2017年8月我从阿里离职，创办了全知科技，聚焦在数据安全方向。数据安全这个词其实很早以前就有了，吴鲁加和黄鑫同学2005年创办大成天下，锁定的就是数据安全方向，做了DLP、铁卷加密等产品，当时还记得吴鲁加同学给我大讲特讲数据安全未来前景的兴奋状态。可惜之后数据安全产业发展的态势并不如预期，吴鲁佳同学最后也淡出安全圈，转战互联网，最后以小密圈/知识星球崛起。那么为什么我也来做数据安全呢？我看到的数据安全又和大家看到的数据安全有什么区别呢？大家都知道：如果你看到的是大家都已经看到的，你不会有太多的机会。所以抽了些时间，谈谈我对数据安全的思考。

这几年网络空间安全（网安法的网其实是网络空间）、网络安全、信息安全、数据安全处于一种术语非常混乱的状态，这里我谈的XX安全，更多是站在企业视角来看。

    如果从企业视角去看，我们把这些归结为一个大的“IT体系安全”。一个企业需要的也不仅仅是“IT体系安全”，还包括各种各样的安全，但无论如何，都是围绕着企业的价值链来产生的，企业的价值链如下图：

第一类安全需求：资产安全：更强调对静态资产本身价值的保护。防范的是企业资产损失。资产安全是企业最早遇到的安全需求.

    第二类安全需求：业务安全；随着市场化进程的加深，企业业务面临更多来自客户的不确定性因素和竞争对手的恶性竞争。如何保证业务的可持续性，减少外部环境带来的业务风险，以及具备和竞争对手恶意竞争的对抗能力，保护企业业务竞争力。对企业而言，业务安全远远大于资产安全，因为一个企业存在的目的是通过业务持续盈利，资产风险更多是成本问题，业务风险是影响自己业务模式是否可行的生存问题。

    第三类安全需求：生产安全；随着工业化进程的发展，企业生产的产品越来越复杂，可能是个由原材料、材料、半成品、组件、再到产品的复杂过程，即使内部每个过程，工艺也需要多个环节，形成复杂的上下游生产流通的供应链体系；如果各种生产资料管理不善、生产过程管理不善，可能带来高危事件如爆炸的损失远远高于生产资料本身资产属性价值的损失；同时产出的产品如果因为生产资料和生产过程管理不善产生的质量问题，也可能会输出到外界形成高危的社会公众安全风险（如有毒食品、过期疫苗），因此在生产过程中需要管控整个的安全；生产安全不仅可能既带来远大于资产的损失（如爆炸可能带来远大于生产资料价值的损失），也可能带来业务安全风险（如输出带毒奶粉导致奶粉行业一蹶不振）。

    企业“IT体系的安全”一样也是围绕企业价值链的，映射的3类安全需求，都已经产生或正在产生，而我认为数据安全，其实核心是映射生产安全的。

 最早，企业对“IT体系的安全”产生的是资产属性的安全，因为最早IT系统是为内部业务系统服务，承载业务信息资产的。这个时候谈的狭义的信息安全、物理安全、网络安全，其实都是围绕资产价值产生的。

    互联网普及之后，本质上是加强了人的互联，企业逐步将自己的业务通过互联网链接到自己的客户来展开业务，IT系统成为产品和服务到客户的关键承载体，对客户服务的持续可用性，对客户业务价值甄别等业务安全需求逐步产生，以阿里为代表的业务互联网化电商、互金行业，产生了基于“IT体系”的业务安全需求，成为安全产业发展的新方向，开始产生同盾、顶象这样的业务安全厂商。

    随着AI、DT时代的来临，企业IT系统之间，企业和企业之间，开始进行业务系统的互联，核心是通过数据（信息的生产资料态）的流通，来链接流程以及通过对数据的二次加工，创造更大的价值，本质上，数据作为一种生产资料，加入到企业的生产过程中，并成为重要的能源，但数据本身，在生产过程这可能因生产资料的管理不善，生产过程的控制不善带来各类风险，并能在输出的产品和服务中输出风险。如内部人员导致的大规模的数据泄露、数据质量引起的业务系统故障风险、产品和服务暴露个人隐私。

    说到这里，可能大家会清晰一点，我谈的数据安全和以前谈的数据安全之间的一些视角差异：

    1）以前的数据安全，强调的是资产属性价值保护；本质而言谈的是信息在数据载体上的安全；而我们强调的是数据作为生产资料，在生产过程中的整个安全管理体系。关注对数据可能带来的风险进行控制。

    2）以前的数据安全，站在资产视角以保护的视角居多，防范的主要是外部威胁；或者内部人员的恶意行为；而我们强调的是需要建立针对数据流动和使用的风险控制体系，需要一整套的规范、数据分类管理体系、场景控制流程、可追溯体系、数据风险识别和度量体系、检测体系；主要是防范内部各种涉及数据的生产系统以及人员的不规范行为，导致的各类数据风险（数据自身以及数据带给其他主体和客体的f风险，当然也内降低内部人员的恶意行为以及外部威胁混入内部伪装成内部人员带来威胁的可能）

为什么我们要用这种生产安全的视角来看待数据安全？

    1）数字化转型的核心是企业具备数据业务化能力，而数据的业务化是未来企业竞争的最核心的能力来源之一，也就是说每个行业活得好的企业，都会逐步形成跨系统甚至跨组织的数据流动，通过这些数据流动改进自己的生产营销组织管理客户体验各个环节获得增值，但对数据在多个系统和环节、组织的生产过程中的管理和风险控制变得越来越重要。

    2）企业价值链决定了企业在安全投入上的比重。可以评估一下大型工业化企业在通用的业务安全、生产安全、资产安全上的投入，以及负责人员的职责权利角度，可以了解到对企业而言，保护业务和生产安全的需求远大于资产安全的需求。对于资产安全企业的投入度〈资产价值*风险概率，对于低概率或低价值资产，企业投入意愿很低。而对于业务安全，由于业务的循环往复，风险概率会大很多。而业务影响不仅是当期价值，还有未来预期的价值。生成安全影响的不仅是自身生成资料的价值，还有关联生产系统和业务的价值。未来从合规角度，政府更多关注企业给第三方和国家带来的风险而非企业自身的损失。

    企业在“IT体系“的资产价值维度的投入虽然是最容易被认知和最早产生需求的，但随企业业务的互联网化和企业数字化转型发展，企业逐步会加大在“IT体系”的业务安全维度和生产安全（数据安全是最主要的维度）的投入。

    其实如果围绕数据安全的核心是“IT系统体系”的“生产安全”的视角去看，完成可以借鉴现有的生产安全的体系，来梳理数据安全未来的体系，这又是另一个非常有意思的话题，可以留到下次有空了再写。