3、数据安全的3．0时代

3．0时代进入到了系统化的数据安全治理的时代，数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段，不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候，我们会建立组织、公检法体系，建立军队；会出台政策规范、刑法、交通法等等来予以保证；同时会建立公共设施安全，比如机场安检，建立登机制度等。

3．0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全，实际上是组织规范＋技术的完美整合，以呈现整体的安全。2．0步入到3．0时代的驱动源头有几点总结如下：

1． 数据成为国家战略性资源，通过数据可以构造出新的生产力，在这种情况下，国家会实行严格保护。无论从我们国家开始频繁出台相关管理办法看，还是放眼全球，欧盟与美国都在制定数据所在地的使用原则，都表明了各个国家已经开始把数据当做战略资源。

2． 数据成为企业核心资产。创新型企业如滴滴、京东、淘宝，以及银行金融科技，大多数企业积累的数据往往会变成企业最重要的资产，不再是一个符号。

3． 数据泄露已经形成重大威胁。如今大家都是透明人，从国家的监管层面看，实际上关系我们任何一个人，都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网，整个行为都在网络上留下痕迹。通过这些行为的记录，很快就会建成一个没有任何隐私可言，甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题，已经成为国家性，社会性问题，并上升到一个体系化的层面。

在这个数据安全已经上升到体系化层面的大环境下，针对数据保护工作开展了一系列措施：

国家已经开始有动作，相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全保护条例等，同时预计在2019年上半年出台个人数据保护法。而2017年11月完成的刑法修订案，其严苛程度也相当惊人，最低50条数据的非法泄露，即可入刑。简单举个实例，2018年11月2日，某猎头公司因在QQ群发布招聘信息，已被刑事诉讼。

除了国家法律，各个行业也都在行动，《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息保护规定》、《政府数据分级分类指南》、《央企商业秘密安全保护技术指引》，以及教育、税务、地方上的法规，陆续出台。整件事情不再是技术性的行为，而会逐渐演变成一个社会性、规范性的行为。

此外，还会看到越来越多的企业侧的行为。

Gartner在2016年提到一个理念——数据安全治理（简称DSG）。这个理念包含如下内容：

首先是数据分级分类，可以看到数据到底包含了什么；

其次，在这样一个基础的情况下，基于各种数据分类，完成处理和控制策略，要梳理出哪些人能够接触这样的数据；这些数据接触的权限、行为范畴；超出范畴应该采用什么样的方法进行审批。

第三，这样的策略之后，要在执行环节有相关的控制措施、监控手段。比如，互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。

第四个阶段是稽核。对于数据过程要进行审计、报告，改善措施，并重新构建。

在数据安全治理时代，新的核心技术要求，比如说数据梳理，就是搞清楚数据资产到底有多少，敏感数据如何分布，以及数据是如何被使用的。要利用数据的特征发现记录，数据主机扫描技术，网络分析技术，以及大数据的处理整合技术，才能完成数据梳理。

在未来，基于AI深度日志分析来实现数据监管，信息审计，潜在风险发现，而不是策略制定。潜在风险可能是类似APP，需要通过建模的方式完成这样的学习分析。在国外，甚至仅需一到两天之内就可完成自动化的设定，经过一天左右的时间，就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志的积累，可以驱动未来安全的进一步发展。

网络安全时代态势感知的概念叫的响亮，却没出现几个多么好的落地产品。但如果把数据安全时代态势感知做出来的话，一定非常具有价值。因为各种数据的行为实现了可视化，即在大型数据中心层面通过大屏技术，呈现出数据分布和数据使用分布，以及数据在库之间流动，业务系统流动，人之间的流动，以及发生的异常，在一种可视化的方式下，能够快速感觉到。

三、小结

DBMS1．0时代的核心的理念是系统安全，市场启蒙早期是在2010年左右，也是安华金和公司刚成立的时候，安华金和踏上数据库安全的开拓之路。这个市场高速发展大规模企业进入，是在2017年。市场爆发恰恰是这个时期。预计到2020年左右，市场将达到一个成熟期，并慢慢演进。

第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线，预计规模能够达到百亿级。2015年左右应该可以算得上是2．0时代的一个启蒙期，到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全，将会成为业界的共识。预计到2023年，2．0时代会达到高速的平衡期。3．0时代的核心是体系化安全，预计会出现在2025年左右，随着安全的市场在快速的放量，市场将会抵达千亿级规模。

数据安全治理是安华金和在2016年在国内率先提出来的，第一届数据安全治理高峰论坛也由此发起，客户逐渐开始认可这个理念。并且我们也看到像阿里这样的企业，也开始谈数据安全治理。同时，国网网安处专门成立了数据安全治理的工作组，在税务侧也有专门的组织，这些都说明这个理念既是被数据安全生态所认可的，也是符合客户认知的。我们期待，该理念可以从启蒙到逐渐被社会广泛认可，到2021年实现在全国大型企业中数据安全治理体系的构造。同时，我们也乐观期待，到2025年数据安全可以进入成熟期，达到千亿级的市场。

最后，在整个社会经济大环境悲观的论调下，请允许我们能够乐观看待整个网络安全行业的发展，从毛竹这种植物里找到一些激励。毛竹生命的前几年，它把所有的努力用在了地下、用在了伸展根系上。这些年中，它的根居然可以扎到几英里远。过了这几年的默默储备期，它就会像被施了魔法，半年时间里就能蹿到30多米。长得快的时候，一天可以长半米多。想象一下，春天还是一棵齐腰高的小苗苗，到了秋天就变得高大挺拔、直插云天。这么奇妙的成长，全然是因着最初几年充分的准备、这么强大的根系，才造就了这么令人惊叹的奇迹啊。期待安全行业也能在未来迎来直插云天的蓬勃前景。