网络安全VS数据安全

关于网络安全和数据安全，我们常听到如下两种不同声音：

观点一：网络安全是数据安全的基础，把当年做网络安全的那一套用数据安全再做一遍。

观点二：数据安全如今普遍以为是网络安全的延伸，实际情况是忽略数据资产与业务之间的关系，没有厘清数据对象、数据实体和数据主体的关系，而一味的用等保思路满足合规。WRONG!只有懂得数据价值才知道数据安全。

这两种观点也都有较明显的代表人物，综合安全厂商既做网络安全，又做数据安全，可以将二者很好结合，提供综合安全解决方案；专门的数据安全厂商，将数据安全与网络安全解耦，强调业务场景。“网络安全”和“数据安全”这两到底啥关系，有啥异同？今天来捋一捋。

法规视角

广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行，网络服务不中断，系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露。狭义的网络安全，侧重于网络传输的安全。

《中华人民共和国数据安全法》，自2021年9月1日起施行。 根据《数据安全法》第三条的定义，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据安全要保证数据处理的全过程安全，包括数据的收集、存储、使用、加工、传输、提供、公开等。

《数据安全法》第二十七条要求，开展数据处理活动应对依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理的活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

综上，广义的网络安全包含数据安全；网络安全是数据安全的基础，需在等保基础上，实施数据安全保护。但数据安全的目的不只是安全与合规，最大价值还是在促进数据安全有序流通，充分发挥业务数据价值。

自2025年1月1日起，《网络数据安全管理条例》施行。

“以终为始”视角

以终为始的视角看安全防护，坏人有两类：黑客和内鬼。

对于黑客来说，攻击的目的有三种：

• 看你不爽，让你网络瘫痪，服务不可用；

• 窃取数据，暗网上卖点银子；

• 勒索，加密勒索，曝光勒索，获取利益。

  对于内鬼来说，两个目的：

• 干得不爽，泄愤报复，埋个雷；

• 内部数据泄露，为情，为钱，为其他。

• 当下数据已经成为与土地、劳动力、资本、技术并重的第五大生产要素，数据是企业的核心资产。2024年，西部数据交易中心与华夏银行重庆分行携手合作，成功创设并发放全国首笔“数据资产挂钩抵押贷款”，为重庆两江智慧城市投资发展有限公司提供130万元贷款。与以往的数据资产信贷业务有所不同，此次业务极具创新性地将贷款利率与企业数据资产价值紧密挂钩，当企业的数据资产价值不断提升时，贷款利率便会随之下降。

产品视角

2021年，美国总统拜登签署行政令要求政府各级部门落实零信任技术。美国国防部发布了他们的零信任参考架构，其中数据级的访问控制占了一大部分。SDP架构是零信任理念目前最好的技术实现方案，也是最好的访问控制安全架构。用零信任架构来落实数据的访问控制是一种非常可行的选择。零信任数据安全方案的主要特色在于数据的权限管控，可以基于身份和数据属性进行细粒度的授权。由此可知，可以通过身份安全、网络安全实现数据安全访问控制。

项目视角

过去做网络安全项目，梳理下客户的网络拓扑，就直接上设备了，不大关心客户业务场景，类似黑盒。

数据安全和客户业务强耦合，数据安全项目建设需要懂客户业务场景，摸盘客户数据资产，梳理数据流转链路，厘清数据对象、数据实体和数据主体的关系数据。数据安全项目实施，需要做大量的调研评估。同时，不能追求满分安全，也没有百分之百的安全，数据安全需要平衡安全和业务的关系。