數據安全有多重要？想象一家智能物流公司，由于派單的數據庫或是機械手掃碼的數據被篡改，讓你期待已久的包裹被派送到了另一個地方去，你該多惱火？而實際中可能出問題的數據不止這些，物流公司每天都要交互大量的數據，與買家和賣家、分銷商和中間物流、終端的應用接口等，這其中很多信息是敏感的。比如你的地址和聯系方式，更大范圍來講，你的生活習慣、喜好、行為軌跡等個人畫像，也許這家公司的內部人員查看下你的數據，就會變得比你多年的朋友還了解你。

層出不窮的電信詐騙、越來越聰明的黑產者，都讓人覺得信息時代毫無隱私可言，處處是陷阱；對于企業，自己的業務數據被偷走，損失自不用說。5 月 25 日實施的《通用數據保護條例》（GDPR），用戶的數據丟失也將帶來嚴重的后果——2000 萬歐元的罰款就算是巨頭也吃不消——騰訊已停止了QQ 在歐洲的服務 ; 而在正式實施的第一天，Facebook 和谷歌便遭到了起訴。 數據是企業重要的資產，難免會引來覬覦，不只來自外部，內部的漏洞甚至“內鬼”也兼有之。而在數字化、互聯網的時代，萬物互聯，內外的界限也很模糊，如許多用于企業內部的應用，實際服務的終端卻是在外網上。

從管理開始

作為一家成立了 22 年的公司，Commvault 已連續七年榮膺 Gartner “數據中心備份和恢復 解決方案”魔力象限領導者殊榮。Commvault 亞太區企業解決方案架構師李可告訴《IT 經理世界》，在一年多前，公司就在為 GDPR 做準備。

“很多人以為只需要上一個軟件或者系統就可以萬事大吉，但他們忽略了歐盟 GDPR 的重要要求，是每個企業必須要有一個管理框架。” 李可說，購買軟件并不能解決數據保護的問題，企業要有數據安全觀，這需要有統一化的管理視角和平臺，以分析自己的數據類型、收集渠道、管理流程、中間環節、存儲、分級、使用和分享等。 “歐盟之所以給了一年的寬限期，就是希望企業用這段時間來建立制度，并用軟件和系統去告訴客戶自己是如何改變的。”

在企業數據安全的不同象限，Commvault更集中在偵測、使用訪問、存儲和恢復上。李可介紹，比如針對勒索病毒的進攻，除了常規的自動檢測、設置蜜罐等，Commvault 會對數據進行備份保護，確保備份數據的隔離和安全，在數據丟失時進行恢復，并對數據自動化脫敏。“我們的底線，是設想所有的防御都已經被攻破的情況下，如何在被感染的環境下守住企業的數據。”

而要做到這一點，最重要的原則就是做到“多副本、完全隔離、副本間不存在自動化的復制關系。”李可說，企業要盡可能地切割數據和生產的關系，“以前的高可用、多副本，其實跟生產環境是在同一個地方，我們通過隔離切割和權限的轉變，形成類似于保險庫的方式。”其次，是對物理和邏輯隔離權限的重新切分，讓數據不會因為單個網絡或應用而被入侵者溯源找到。數據安全的新機會過去10年間未曾顯現的，與數據安全和保護相關的新需求，將帶動市場的下一輪增長。“比如有三個備份，（入侵者）他沒辦法關聯，意味著不可能一下子破壞或獲取，使得我們有機會進行恢復——類似于地下防空洞。”

李可曾經收到過一封來自Commvault客戶之一的公安系統的感謝信，對方的關鍵數據由于物理性的丟失，只能通過備份從異地拷貝進行恢復。這種方式雖然看起來“老舊”，但在攻擊突破安全系統的時候，可能就是企業數據的最后一道防線。

新的市場

《網絡安全法》實施已有一年，有關個人隱私數據保護的立法也正在進行時，全球范圍內，對企業數據安全（是的，即使個人隱私數據，終歸也會落腳在企業身上）的重視激勵了安全市場的增長。

Commvault 大中華區總經理王波曾參與國家級重大信息系統項目的規劃和編纂，他總結 了未來安全市場三個可能的重要增長點。首先是來自合規性的管控，“我們看到不同的國家、區域，由政府驅動的合規性要求越來越多，比如歐盟的 GDPR，這讓我們在數據保護的命題下，可以做的事情也越來越多。”他同樣認為，合規性要求實際并非技術層面的需求，而是管理層面的需求——但管理層面的需求最終要靠技術的方式來解決，并促進市場增長。

以往在缺少合規性要求的時候，許多企業會將數據安全問題視為企業管理上的問題而選擇規避，“現在很多組織已經在設置新的崗位，叫DPO（Data Protection Officer）數據保護官，承擔數據保護合規的責任，這在以前是不需要的。”王波說。

比如Commvault就專門針對GDPR研發了解決方案，可以幫助企業發現和搜索相關的個人可識別信息（PII信息）的存放，提供統一視圖，以實現GDPR要求的環節：包括發現數據、識別數據和保證刪除等。“對很多企業來講，他們認為數據存放在數據庫或系統里面，就是那幾張表，保護數據就是保護好表，刪除數據就是去掉幾行，但實際上大量的隱私數據是存放在過程數據中，以文件或者郵件、甚至圖片的形式存在。在進入系統用于分析后，比如在Hadoop平臺上，又會變成新的格式，企業實際是做不到對這些數據保證識別和刪除的。”李可舉例某個全球的云服務商，當長時間在它的系統存放數據后，它甚至沒辦法對這些數據做到按需調取和刪除。

其次是互聯網的發展，王波將互聯網比喻成催化劑，把以往被認為非顯性或不存在的需求，以爆發性的方式被激發了。“比如，以前除了攝影師，沒有人會整天隨手帶著相機拍照，但現在每個人都有智能手機，像素又很高，每個消費者拍攝的大量的數碼照片最終可能會保存到本地存儲或云平臺。”類似的被互聯網激發的需求，比如網購、打車、外賣等，最終都需要相應的存儲平臺來對其進行支撐，而云平臺也需要數據保護解決方案。由此就不難理解，為什么做互聯網的騰訊會有頂尖的七大安全實驗室，而搜索出身的360，最終成了安全公司。可以預見的是，在未來，互聯網激發的需求只會更多，而不會減少。

第三個領域是工業及制造業。工業互聯網、工業4.0、智能制造等概念的提出，將促進工業及制造業領域對數據管理產生新的需求。“在過去一兩年中，我們發現制造業領域的需求變得越來越旺盛。”王波說，之前來自制造業的數據保護需求被認為只來自于最終的銷售、財務等系統，而在生產的過程中，很少會有企業考慮對過程數據進行保護。隨著企業通過分析過程數據，看到數據在解決質量缺陷、改進工藝等方面應用的價值，也逐漸產生了保護過程數據的強烈需求，這在以前是不存在的。

與之相對應的是，工業企業在數據安全上的相對落后。有報道稱，對工業互聯網安全水平進行評估，只有4%～5%的企業認為處于領先水平，20%左右的企業表示已經建立起比較標準的框架，而超過70%的企業，還處于初始階段甚至完全沒意識。“但令人擔憂的是， 他們的業務量并不少。”