【关于作者】*陈年“产品市场经理”一枚,近几年聚焦在网络安全SaaS和服务产品化~
*做过投研,多次参与了“某互联网大厂”的对外投资,目前研究聚焦在网络安全领域~
【正文】一、引:“此数据安全”和“彼数据安全”
数据安全不是新概念,但是,很多人没有意识到:《数据安全法》、《数字中国整体布局规划》、“国家数据局成立”这些动作之后的“数据安全”,概念隐隐发生了扩展,不只是“常规信息系统的数据安全保障”,更是“数据业务的安全保障”,甚至深度嵌入“数据业务”的整个业务流程里。所以,数据安全相关服务的设计,也应该重点围绕着“数据业务”进行。这部分,参见我之前的文章:【原创】数据安全投资、创业的几大赛道。另外,我把数据安全相关的文章做了一个合集:回顾:数据安全研究系列。二、评估服务的战略价值数据安全评估服务,虽然不大,但是撬动“数据安全市场”的核心抓手之一,原因有几个:1、数据安全的核心需求之一是合规,合规是数据“合法变现”的前提和基础,没有这个保驾护航,“雷”有点大啊,参见滴滴事件~2、数据安全的另一个核心需求是保障“数据资产”的安全(属于业务安全)。由于数据可交易、数据资产可入财报,这就历史上第一次让数据直接和钱挂上了钩,数据资产的安全,提升到了前所未有的重要地步。3、无论是合规需求还是业务安全需求,技术测试和综合评估(技术+管理),卡位在一头一尾:
- 一头:发现问题才能解决问题,治病的前置性工作是检查和确诊。翻译成行业语言就是:确诊“数据资产”的合规问题、安全隐患,为客户数据安全管理和数据安全建设提供依据。“确诊”特别重要,这是人和专业服务的核心价值,也是很难被纯产品完全替代的痛点。
- 一尾:数据安全评估–>数据安全规划–>数据安全建设和治理–>数据安全运营,这个过程完成后,又回到不断地“数据安全评估”,来评估“数据安全建设和治理”的效果,形成PDCA的改进飞轮。
4、还有一条很关键,“数据安全评估”在监管侧就是“数据安全检查”,这是监管的核心抓手之一。你的数据安全建设做得再好,过不了监管的检查也是枉然,从这个角度,数据安全评估就是合规的“牛鼻子”。三、评估服务设计初探
我们调研了一些友商,发现友商很多聚焦于数据安全的“合规性评估”,这肯定是基础且必须的。
同时,我们也深刻认识到:数据安全评估的技术难度,比基础架构安全、应用系统安全要高,需求迫切性也更高。
数据安全评估的技术高度,是我们服务产品的核心亮点之一,相信也会逐渐被市场认可。
我们把数据安全评估类服务,分为两大类:
1)咨询类评估:
即综合评估,融合了技术和管理,根据用户的需求,又细分为:
- 侧重“各类信息系统”的“综合合规”评估;这个是政企单位整体、基础、必备的服务;
- 侧重于“数据业务系统”的“业务合规+业务安全保障”的综合评估,简言之,这个是围绕“数据业务系统”的定向服务;
- 针对“数据出境申报”这个事的专项服务;
- 针对“个人隐私保护”的专项服务;这个和企业数据安全不太一样,法律基础也不一样;
- ……
2)技术类评估:
超越合规,站在有组织攻击队视角,对数据安全进行专项技术评估,覆盖了API安全等数据安全相关的关键攻击路径和技术领域。
具体的,出于商业机密,就不细写了。
这个和渗透测试有着根本的不同,渗透测试是以“确诊”漏洞为目的,不会重点研究数据方面的脆弱性、威胁行为、安全事件、泄露路径等。
另外,传统渗透在API脆弱性发现方面,几乎没有或只有一点点。
四、总结
新时代数据安全的核心需求是合规和业务安全,尤其要重视“数据业务系统”的相关需求,这是区别于旧时代的核心区别之一。
“数据安全评估”虽然小、但很重要,卡在数据安全PDCA循环的一头一尾。
从甲方角度:
- 能带来:“数据安全建设和治理”的有效落地,前期确诊对了,后期才能不跑偏~
- 能带来:监管检查好成绩+业务安全保障,既有“面子”也有“里子”~
从乙方角度:
- 是味精、是催化剂,能带来:后续数据安全建设的产品大单。味精作用体现在:虽然小,但是,有和没有就是不一样~能问题导向、显著提升整个数据安全建设的效果!
暂无评论内容