隨著《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》的正式發(fā)布，數(shù)據(jù)安全再次沖上了安全圈的熱搜榜，是不是意味著數(shù)據(jù)安全市場(chǎng)的蛋糕將會(huì)越來越大了，能否為低迷的網(wǎng)絡(luò)安全行業(yè)注入新的活力，催生出越來越多的技術(shù)創(chuàng)新，誕生出越來越多的專精特新企業(yè)了。在信息化社會(huì)，數(shù)據(jù)對(duì)國(guó)家、企業(yè)及個(gè)人來說，都是無形資產(chǎn)，有其獨(dú)特的價(jià)值所在，是催生數(shù)字經(jīng)濟(jì)的核心動(dòng)力。數(shù)據(jù)就是財(cái)產(chǎn)，數(shù)據(jù)就是生命力，其價(jià)值需要被放大，也需要被保護(hù)，數(shù)據(jù)安全的重要性不言而喻。如果不重視數(shù)據(jù)安全，就無法為數(shù)字經(jīng)濟(jì)保駕護(hù)航。

國(guó)家從2016年陸續(xù)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)保守國(guó)家秘密法》、《中華人民共和國(guó)密碼法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等，從立法到條例、規(guī)定、辦法、國(guó)標(biāo)、行標(biāo)等都明確了相關(guān)要求，做到有法可依，有據(jù)可查，真正遵循頂層設(shè)計(jì)。政府單位、企事業(yè)單位、個(gè)人都必須嚴(yán)格按照相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)做好合規(guī)，以合規(guī)方式驅(qū)動(dòng)數(shù)據(jù)安全建設(shè)，廠商也是“一窩蜂”的扎堆數(shù)據(jù)安全領(lǐng)域。

迄今為止，應(yīng)當(dāng)還沒有哪個(gè)公司能真正地做好數(shù)據(jù)安全產(chǎn)品。如果要做好數(shù)據(jù)安全，不應(yīng)當(dāng)依葫蘆畫瓢照搬以前的粗放式網(wǎng)絡(luò)安全建設(shè)，不以落地為目標(biāo)，而是安全廠商基于自己的安全理念去引導(dǎo)甲方建設(shè)，這種建設(shè)思路是錯(cuò)誤的，脫離了甲方的業(yè)務(wù)，不僅造成了資源浪費(fèi)，實(shí)際效果大打折扣，除了幾張光彩奪目的大屏，甚至數(shù)據(jù)都有可能是偽造的，實(shí)在是找不出有價(jià)值的功能和技術(shù)創(chuàng)新的點(diǎn)，網(wǎng)絡(luò)安全的概念年年出新，實(shí)際上底層的邏輯是沒有任何變化的?？磫栴}應(yīng)當(dāng)抓住事物本質(zhì)，從甲方業(yè)務(wù)實(shí)際出發(fā)，基于風(fēng)險(xiǎn)和威脅建模的思路，真正地找出安全問題，將安全問題進(jìn)行分類分級(jí)，陳述利害關(guān)系，再提供有針對(duì)性的解決方案。

如果數(shù)據(jù)安全建設(shè)還是以往的方式來進(jìn)行建設(shè)的話，網(wǎng)絡(luò)安全行業(yè)就不可能真正地回歸業(yè)務(wù)和技術(shù)驅(qū)動(dòng)的市場(chǎng)環(huán)境，也不可能真正迎來量變到質(zhì)變，甲方也只是在合規(guī)的驅(qū)使下背動(dòng)地做數(shù)據(jù)安全建設(shè)，內(nèi)心深處是不情愿的。組織和企業(yè)也有大、中、小之分，不希望于都重視數(shù)據(jù)安全，一方面是靠合規(guī)驅(qū)動(dòng)的，一方面是自身業(yè)務(wù)和數(shù)據(jù)安全深度綁定的。數(shù)據(jù)安全的市場(chǎng)也要進(jìn)行客戶細(xì)分，目標(biāo)客戶在哪里，目標(biāo)客戶的痛點(diǎn)有什么。數(shù)據(jù)安全其實(shí)是一個(gè)很大話題，涉及面是非常廣的，安全風(fēng)險(xiǎn)不僅來自于外部，更多地來自于內(nèi)部，堡壘最容易從內(nèi)部攻破。

最近大家一直提的數(shù)據(jù)安全管控平臺(tái)，其實(shí)站在我的角度，如果數(shù)據(jù)安全一開始從從管控的角度出發(fā)，又會(huì)重走老路，以幾張大屏草草收尾，最終沒有一點(diǎn)實(shí)際效果。行業(yè)、組織及企業(yè)的業(yè)務(wù)及數(shù)據(jù)各不相同，也不可能通過標(biāo)準(zhǔn)化的產(chǎn)品去做數(shù)據(jù)安全，通過提供咨詢、產(chǎn)品及服務(wù)的方式做數(shù)據(jù)安全才有出路，從客戶業(yè)務(wù)、數(shù)據(jù)價(jià)值、數(shù)據(jù)內(nèi)容等方面確定客戶的數(shù)據(jù)安全風(fēng)險(xiǎn)，再有針對(duì)性地提供適合客戶的數(shù)據(jù)安全解決方案。

如果要做好數(shù)據(jù)安全，我個(gè)人的觀點(diǎn)是要從業(yè)務(wù)系統(tǒng)本身出發(fā)，做好開發(fā)安全及軟硬件供應(yīng)鏈管理是基礎(chǔ)，如果忽略這點(diǎn)，再好的管控系統(tǒng)也做不好數(shù)據(jù)安全。在以往的工作中遇到有些企業(yè)員工通過API獲取公司敏感數(shù)據(jù)進(jìn)行牟利，這往往是一個(gè)容易忽略的點(diǎn)。很多情況下系統(tǒng)開發(fā)人員往往為了省事，也沒有相關(guān)的開發(fā)安全培訓(xùn)，API接口都沒有做安全驗(yàn)證，也沒有針對(duì) API調(diào)用做完整的日志詳情記錄，這些都成為了被利用的點(diǎn)。這種情況在很多安全公司也普遍存在這種類似情況，常說的安全公司不安全。

要實(shí)實(shí)在在的從業(yè)務(wù)本身出發(fā)去做好數(shù)據(jù)安全，不考慮業(yè)務(wù)本身的數(shù)據(jù)安全建設(shè)是沒有靈魂的，涉及到數(shù)據(jù)威脅建模、開發(fā)安全、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)權(quán)限管控、數(shù)據(jù)存儲(chǔ)/傳輸加密、數(shù)據(jù)脫敏、水印技術(shù)、安全辦公、數(shù)據(jù)庫安全、API安全、日志審計(jì)、數(shù)據(jù)庫審計(jì)、運(yùn)維審計(jì)、容災(zāi)備份、數(shù)據(jù)生命周期跟蹤管理等目前已有的技術(shù)和產(chǎn)品都是數(shù)據(jù)安全的范疇。如果做數(shù)據(jù)安全管控，數(shù)據(jù)的每個(gè)流動(dòng)環(huán)節(jié)，沒有詳細(xì)的日志記錄，是否能真正做好數(shù)據(jù)安全管控平臺(tái)，為什么不是首先對(duì)現(xiàn)有的系統(tǒng)和流程進(jìn)行改造了，難道是要通過該平臺(tái)去操控?cái)?shù)據(jù)。

總之，數(shù)據(jù)安全這個(gè)賽道，還是基于已經(jīng)有技術(shù)和產(chǎn)品，更多的考慮是基于業(yè)務(wù)和數(shù)據(jù)本身了解風(fēng)險(xiǎn)，有針對(duì)性解決數(shù)據(jù)安全問題，并不是賣幾個(gè)產(chǎn)品就能解決客戶數(shù)據(jù)安全問題，有的客戶上百個(gè)業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)和服務(wù)對(duì)象都不一致，廠商講PPT的人能短時(shí)間內(nèi)了解客戶痛點(diǎn)是不可能的，除了吹牛還是吹牛。數(shù)據(jù)安全很火，但是更需要?jiǎng)?wù)實(shí)，要做好數(shù)據(jù)安全咨詢和服務(wù)，當(dāng)賣產(chǎn)品的賣產(chǎn)品，當(dāng)定制開發(fā)的定制開發(fā)，當(dāng)要求客戶整改業(yè)務(wù)系統(tǒng)的整改業(yè)務(wù)系統(tǒng)。按照以往無效內(nèi)卷，只會(huì)讓數(shù)據(jù)安全市場(chǎng)越來越難做。