用孙子兵法的智慧指导数据安全工作

        在人类初始时期，就会通过特定的叫声来向同伴来传递信息，通知同伴哪里有食物，以及危险信息，这就是最原始的信息安全形态。而公元前51世纪的凯撒时期，由于军事信息泄露导致的军队溃败则是有史料记载的最早数据信息泄露事件，随后凯撒大帝发明的凯撒密码也被认为是最早的数据安全防护技术。到如今信息安全、数据安全已融入我们生产生活的方方面面，如我们的身份、年龄、兴趣爱好、消费记录甚至政治倾向这些隐私数据，被大量收集然后形成人物画像，被用于精准推销、电信诈骗等，严重影响我们的生产生活；而如果被收集的是关系国家安全、国民经济命脉、重要民生、重大公共利益等属于国家核心数据，则会严重危害到我们的国家安全。

        《孙子兵法》是一部诞生在2500多年前的中国『兵学圣典』，其内容博大精深，逻辑缜密严谨，是中国古代军事文化遗产中的瑰宝，李世民说“观诸兵书，无出孙武”，兵法是谋略，是智慧，虽然我们身处和平年代没有连年征战，但我们却时刻处在数据安全这一无形之战中，而幸运的我们仍可利用先贤的智慧来应战。

 【始计篇】

        随着信息技术和人类生产生活交汇融合,数据越来越重要，数据价值越来越高，各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。当前数据作为土地、劳动力、资本、技术之后的第五生产要素，是我国经济增长的核心力量，数据安全已成为事关国家安全与经济社会发展的重大问题，数据安全亦是国之大事，可谓没有数据安全就没有国家安全。就像孙子兵法开篇指出的那样：兵者，国之大事。死生之地，存亡之道，不可不察也。随着《数据安全法》《个人信息保护法》等国家法律的及时出台，对数据的有效监管实现了有法可依，提升了国家数据安全保障能力。

   【作战篇】

        在开始数据安全工作前首先要制定好规划，确定数据安全的边界范围、目标、基本原则以及工作重心。其次设立专门的组织机构，并细化数据安全管理职责和职能，明确各部门的协同配合和职责划分。然后要进行数据安全工作，规划、制度必须先行，在数据安全框架体系的基础上，制定一系列的纲领，指南（指明做什么）与 安全实现设计规范，管理办法（如何做），依据规划和制度进行有条理的推进。随后在建立完整的数据安全技术体系，确定面对不同的数据安全风险采用何种技术方式应对，并进行落实，最后建立数据安全运营体系，使得数据安全工作能够持续的改进优化，保证安全工作长久有效。

 

        数据安全工作开始之前，需要先进行梳理评估，包括数据资产运行环境安全评估、数据分类分级以及权限梳理，这样才能清楚的知道拥有哪些数据资产，这些数据资产的分类情况，敏感数据的分布情况，有哪些访问者，访问者本身拥有的权限是否满足最小够用原则，从而摸清数据资产家底情况，做到心中有数。在2021年9月1日开始施行的《数据安全法》的第二十一条也明确指出了『各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。』对数据及相关信息进行梳理，对数据进行分类分级，是数据安全重要的第一步。如两军交战除了『勇』还要知己知彼，正可谓『知彼知己者，百战不殆；不知彼而知己，一胜一负，不知彼，不知己，每战必殆』。

 

        对数据进行梳理及分类分级后，针对数据不同的安全级别以及不同的应用场景采取不同的防护，如：

（1）对数据的访问登录采取多因子身份验证，进行持续认证，动态访问控制，防止非法访问登录；

（2）对开发测试库的数据需要进行脱敏处理，防止开发测试环境的数据泄露；

（3）对敏感数据的访问采取精细化访问控制、审批机制以及动态脱敏处理，防止对敏感数据的越权访问，恶意操作等；

（4）对高度敏感数据进行密文存储处理，保证即使被盗也无法访问明文数据；

（5）对外发的数据进行数字水印保护，确保数据泄露能快速溯源；

（6）对所有的数据访问进行审计，对敏感数据的访问采取更严格的审计策略，做到全流程的完整操作审计，发生数据泄露时能及时告警，也能为追溯提供证据。

        在具体的场景中要根据具体的实际情况来采取相应的策略，即『水因地而制流，兵因敌而制胜』，如此才能做到『致人而不致于人』。

【谋攻篇】

        在数据安全工作中，每次都防止窃取者的恶意行为不是最佳的策略，数据安全防护是一个长期的工作，虽然期间也会有安全事件的发生， 最佳的策略是在做好防护的基础上建立好安全工作的持续运营机制，能够做到快速响应，持续改进，建立起良好的数据安全态势感知，以数据访问的行为基线，实时监控、分析，当在窃取者的恶意行为开始之时，即发现其偏离于正常基线的访问行为，并对攻击者的一举一动进行预警，以防止其进一步破坏系统，窃取数据。对数据全生命周期的、全方位的立体化防护，让数据窃取者感受不到一丝希望，主动放弃，做到『不战而屈人之兵』，达到攻击者不敢应战，不战而降的至高境界。

        最后数据安全不仅要做好防范，还要我们每个人提高数据安全意识，在日常生活要避免利用个人隐私数据来换取一些小恩小惠，如注册送礼品，扫码抽大奖，从数据的采集阶段就牢牢守护好我们的数据。孙子曰：故善用兵者，屈人之兵而非战也，征服不靠打胜仗，数据安全的世界里只靠技术手段也是万万不能的，要从规划、组织、制度、技术、运营多个层面共同发力，相互配合，最终保证数据采集、传输、存储、使用、共享和销毁等生命周期各阶段的安全。