|
现在,数据时代来临了。大家聊得越来越多的一个话题,叫“数据资产”。 现在很多企业都在讨论数字化转型,说要建数据中台。业界对于数据的研究其实一直在进行,也搞出了很多概念,譬如说数据掘金、大数据等等。 但这一次不一样。数据资产是个很大的概念。以前我们讨论数据,实际讨论的是如何利用数据做好某某业务,优化某某产品,着重点放在后者。现在不同了,我们讨论数据,说的就是数据本身,数据就是业务,数据就是产品,能够直接变现。 数据资产概念的提出,意味着数据已经从其它业务的附属品,变成了一种独立的企业资源。有机会我们另写文章再聊。 数据资产的独立,也意味着数据安全不再仅仅只是依附于网络安全的一个子概念,而变成一种需要独立加以研究和管理的对象。这个话题很大,我们不妨从一个黑客术语来具体聊聊。 有一个黑客术语叫“拖库”,有人也称之为“脱库”或者“脱裤”,反正黑客不用期末考,没什么标准答案,总之意思都是同一个意思。拖库最早是一个DBA的词,数据库管理有时候需要对数据进行导出操作,譬如说做数据备份或者数据迁移。黑客盯上了这一点,想办法把数据库“备份”到了自己手上,这就是拖库。 数据库存储的内容很多,就拿论坛来说,数据库至少就包括用户列表、文章列表、关注列表、评论列表等等等等。黑客的存储空间也是有限的,就算找到办法拖库,只会挑有价值的拖,最开始的时候,只拖用户列表。 有什么用呢?破解账户对应的密码,然后“撞库”,简单来说就是知道了用户在A网站的用户名密码后,试试能不能在B网站登录,算是高端一点的“弱口令”,这也是为什么现在提倡尽量不要一个密码走天下,尤其是重要的网上应用,譬如网银,必须要用不同的密码,不然真的是一损俱损了。 不过,拖库的内容也在变化。一些黑客开始对密码之外的基本信息产生兴趣,譬如说联系电话、家庭住址等等。 账户密码的重要性大家比较好理解,可是对于电话和住址这类基本信息,很多人一开始并不理解有什么重要。我记得之前还有个朋友反驳我,说让黑客偷了电话和地址能有啥大问题,黑客会挑凌晨提供叫醒服务?还是循着地址寄刀片? 现在大家应该就好理解多了。有一次我接到电信诈骗电话,对方提供了我的巨细无比而且十分准确的个人信息,要不是在业内混久了多少带有点安全本能,加上对方出现了一个明显的失误,找来一位满嘴闽南口音的同伙扮演北方人,我可能就要做出一些对不起安全从业人员这块牌子的事情了。 现在大家对待“拖库”的态度也越来越严肃,尤其是大网站名企业,一旦被人“拖库”,我们就会用一个更为严肃的词来形容,叫“数据泄露”。 “泄露”是个很重的词,以前我们说“核泄漏”、“原油泄漏”,一次泄漏事件就是一次危机,相关的人员、企业乃至国家都很可能损失严重甚至遭到灭顶之灾。 但是,这个词又恰到好处,移动支付被称为新四大发明,我们不妨想象一下,一旦某家移动支付商出现数据泄露,哪怕只是无关痛痒的一小部分,对各方带来的震撼和信任危机一定一点也不亚于一次传统的泄露事件。 而更可怕的是,数据泄露远比传统的泄露事件要难发现得多,等到发现的时候,很可能已经造成了可怕的后果。 但是,我们统统一刀切,切断对数据的使用行不行得通呢? 办不到,不可能,小到个人来说,哪怕你一心宅在家里,只要点个外卖,手机号码和家庭住址就必须得给到别人手里。对于企业来说更是这样,既然是数据时代,哪怕真有办法把数据死死捏在手里,数据的价值也是没有办法体现出来的。 怎么办呢? 网上已经出现了对于刚刚出台的数安法的很多专业解读,有很多提法,譬如说补全了重要一环,提升了监管层面,我觉得都很有道理,而我感受最深的是立法者看问题的高度和深度。 以前很多人觉得,数据的问题就是技术的问题,因为有了黑客所以数据才会变得不安全,才会出现数据泄露,那么对策办法就是找技术部门上手段,我不是技术部门,数据安全与我无关。 我认为这个观点是不对的。错在哪里呢?没有正确理解“数据资产”这个概念,与数据时代已经格格不入了。我们说,安全是一门技术也是一门生意,是因为数据资产的价值越来越高了,黑客盗取数据资产所造成的损失才会越来越高,数据安全才越来越重要。 而且数据安全远远不只是简单的黑客攻防问题。新的数安法不仅仅是一部法律,也提供了一种全新的视角,告诉我们关注数据安全,不要再只是盯着防止数据泄露所带来的损害,还要看到数据资产所能产生的价值。在数据时代,如何让数据资产的价值最大化,同时损失最小化,才是数据安全最需要关注的问题。 这个问题,显然远不只是技术问题。 我看到一些解读,说数安法强调数据存储安全,这同样也是过去的一些惯性认识造成了局限。我从数安法中读到的是另一种信息: 数据安全不再只是数据如何处理的问题,而是数据如何管理的问题,彻底跳出了“数据问题就是技术问题”的桎梏,不但需要构建完善的管理框架,而且还必须厘清使用数据的各方的权力和义务,协调共同参与数据安全管理。 我想,随着数据时代的来临,数据资产越发的重要,我们对数据安全的认识和讨论也应该提升一个层面,成为整个企业,整个社会,乃至整个国家共同参与的话题。 ———————————————— 本文为CSDN博主「大数据v」的原创文章
| 
