“
骗子,是这世上逻辑性最强的一帮人
”
曾经有大佬讲过,如果想要实现财务自由,就去创业。还在创业路上的人,是万万不敢给后来人如此建议,因为我们常常看到的是冲进创业赛道的 10 个人,有 9 个半出来的,变得更穷了。不过钱财毕竟身外之物,除了飘渺的钱财外,创业还能带来其它很多收获。
比如,如果你想要识别人心,见识形形色色的各类人物,创业就是最好的途径,没有之一。
无比自嗨的创业者,着眼全球的投资人,行色匆匆的老板,照本宣科的专家,夸夸其谈的销售,沉默寡言的技术大拿,虚与委蛇的小领导。
每个人都有自己的一套逻辑,无比自洽,局外人难辨真假,只能从偶尔瞥见的对方晃动的二郎腿和飘忽不定的眼神判断,此人不甚靠谱,仅此而已。
01
—
数据分类分级
逻辑极其自洽
此处省略关于什么是数据分类分级定义的长篇累牍解释,简化来讲,数据分类是指将组织内部的数据按照其性质、用途、来源等因素进行逻辑上的分组。这通常包括但不限于个人身份信息(PII)、财务数据、健康医疗信息、知识产权、业务敏感信息等。数据分级,则是在分类的基础上,进一步根据数据的泄露或滥用可能给组织带来的风险程度,将其划分成不同等级,如公开级、内部级、敏感级和高度敏感级等。
数据分类分级的想要达到的作用在于:
-
精确控制访问权限:确保只有授权人员才能访问敏感或关键数据。
-
实施差异化保护:依据数据的级别部署相应级别的安全控制措施,如加密、访问控制、监控和审计等。
-
风险管理:通过识别和优先保护最重要的数据,降低数据泄露或滥用的风险。
逻辑可谓天衣无缝,正当合理,严肃权威。如此缜密的逻辑,驱动了每年至少数十亿的数据安全分类分级项目。(银行、金融机构、政府、大企业每年都做,平均一个项目价格在 50 万至 100 万之间。)
02
—
数据分类分级
脱离现实的期望
小时候家里承包过乡下的中学食堂,父母负责给全校的学生蒸包子、炒菜,每天都会收到零零散散的现金。忙过了饭点,父母就开始整理收到的菜钱,按照面值大小和破损程度,进行分类分级。
这个例子很贴切,所有人都能深切理解。此处对于钞票的分类整理,目的和保障财产的安全(防盗)毫不相干,也毫无帮助,而仅仅在于日后更为方便的使用纸钞。
把如今的数据,比作金钱,也是同样的道理。分类整理有其必要性,对数据的流通和使用有益,但和保障数据的安全关系不大。原因已经在之前的文章里详细解释了:
03
—
独立的分类分级系统
现实用处不大
数据库名 |
数据表名 | 字段名 |
数据类型 |
安全等级 |
---|---|---|---|---|
db_customer |
cus_details | name |
姓名 |
C3 |
db_customer | cus_details | sex |
性别 |
C3 |
db_customer | cus_details | age |
年龄 |
C3 |
db_customer | cus_details | phone |
电话号码 |
C3 |
![数据分类分级,是中国网安集体编织的“皇帝新衣” 数据分类分级,是中国网安集体编织的“皇帝新衣”](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/10-1714749581.jpeg)
04
—
把过程当做结果
把观点看作事实
这就是逻辑的魅力和强大的迷惑性,不知道是哪位专家给数据分类分级定义了如此完美又闭环的逻辑,同时又是如此远离现实的逻辑。
分类分级了这么多年,也没人去思考分类分级本身只是通往数据管控的过程而已,不断的还有新的专家和行业实践在到处分享和教导他人应该怎么做分类分级。所有人都对分类分级和真正的目的之间的这条鸿沟,默契的视而不见,避而不谈。
所有的网安从业者们,都在一起编织着一件看不见的华丽衣裳,也不知道到底是要穿给谁看的,童话里好歹还有个皇帝。
05
—
动态的分类分级能力
才是企业数据安全正解
几乎可以明确的是,现如今那一张张静态的分类分级表格,对于企业内部实际的数据管控几乎没啥价值。多少有点管控能力的地方,和那个独立的分类分级系统也没啥关系。
光是抨击问题而不带方案建议,多少也是有点耍流氓了。
数据分类分级,本质上代表的是数据识别的能力,企业需要具备。数据分类分级的目标,是要做数据管控,企业也需要具备。两者都具备的前提,才是数据分类分级应该有的姿态,缺少了任意一环都是欺骗,乙方欺骗甲方,甲方欺骗国家。
而要同时具备数据识别和安全管控的能力,那么就必须是在数据的动态使用过程中,附加两种能力。从技术上来讲,唯有数据网关和隔离浏览器两种技术路线。
往期回顾:
2、数据分类分级,难成通用且标准化的技术产品,GPT 来救场
连续创业的 Janky,关注真实的企业数据安全问题
原文始发于微信公众号(连续创业的Janky):数据分类分级,是中国网安集体编织的“皇帝新衣”