做数据安全有段时间,恰听很多专家从不同视角来看数据安全,自己也有些见解,今天来看看数据安全的进化论,也就是关于数据安全从1.0到2.0再到3.0的思考。 通过整个数据安全的框架可以得出第一种划分:数据安全 1.0 我们可以称为对象安全,数据安全2.0称为汇聚安全,数据安全3.0 称为流通安全,当然我们也可以从它的结构性看待数据框架,也是今天特意要提的一点,我把数据和水这种元素进行结合,有了这样的结构就有了数据安全进一步的思考。 除了数据安全和网络安全(算力安全)这两个方向之外,我觉得现阶段还是值得把业务安全单独作为一方面来去做,这样的话,算力安全、业务安全和数据安全三者就能形成一个立方的关系。但是在这里边,业务安全其实它是有三个层次,一个是在技术层次的,所谓应用安全,我们通常所说的API 安全,就会在这一个领域里面,但是再往上一层叫做业务安全,那这时候从企业的业务价值去考虑,这实际上是一个价值层次,但是再往上更宏观一点的层次,就到了一个经济安全,那这时候谈的是经济属性和社会属性,这里面实际上是一个要素化的层次。数据安全就是在这样的一个交织的关系中的位置,数字化的这种三元认知其实就是技术层次、业务层次和要素层次,其实一方面是业务问题和经济问题,那这时候就是谈数据要素,当我们谈网络安全的时候,谈的是算力,但现在从原来谈网络谈计算变成了谈算力,就像我们从谈整个电的技术,转换成电力基础设施的这样的一个思路,是一种算力资源化,整个计算能力、存储能力、网络能力的相应资源化。 对于数据本质的一些探索,其实关于数据水性的推演也是这样形成的。那从数据的本质来说,我们经常关心的是数据本身,比如说个人信息保护,是希望去管控这个隐私泄露,其实这时候我们脑子里边想的是对于数据本身,以及数据内容泄露了之后带来的危害,所以我们这里面关注的是数据内容和数据所承载的这个语义和它背后所担负的这样一个价值属性,包括我们经常会谈到所谓的数据的权属等等,这些事情其实都是对于数据本身的这样一个看法,如果从技术上讲,我们关心的更是这种具体数据,那我觉得从数据的本质来说,数据它区别于系统,区别于网络这种的实体,那数据它具有一个更特殊的本质性的表现,体现在数据它天然的结构性和天然的可操作性,这是一个非常重要的技术认识,甚至于可以说是一种哲学的认识,数据都是有结构的。以前我们在说大数据的时候会说非结构化数据,其实这个话说的不严谨,并不意味着所谓流媒体就一定是非结构化数据,因为流媒体它也是一种很适合于顺序播放的这么一种结构,所以它也是有结构的,并不是说只有表结构才算作结构,如果用这种结构化,刚才已经谈到了操作和结构,操作和数据结构之间是有相匹配的关系的,就像流媒体,它是一个非常漂亮的具有所谓的时间顺序和时序关系的这样的一种结构,所以它非常适合于做播放性操作,但是它就不太适合于做检索性操作,例如在一个流媒体里面去检索图片,那这肯定是一件挺复杂的计算,但是如果是表结构的话,就非常适合于做检索排序这样的一些操作,就是说不同的结构跟不同的操作之间,它会有一个正好的对应的关系,当然从它根本的这个本质来说也会发现操作,因为它具有一种动作属性,所以它一定是带有时间属性的,谈到这,就更有必要谈数据的全生命周期了,在数据生命周期里边的各个环节,不管是线性的还是有循环的,生命周期里边的各个环节,它都是有时间的动作和操作,所以说操作其实组成了所谓的数据生命周期,我们经常说数据的生命周期,其实就是生命周期的各个环节都是对数据的操作,采集、传播、转换、计算、存储,这都是对数据的操作。 今天我们特别把数据结构拿出来说,其实数据安全应该从数据结构中下手,很多数据安全的动作不是针对于结构去做,而是针对于操作的时候,在其中去发掘数据安全的一些动作,那我觉得从数据的本质上,从我们真正去系统开发一种安全能力的时候,我们会发现除了数据的这个本体,那也要更多的关注数据的结构和数据的操作,这是对数据本质的一种探索,那关于数据的这个水性,其实也会从里边的一个结构性获得这种感觉,其实一直大家都习惯于把数据比喻为水,比喻石油,为什么会有这样一种比喻的感觉,因为数据确实具有极强的流动性,就是它的这种感觉是一种水性的感觉,因为它确实是在流动和传输流通的过程中才能体现数据的价值。所以说数据一定要流通,我们谈数据安全 3.0 的时候也是谈的流通安全,所以我也一直在讲真正的数据安全不是把数据牢牢的锁死在硬盘里面,数据安全真正的意义是让数据安全的流通起来。 当你认为数据是具有水性,它是一种流体的话,其实你在谈真正具体的一些水的时候,就不是谈的水的本身,而是水的本身和盛这个水的器皿,水和容器是一起去谈的,比如说我们日常生活的水不是谈水,而是说这瓶矿泉水,这桶水,管子里的水,水渠里的水,池塘的水,湖里的水。你会发现其实水和器之间就是它的本体和它的承载是分不开的,所以我们在谈所谓的比喻叫做"说出去的话就像泼出去的水",那其实水确实泼出去你收不回来,但是如果你是拿出去的一瓶矿泉水的话,它是可以收回来,那用这样的比喻,我们会看到数据也是一样的,如果数据你不管它的结构,不管它的配合性的操作,我就把数据扔出去,拷贝出去的话,数据当然就是一出去无法控制,但是如果你让这个数据跟它的器一块出去的话,它的结构会和器紧密的去流转,那就像装在瓶子里的这个矿泉水一样,它同样也可以在一定受控和一定秩序下进行流转,并且甚至于可以被收回和销毁,那这就是体和器的这个作用,那这也是一个非常重要对数据的认识。 数据安全 3.0 的这样的一个框架就可以看出来,我们在数据安全 1.0 的时候,它主要体现的是器的安全问题,也就是数据的对象安全,也是用系统的视角和思维去谈数据安全问题,这些作用手段其实都是作用在器上,而不是作用在体上,那这就是数据安全1.0,而数据安全 2.0 和3.0,它更多的体现的是数据本身,也就是数据生命周期本身,数据的生命周期就是数据的操作,各种类型的操作所组成的一种时序关系,这叫做数据的生命周期,数据的生命周期分为 2.0 和 3.0 的两种视角,2.0 的视角是一个单主体的,一个统一安全诉求的一个视角, 3.0是一个多主体的互相的,安全诉求可能有差异甚至有冲突的这样一个交互和流通关系的,当然这种流通是基于在整个数据本身的流通之上,我们要去保证这样一个数据流通的安全,那这个里边确实就体现了更多和体相关,就是数据本身在器所支撑下的一种流转,所以在数据安全 2.0 和 3.0 的时候,它会更强调有关它在整个体系化和经济性上的表现。 所以比如说我们要谈到一个城市的这个数据安全问题,如果老是基于在技术性上去反复的折腾,那就会有问题的。业务问题和数据安全问题,都一定要稍微注意到这种要素化和经济属性。今天主要的是在立方视角中,围着数据安全的这样一个数据水性的这么一个体现的特点,特意谈到了数据的结构和它操作的这样一个重要性,阐述了数据安全1.0 2.0 3.0的这种整个的一个概念性的一个框架。