關(guān)于數(shù)據(jù)安全合規(guī)性的作用分析和應(yīng)用

數(shù)據(jù)安全有多重要？想象一家智能物流公司，由于派單的數(shù)據(jù)庫(kù)或是機(jī)械手掃碼的數(shù)據(jù)被篡改，讓你期待已久的包裹被派送到了另一個(gè)地方去，你該多惱火？而實(shí)際中可能出問(wèn)題的數(shù)據(jù)不止這些，物流公司每天都要交互大量的數(shù)據(jù)，與買(mǎi)家和賣(mài)家、分銷商和中間物流、終端的應(yīng)用接口等，這其中很多信息是敏感的。比如你的地址和聯(lián)系方式，更大范圍來(lái)講，你的生活習(xí)慣、喜好、行為軌跡等個(gè)人畫(huà)像，也許這家公司的內(nèi)部人員查看下你的數(shù)據(jù)，就會(huì)變得比你多年的朋友還了解你。

層出不窮的電信詐騙、越來(lái)越聰明的黑產(chǎn)者，都讓人覺(jué)得信息時(shí)代毫無(wú)隱私可言，處處是陷阱；對(duì)于企業(yè)，自己的業(yè)務(wù)數(shù)據(jù)被偷走，損失自不用說(shuō)。5 月 25 日實(shí)施的《通用數(shù)據(jù)保護(hù)條例》（GDPR），用戶的數(shù)據(jù)丟失也將帶來(lái)嚴(yán)重的后果——2000 萬(wàn)歐元的罰款就算是巨頭也吃不消——騰訊已停止了QQ 在歐洲的服務(wù) ; 而在正式實(shí)施的第一天，F(xiàn)acebook 和谷歌便遭到了起訴。 數(shù)據(jù)是企業(yè)重要的資產(chǎn)，難免會(huì)引來(lái)覬覦，不只來(lái)自外部，內(nèi)部的漏洞甚至“內(nèi)鬼”也兼有之。而在數(shù)字化、互聯(lián)網(wǎng)的時(shí)代，萬(wàn)物互聯(lián)，內(nèi)外的界限也很模糊，如許多用于企業(yè)內(nèi)部的應(yīng)用，實(shí)際服務(wù)的終端卻是在外網(wǎng)上。

從管理開(kāi)始

作為一家成立了 22 年的公司，Commvault 已連續(xù)七年榮膺 Gartner “數(shù)據(jù)中心備份和恢復(fù) 解決方案”魔力象限領(lǐng)導(dǎo)者殊榮。Commvault 亞太區(qū)企業(yè)解決方案架構(gòu)師李可告訴《IT 經(jīng)理世界》，在一年多前，公司就在為 GDPR 做準(zhǔn)備。

“很多人以為只需要上一個(gè)軟件或者系統(tǒng)就可以萬(wàn)事大吉，但他們忽略了歐盟 GDPR 的重要要求，是每個(gè)企業(yè)必須要有一個(gè)管理框架。” 李可說(shuō)，購(gòu)買(mǎi)軟件并不能解決數(shù)據(jù)保護(hù)的問(wèn)題，企業(yè)要有數(shù)據(jù)安全觀，這需要有統(tǒng)一化的管理視角和平臺(tái)，以分析自己的數(shù)據(jù)類型、收集渠道、管理流程、中間環(huán)節(jié)、存儲(chǔ)、分級(jí)、使用和分享等。 “歐盟之所以給了一年的寬限期，就是希望企業(yè)用這段時(shí)間來(lái)建立制度，并用軟件和系統(tǒng)去告訴客戶自己是如何改變的?！?/p>

在企業(yè)數(shù)據(jù)安全的不同象限，Commvault更集中在偵測(cè)、使用訪問(wèn)、存儲(chǔ)和恢復(fù)上。李可介紹，比如針對(duì)勒索病毒的進(jìn)攻，除了常規(guī)的自動(dòng)檢測(cè)、設(shè)置蜜罐等，Commvault 會(huì)對(duì)數(shù)據(jù)進(jìn)行備份保護(hù)，確保備份數(shù)據(jù)的隔離和安全，在數(shù)據(jù)丟失時(shí)進(jìn)行恢復(fù)，并對(duì)數(shù)據(jù)自動(dòng)化脫敏?！拔覀兊牡拙€，是設(shè)想所有的防御都已經(jīng)被攻破的情況下，如何在被感染的環(huán)境下守住企業(yè)的數(shù)據(jù)?！?/p>

而要做到這一點(diǎn)，最重要的原則就是做到“多副本、完全隔離、副本間不存在自動(dòng)化的復(fù)制關(guān)系?！崩羁烧f(shuō)，企業(yè)要盡可能地切割數(shù)據(jù)和生產(chǎn)的關(guān)系，“以前的高可用、多副本，其實(shí)跟生產(chǎn)環(huán)境是在同一個(gè)地方，我們通過(guò)隔離切割和權(quán)限的轉(zhuǎn)變，形成類似于保險(xiǎn)庫(kù)的方式?！逼浯危菍?duì)物理和邏輯隔離權(quán)限的重新切分，讓數(shù)據(jù)不會(huì)因?yàn)閱蝹€(gè)網(wǎng)絡(luò)或應(yīng)用而被入侵者溯源找到。數(shù)據(jù)安全的新機(jī)會(huì)過(guò)去10年間未曾顯現(xiàn)的，與數(shù)據(jù)安全和保護(hù)相關(guān)的新需求，將帶動(dòng)市場(chǎng)的下一輪增長(zhǎng)?！氨热缬腥齻€(gè)備份，（入侵者）他沒(méi)辦法關(guān)聯(lián)，意味著不可能一下子破壞或獲取，使得我們有機(jī)會(huì)進(jìn)行恢復(fù)——類似于地下防空洞?！?/p>

李可曾經(jīng)收到過(guò)一封來(lái)自Commvault客戶之一的公安系統(tǒng)的感謝信，對(duì)方的關(guān)鍵數(shù)據(jù)由于物理性的丟失，只能通過(guò)備份從異地拷貝進(jìn)行恢復(fù)。這種方式雖然看起來(lái)“老舊”，但在攻擊突破安全系統(tǒng)的時(shí)候，可能就是企業(yè)數(shù)據(jù)的最后一道防線。

新的市場(chǎng)

《網(wǎng)絡(luò)安全法》實(shí)施已有一年，有關(guān)個(gè)人隱私數(shù)據(jù)保護(hù)的立法也正在進(jìn)行時(shí)，全球范圍內(nèi)，對(duì)企業(yè)數(shù)據(jù)安全（是的，即使個(gè)人隱私數(shù)據(jù)，終歸也會(huì)落腳在企業(yè)身上）的重視激勵(lì)了安全市場(chǎng)的增長(zhǎng)。

Commvault 大中華區(qū)總經(jīng)理王波曾參與國(guó)家級(jí)重大信息系統(tǒng)項(xiàng)目的規(guī)劃和編纂，他總結(jié) 了未來(lái)安全市場(chǎng)三個(gè)可能的重要增長(zhǎng)點(diǎn)。首先是來(lái)自合規(guī)性的管控，“我們看到不同的國(guó)家、區(qū)域，由政府驅(qū)動(dòng)的合規(guī)性要求越來(lái)越多，比如歐盟的 GDPR，這讓我們?cè)跀?shù)據(jù)保護(hù)的命題下，可以做的事情也越來(lái)越多?！彼瑯诱J(rèn)為，合規(guī)性要求實(shí)際并非技術(shù)層面的需求，而是管理層面的需求——但管理層面的需求最終要靠技術(shù)的方式來(lái)解決，并促進(jìn)市場(chǎng)增長(zhǎng)。

以往在缺少合規(guī)性要求的時(shí)候，許多企業(yè)會(huì)將數(shù)據(jù)安全問(wèn)題視為企業(yè)管理上的問(wèn)題而選擇規(guī)避，“現(xiàn)在很多組織已經(jīng)在設(shè)置新的崗位，叫DPO（Data Protection Officer）數(shù)據(jù)保護(hù)官，承擔(dān)數(shù)據(jù)保護(hù)合規(guī)的責(zé)任，這在以前是不需要的?！蓖醪ㄕf(shuō)。

比如Commvault就專門(mén)針對(duì)GDPR研發(fā)了解決方案，可以幫助企業(yè)發(fā)現(xiàn)和搜索相關(guān)的個(gè)人可識(shí)別信息（PII信息）的存放，提供統(tǒng)一視圖，以實(shí)現(xiàn)GDPR要求的環(huán)節(jié)：包括發(fā)現(xiàn)數(shù)據(jù)、識(shí)別數(shù)據(jù)和保證刪除等?！皩?duì)很多企業(yè)來(lái)講，他們認(rèn)為數(shù)據(jù)存放在數(shù)據(jù)庫(kù)或系統(tǒng)里面，就是那幾張表，保護(hù)數(shù)據(jù)就是保護(hù)好表，刪除數(shù)據(jù)就是去掉幾行，但實(shí)際上大量的隱私數(shù)據(jù)是存放在過(guò)程數(shù)據(jù)中，以文件或者郵件、甚至圖片的形式存在。在進(jìn)入系統(tǒng)用于分析后，比如在Hadoop平臺(tái)上，又會(huì)變成新的格式，企業(yè)實(shí)際是做不到對(duì)這些數(shù)據(jù)保證識(shí)別和刪除的?！崩羁膳e例某個(gè)全球的云服務(wù)商，當(dāng)長(zhǎng)時(shí)間在它的系統(tǒng)存放數(shù)據(jù)后，它甚至沒(méi)辦法對(duì)這些數(shù)據(jù)做到按需調(diào)取和刪除。

其次是互聯(lián)網(wǎng)的發(fā)展，王波將互聯(lián)網(wǎng)比喻成催化劑，把以往被認(rèn)為非顯性或不存在的需求，以爆發(fā)性的方式被激發(fā)了?！氨热?，以前除了攝影師，沒(méi)有人會(huì)整天隨手帶著相機(jī)拍照，但現(xiàn)在每個(gè)人都有智能手機(jī)，像素又很高，每個(gè)消費(fèi)者拍攝的大量的數(shù)碼照片最終可能會(huì)保存到本地存儲(chǔ)或云平臺(tái)?！鳖愃频谋换ヂ?lián)網(wǎng)激發(fā)的需求，比如網(wǎng)購(gòu)、打車、外賣(mài)等，最終都需要相應(yīng)的存儲(chǔ)平臺(tái)來(lái)對(duì)其進(jìn)行支撐，而云平臺(tái)也需要數(shù)據(jù)保護(hù)解決方案。由此就不難理解，為什么做互聯(lián)網(wǎng)的騰訊會(huì)有頂尖的七大安全實(shí)驗(yàn)室，而搜索出身的360，最終成了安全公司?？梢灶A(yù)見(jiàn)的是，在未來(lái)，互聯(lián)網(wǎng)激發(fā)的需求只會(huì)更多，而不會(huì)減少。

第三個(gè)領(lǐng)域是工業(yè)及制造業(yè)。工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0、智能制造等概念的提出，將促進(jìn)工業(yè)及制造業(yè)領(lǐng)域?qū)?shù)據(jù)管理產(chǎn)生新的需求。“在過(guò)去一兩年中，我們發(fā)現(xiàn)制造業(yè)領(lǐng)域的需求變得越來(lái)越旺盛?！蓖醪ㄕf(shuō)，之前來(lái)自制造業(yè)的數(shù)據(jù)保護(hù)需求被認(rèn)為只來(lái)自于最終的銷售、財(cái)務(wù)等系統(tǒng)，而在生產(chǎn)的過(guò)程中，很少會(huì)有企業(yè)考慮對(duì)過(guò)程數(shù)據(jù)進(jìn)行保護(hù)。隨著企業(yè)通過(guò)分析過(guò)程數(shù)據(jù)，看到數(shù)據(jù)在解決質(zhì)量缺陷、改進(jìn)工藝等方面應(yīng)用的價(jià)值，也逐漸產(chǎn)生了保護(hù)過(guò)程數(shù)據(jù)的強(qiáng)烈需求，這在以前是不存在的。

與之相對(duì)應(yīng)的是，工業(yè)企業(yè)在數(shù)據(jù)安全上的相對(duì)落后。有報(bào)道稱，對(duì)工業(yè)互聯(lián)網(wǎng)安全水平進(jìn)行評(píng)估，只有4%～5%的企業(yè)認(rèn)為處于領(lǐng)先水平，20%左右的企業(yè)表示已經(jīng)建立起比較標(biāo)準(zhǔn)的框架，而超過(guò)70%的企業(yè)，還處于初始階段甚至完全沒(méi)意識(shí)?！暗钊藫?dān)憂的是， 他們的業(yè)務(wù)量并不少?！?/p>