,進(jìn)入到這個(gè)部門以后�����,它是有一整個(gè)的生命周期�。如果是以數(shù)據(jù)為中心的安全的話�����,需要從整個(gè)生命周期來(lái)保護(hù)它。好像在座的每一個(gè)人�,我想保護(hù)你的安全,是從你出生到長(zhǎng)大全過(guò)程���。我要保護(hù)你的安全��,你整個(gè)的生命周期在一個(gè)組織內(nèi)部大致上包括創(chuàng)建、存儲(chǔ)�、使用���、傳輸����、共享����、銷毀�����。
結(jié)合系統(tǒng)安全,以系統(tǒng)為中心的安全�,假設(shè)一個(gè)系統(tǒng)本身只是負(fù)責(zé)數(shù)據(jù)傳輸?shù)脑?���,安全是什么�����?只要做到通信過(guò)程中不被破密就可以了�。
成熟度模型是一個(gè)可以借鑒的方法��,用成熟度的方式來(lái)衡量一個(gè)組織在某個(gè)方面發(fā)展到什么樣的水平��,從初始到可重復(fù)級(jí)�����,到定義級(jí)�、到可持續(xù)級(jí),到管理級(jí)�����。
安全從來(lái)不是靠簡(jiǎn)單的產(chǎn)品來(lái)完成的�,數(shù)據(jù)安全也是一樣。和數(shù)據(jù)安全相關(guān)的產(chǎn)品非常多���,大家容易聽(tīng)到的是數(shù)據(jù)泄露防護(hù)�����,會(huì)在你們終端上或者網(wǎng)絡(luò)中運(yùn)行這樣的系統(tǒng)�。但是只靠這個(gè)是完全不夠的��。對(duì)于一個(gè)組織來(lái)說(shuō)��,至少這四個(gè)角度都是非常重要的:一是組織架構(gòu)����;二是制度流程;三是技術(shù)手段�����;四是人員能力。以上幾個(gè)能力加在一起構(gòu)成一個(gè)“數(shù)據(jù)安全能力成熟度模型”��。
我最后總結(jié)一下:第一�,大家要有對(duì)數(shù)據(jù)安全的強(qiáng)認(rèn)知��、強(qiáng)需求���,如果在這個(gè)領(lǐng)域做好會(huì)成為未來(lái)的競(jìng)爭(zhēng)力�;第二�,做數(shù)據(jù)安全要換一套思路,不同于過(guò)去的系統(tǒng)安全��,要變成以數(shù)據(jù)為中心的安全?��?梢越梃b成熟度模型�����,用數(shù)據(jù)整個(gè)生命周期�,同時(shí)結(jié)合組織結(jié)構(gòu)���、制度流程�、技術(shù)手段���、人員能力等等�����,去打造數(shù)據(jù)安全的能力���。
